NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?

Veröffentlicht am 12. Juni 2026 | Lesezeit: ca. 8 Minuten

Die NIS2-Richtlinie der Europäischen Union hat die Cybersicherheitslandschaft in Deutschland grundlegend verändert. Seit der Umsetzung durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) gelten für tausende Unternehmen in Deutschland neue, weitreichende Pflichten. Doch eine der häufigsten Fragen, die IT-Verantwortliche und Geschäftsführer stellen, lautet nach wie vor: Betrifft mich das überhaupt?

Diese Frage ist keineswegs trivial. Eine fehlerhafte Einschätzung – in beide Richtungen – kann teuer werden. Wer fälschlicherweise annimmt, nicht betroffen zu sein, riskiert empfindliche Bußgelder nach § 65 BSIG. Wer unnötig aufwendige Maßnahmen implementiert, verschwendet wertvolle Ressourcen. Dieser Artikel führt Sie Schritt für Schritt durch die NIS2-Betroffenheitsprüfung und gibt Ihnen konkrete Werkzeuge an die Hand, um Ihre Situation rechtssicher einzuschätzen.

Was regelt §3 NIS2UmsuCG?

Der Schlüsselparagraph für die Betroffenheitsprüfung ist § 3 NIS2UmsuCG, der den Anwendungsbereich des Gesetzes definiert. Er unterscheidet zwischen zwei Hauptkategorien von Einrichtungen:

  • Wesentliche Einrichtungen (essential entities): Unterliegen den strengsten Anforderungen und der intensivsten Aufsicht durch das BSI.
  • Wichtige Einrichtungen (important entities): Ebenfalls verpflichtet, jedoch mit etwas geringerer Aufsichtsintensität, aber vergleichbaren technischen Pflichten.

Entscheidend für die Einordnung sind zwei unabhängige Kriterien, die beide erfüllt sein müssen: die Zugehörigkeit zu einem regulierten Sektor und die Unternehmensgröße. Bereits eine Ausnahme – zum Beispiel eine besondere kritische Infrastrukturrelevanz – kann jedoch dazu führen, dass auch kleinere Unternehmen in den Anwendungsbereich fallen.

Schritt 1: Gehört Ihr Unternehmen zu einem regulierten Sektor?

Anlage 1 – Sektoren für wesentliche Einrichtungen

Die Anlage 1 zum NIS2UmsuCG umfasst elf Hochrisikosektoren. Unternehmen in diesen Bereichen unterliegen grundsätzlich den strengsten NIS2-Anforderungen:

  1. Energie (Strom, Gas, Öl, Wasserstoff, Fernwärme)
  2. Verkehr (Luftfahrt, Bahn, Schifffahrt, Straße)
  3. Bankwesen
  4. Finanzmarktinfrastrukturen
  5. Gesundheitswesen (Krankenhäuser, Labore, Pharmaunternehmen)
  6. Trinkwasser
  7. Abwasser
  8. Digitale Infrastruktur (DNS, TLD, Cloud-Anbieter, Rechenzentren, CDN, Vertrauensdiensteanbieter)
  9. Verwaltung von IKT-Diensten (B2B-Managed Service Provider)
  10. Öffentliche Verwaltung
  11. Weltraum

Anlage 2 – Sektoren für wichtige Einrichtungen

Die Anlage 2 erweitert den Kreis auf weitere sieben Sektoren, deren Einrichtungen als „wichtig" klassifiziert werden:

  1. Post- und Kurierdienste
  2. Abfallbewirtschaftung
  3. Herstellung, Produktion und Vertrieb von Chemikalien
  4. Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  5. Verarbeitendes Gewerbe / Herstellung von Waren (u. a. Medizinprodukte, Maschinen, Fahrzeuge, Elektronik)
  6. Anbieter digitaler Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
  7. Forschungseinrichtungen

Wichtig: Die Sektorenzuordnung orientiert sich am Schwerpunkt der wirtschaftlichen Tätigkeit. Mischkonzerne müssen prüfen, welche ihrer Geschäftsbereiche unter welche Anlage fallen.

Schritt 2: Erfüllt Ihr Unternehmen die Größenkriterien?

Die bloße Sektorzugehörigkeit genügt in den meisten Fällen nicht. Ergänzend müssen die Größenschwellenwerte gemäß § 3 NIS2UmsuCG i.V.m. der EU-KMU-Definition überschritten werden:

Größenkriterien im Überblick

Kategorie Mitarbeiterzahl Jahresumsatz ODER Jahresbilanzsumme
Wesentliche Einrichtung ≥ 250 Mitarbeiter ≥ 50 Mio. € Umsatz oder ≥ 43 Mio. € Bilanzsumme
Wichtige Einrichtung ≥ 50 Mitarbeiter ≥ 10 Mio. € Umsatz oder ≥ 10 Mio. € Bilanzsumme
Ausnahme: Kritische Anlage Keine Mindestgröße Keine Mindestgröße

Hinweis zur Berechnung: Die Mitarbeiterzahl und Finanzkennzahlen beziehen sich auf Vollzeitäquivalente und können bei verbundenen Unternehmen oder Partnerunternehmen konsolidiert werden. Tochtergesellschaften müssen unter Umständen die Zahlen der Muttergesellschaft einbeziehen – hier lauert eine häufige Falle in der Praxis.

Ausnahmen von den Größenkriterien

Es gibt gesetzlich definierte Fälle, in denen auch kleinere Unternehmen unabhängig von ihrer Größe in den Anwendungsbereich fallen:

  • Unternehmen sind alleinige Anbieter eines kritischen Dienstes in einem Mitgliedstaat
  • Ein Ausfall würde erhebliche Auswirkungen auf die öffentliche Sicherheit, öffentliche Ordnung oder öffentliche Gesundheit haben
  • Unternehmen sind Vertrauensdiensteanbieter, DNS-Resolver oder TLD-Registries
  • Qualifizierte Einstufung durch die zuständige Behörde (BSI)

Schritt 3: Wesentliche vs. Wichtige Einrichtung – Was ist der Unterschied?

Die Unterscheidung ist praktisch relevant, denn sie bestimmt den Umfang der Aufsicht und die Höhe möglicher Sanktionen:

Wesentliche Einrichtungen (§ 28 Abs. 1 NIS2UmsuCG)

  • Aktive, regelmäