NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?
Veröffentlicht am 11. Juni 2026 | Lesezeit: ca. 10 Minuten
Die NIS2-Richtlinie der Europäischen Union ist seit ihrer Umsetzung in deutsches Recht durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) für tausende Unternehmen in Deutschland verbindlich. Doch eine der meistgestellten Fragen bleibt bis heute: Bin ich überhaupt betroffen? Die Antwort ist nicht trivial – und falsch einzuschätzen, ob das eigene Unternehmen unter NIS2 fällt, kann teuer werden.
Dieser Artikel führt Sie Schritt für Schritt durch die NIS2-Betroffenheitsprüfung für Unternehmen in Deutschland 2025, erklärt die relevanten Sektoren, Größenkriterien und Einrichtungstypen – und zeigt, welche Konsequenzen drohen, wenn Sie die Anforderungen ignorieren.
Was regelt §3 NIS2UmsuCG?
Der §3 NIS2UmsuCG definiert den Anwendungsbereich des Gesetzes und legt fest, welche Einrichtungen als „wesentlich" oder „wichtig" eingestuft werden. Er ist der zentrale Ausgangspunkt jeder Betroffenheitsprüfung.
Grundsätzlich unterscheidet das Gesetz zwischen:
- Wesentlichen Einrichtungen (WE) – höhere Anforderungen, stärkere Aufsicht
- Wichtigen Einrichtungen (WiE) – etwas geringere Anforderungen, reaktive Aufsicht
- Betreibern kritischer Anlagen (KRITIS) – spezifische Zusatzpflichten nach §28 BSIG
Die Einordnung hängt von zwei Faktoren ab: dem Sektor, in dem das Unternehmen tätig ist, und der Unternehmensgröße. Beide Kriterien müssen zusammentreffen – mit wichtigen Ausnahmen.
Schritt 1: In welchem Sektor ist Ihr Unternehmen tätig?
Anlage 1: Sektoren mit hoher Kritikalität (wesentliche Einrichtungen)
Die Anlage 1 zum NIS2UmsuCG listet Sektoren auf, die als besonders kritisch für Gesellschaft und Wirtschaft gelten. Unternehmen in diesen Bereichen werden grundsätzlich strenger reguliert:
| Sektor | Beispiele |
|---|---|
| Energie | Strom, Gas, Fernwärme, Öl, Wasserstoff |
| Verkehr | Luftfahrt, Bahn, Schifffahrt, Straßenverkehr |
| Bankwesen | Kreditinstitute, Zahlungsdienstleister |
| Finanzmarktinfrastruktur | Börsen, zentrale Gegenparteien |
| Gesundheit | Krankenhäuser, Labore, Pharmahersteller |
| Trinkwasser | Wasserversorgung und -verteilung |
| Abwasser | Abwasserentsorgung |
| Digitale Infrastruktur | Internet-Knoten, DNS, Cloud-Anbieter, TK |
| IKT-Dienste (B2B) | Managed Services, Managed Security Services |
| Weltraum | Satellitenbetreiber |
Anlage 2: Sonstige kritische Sektoren (wichtige Einrichtungen)
Die Anlage 2 umfasst weitere Sektoren, die ebenfalls reguliert werden – allerdings mit weniger strikten Vorgaben:
| Sektor | Beispiele |
|---|---|
| Post- und Kurierdienste | Paketdienstleister |
| Abfallbewirtschaftung | Entsorgungsunternehmen |
| Chemie | Hersteller chemischer Stoffe |
| Lebensmittel | Produktion, Verarbeitung, Vertrieb |
| Verarbeitendes Gewerbe | Maschinenbau, Medizinprodukte, Fahrzeugbau |
| Digitale Dienste | Marktplätze, Suchmaschinen, soziale Netzwerke |
| Forschung | Forschungseinrichtungen |
Praxishinweis: Viele Unternehmen im produzierenden Gewerbe – insbesondere im Maschinenbau oder in der Automobil-Zulieferkette – sind überrascht, wie sie unter Anlage 2 fallen. Prüfen Sie Ihren Haupt-NACE-Code sorgfältig.
Schritt 2: Erfüllt Ihr Unternehmen die Größenkriterien?
Allein die Sektorzugehörigkeit reicht nicht aus. Zusätzlich müssen Schwellenwerte bei Mitarbeiterzahl und Umsatz bzw. Bilanzsumme überschritten werden.
Die Schwellenwerte im Überblick
| Einrichtungstyp | Mitarbeiter | Jahresumsatz ODER Jahresbilanzsumme |
|---|---|---|
| Wesentliche Einrichtung | ≥ 250 MA | > 50 Mio. € Umsatz ODER > 43 Mio. € Bilanz |
| Wichtige Einrichtung | ≥ 50 MA | > 10 Mio. € Umsatz ODER > 10 Mio. € Bilanz |
| Kleinstunternehmen | < 10 MA | ≤ 2 Mio. € |
Achtung: Diese Schwellenwerte gelten als Regelfall. Es gibt wichtige Ausnahmen, bei denen die Größe keine Rolle spielt:
- Anbieter kritischer Infrastruktur nach §28 BSIG (KRITIS) unabhängig von der Größe
- Qualifizierte Vertrauensdiensteanbieter und Top-Level-Domain-Registries
- Alleinige Anbieter eines systemrelevanten Dienstes in einem Mitgliedstaat
- Unternehmen, bei denen eine Störung erhebliche Auswirkungen auf die öffentliche Sicherheit hätte
Schritt 3: Wesentliche vs. wichtige Einrichtung – Was ist der Unterschied?
Die Unterscheidung ist praxisrelevant, denn sie bestimmt die Intensität der Aufsicht und die Höhe möglicher Bußgelder.
Wesentliche Einrichtungen
- Unterliegen proaktiver Aufsicht durch das BSI
- Müssen sich beim BSI registrieren (§33 BSIG)
- Strengere Pflichten bei Sicherheitsmaßnahmen (§30 BSIG) und Meldungen (§32 BSIG)
- Maximales Bußgeld: 10 Mio. € oder 2 % des weltweiten Jahresumsatzes
Wichtige Einrichtungen
- Unterliegen reaktiver Aufsicht – das BSI wird nur bei konkretem Anlass tätig
- Registrierungspflicht besteht ebenfalls
- Anforderungen an Sicherheitsmaßnahmen sind vergleichbar, aber die Durchsetzung ist weniger intensiv
- Maximales Bußgeld: 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes
Selbsttest: Fällt Ihr Unternehmen unter NIS2?
Nutzen Sie diese Checkliste als schnellen Orientierungsrahmen. Beantworten Sie jede Frage mit Ja oder Nein:
Checkliste: NIS2-Betroffenheitsprüfung
- [ ] Sektor: Ist mein Unternehmen in einem der Sektoren aus Anlage 1 oder Anlage 2 tätig?
- [ ] Mitarbeiter: Beschäftigt mein Unternehmen 50 oder mehr Mitarbeiter (Vollzeitäquivalente)?
- [ ] Umsatz/Bilanz: Übersteigt der Jahresumsatz 10 Mio. € oder die Bilanzsumme 10 Mio. €?
- [ ] Verbundene Unternehmen: Bin ich Teil eines Konzerns, der in Summe die Schwellenwerte überschreitet?
- [ ] Ausnahme KRITIS: Bin ich als Betreiber kritischer Anlagen eingestuft oder betreibe ich Infrastruktur mit nationaler Bedeutung?
- [ ] Alleinanbieter: Bin ich der einzige Anbieter eines wesentlichen Dienstes in Deutschland oder einem Bundesland?
Auswertung:
- Frage 1 + (Frage 2 UND 3) = Ja → Sie sind wahrscheinlich eine wichtige Einrichtung (Anlage 2) oder wesentliche Einrichtung (Anlage 1 + größere Schwellenwerte)
- Frage 4 = Ja → Prüfen Sie die Unternehmensverbund-Regelungen nach EU-Empfehlung 2003/361/EG
- Frage 5 oder 6 = Ja → Sie fallen unabhängig von der Größe unter NIS2
Empfehlung: Dieser Selbsttest ersetzt keine rechtliche oder fachliche Prüfung. Bei Unsicherheit sollten Sie einen auf NIS2 spezialisierten Rechtsanwalt oder IT-Sicherheitsberater hinzuziehen.
Konsequenzen bei Nichterfüllung: Was droht bei Verstößen?
Wer irrtümlich oder wissentlich glaubt, nicht unter NIS2 zu fallen, und die Anforderungen ignoriert, riskiert erhebliche Sanktionen. Der §65 BSIG regelt den Bußgeldkatalog im Detail.
Bußgelder nach §65 BSIG
| Verstoß | Wesentliche Einrichtung | Wichtige Einrichtung |
|---|---|---|
| Fehlende oder mangelhafte Sicherheitsmaßnahmen | bis zu 10 Mio. € oder 2 % Weltumsatz | bis zu 7 Mio. € oder 1,4 % Weltumsatz |
| Nicht fristgerechte Meldung von Sicherheitsvorfällen | bis zu 10 Mio. € oder 2 % Weltumsatz | bis zu 7 Mio. € oder 1,4 % Weltumsatz |
| Fehlende Registrierung beim BSI | bis zu 500.000 € | bis zu 500.000 € |
| Nicht-Kooperation mit BSI-Aufsicht | bis zu 10 Mio. € | bis zu 7 Mio. € |
Hinzu kommen persönliche Haftungsrisiken für Geschäftsführer und Vorstände: Nach §38 BSIG sind Leitungsorgane verpflichtet, Cybersicherheitsmaßnahmen zu billigen und deren Umsetzung zu überwachen. Bei grober Fahrlässigkeit oder Vorsatz drohen persönliche Bußgelder von bis zu 2 Mio. € sowie Haftungsansprüche des Unternehmens gegen die Geschäftsleitung.
Darüber hinaus kann das BSI bei schwerwiegenden Verstößen durch wesentliche Einrichtungen die vorübergehende Untersagung der Geschäftsführungstätigkeit aussprechen – ein scharfes Instrument, das die Ernsthaftigkeit der Regulierung unterstreicht.
Was tun, wenn Sie betroffen sind? 7 konkrete Handlungsempfehlungen
Wenn Ihre Betroffenheitsprüfung ergibt, dass Sie unter NIS2 fallen, sollten Sie strukturiert vorgehen:
-
Einrichtungstyp formal bestimmen: Klären Sie rechtssicher, ob Sie wesentliche oder wichtige Einrichtung sind – ggf. mit juristischer Unterstützung.
-
Beim BSI registrieren: Die Registrierungspflicht nach §33 BSIG ist nicht optional. Nutzen Sie das BSI-Portal zur Selbstregistrierung und achten Sie auf Fristen.
-
Gap-Analyse durchführen: Ermitteln Sie, welche der geforderten Sicherheitsmaßnahmen nach §30 BSIG bereits umgesetzt sind und wo Lücken bestehen. Orientieren Sie sich am BSI IT-Grundschutz oder ISO/IEC 27001.
-
Informationssicherheits-Managementsystem (ISMS) aufbauen oder anpassen: Ein strukturiertes ISMS ist die Grundlage für alle weiteren Maßnahmen. Dokumentieren Sie Richtlinien, Prozesse und Verantwortlichkeiten.
-
Meldeprozesse für Sicherheitsvorfälle etablieren: §32 BSIG schreibt vor, dass erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden (Erstmeldung) und 72 Stunden (Folgemeldung) an das BSI gemeldet werden müssen.
-
Lieferketten-Sicherheit prüfen: NIS2 verlangt auch die Berücksichtigung von Risiken durch Dritte und Dienstleister. Passen Sie Ihre Vertragswerke und Risikobeurteilungen entsprechend an.
-
Schulungen und Awareness für Leitungsorgane: Geschäftsführer und Vorstände müssen die Anforderungen kennen und aktiv unterstützen – Unwissenheit schützt nicht vor Haftung.
Häufige Missverständnisse bei der Betroffenheitsprüfung
„Wir sind zu klein für NIS2."
Viele Unternehmen unterschätzen ihre eigene Größe, wenn verbundene Unternehmen oder Tochtergesellschaften in die Berechnung einbezogen werden müssen. Konzerntöchter können trotz eigener Mitarbeiterzahl unter 50 betroffen sein.
„Wir sind kein IT-Unternehmen."
NIS2 gilt nicht nur für Tech-Firmen. Ein mittelständischer Lebensmittelhersteller mit 80 Mitarbeitern und 15 Mio. € Umsatz fällt eindeutig unter Anlage 2.
„Die DSGVO haben wir schon, das reicht."
DSGVO und NIS2 haben unterschiedliche Schutzrichtungen. DSGVO schützt personenbezogene Daten, NIS2 schützt die Verfügbarkeit, Integrität und Vertraulichkeit von Netz- und Informationssystemen. Beide Regelwerke ergänzen sich, ersetzen sich aber nicht.
„Das BSI kontrolliert uns nicht aktiv."
Das mag für wichtige Einrichtungen kurzfristig stimmen – aber nach einem Sicherheitsvorfall oder einer Beschwerde wird die Aufsicht sehr wohl tätig, und dann prüft sie rückwirkend die gesamte Compliance-Geschichte.
Fazit: Betroffenheit klären – jetzt, nicht später
Die NIS2-Betroffenheitsprüfung ist der erste und wichtigste Schritt auf dem Weg zur Compliance. Wer jetzt noch nicht geprüft hat, ob das eigene Unternehmen unter das NIS2UmsuCG fällt, spielt mit dem Feuer – denn die Aufsichtsbehörden sind aktiv und die Bußgelder sind existenzbedrohend.
Ihre nächsten Schritte zusammengefasst:
- ✅ Sektorzugehörigkeit anhand Anlage 1 und Anlage 2 prüfen
- ✅ Mitarbeiterzahl und Umsatz/Bilanzsumme ermitteln (inkl. verbundene Unternehmen)
- ✅ Einrichtungstyp (wesentlich/wichtig) bestimmen
- ✅ Beim BSI registrieren
- ✅ ISMS-Projekt starten und Gap-Analyse durchführen
So unterstützt Sie NIS2-Compliance-Software
Die Betroffenheitsprüfung ist oft erst der Anfang: Wer feststellt, dass er unter NIS2 fällt, steht vor der Aufgabe, ein vollständiges Informationssicherheits-Managementsystem aufzubauen, Richtlinien zu dokumentieren, Risikoanalysen durchzuführen und Meldepflichten zu verwalten. Spezialisierte ISMS- und NIS2-Compliance-Plattformen können diesen Prozess erheblich vereinfachen: Sie führen strukturiert durch die Anforderungen des §30 BSIG, helfen bei der Erstellung gesetzlich geforderter Dokumente und erinnern automatisch an Fristen für Registrierungen und Meldungen.
Wenn Sie gerade dabei sind, Ihre NIS2-Compliance aufzubauen, lohnt sich ein Blick auf entsprechende Software-Lösungen, die speziell auf die Anforderungen des deutschen NIS2UmsuCG ausgerichtet sind – und die Zeit und Ressourcen sparen, die Sie sinnvoller in die eigentliche Cybersicherheit investieren können.
Quellen und Referenzen: NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), BSI-Gesetz (BSIG) in der aktuellen Fassung, ENISA NIS2-Leitfäden, EU-Richtlinie 2022/2555 (NIS2), EU-Empfehlung 2003/361/EG (KMU-Definition)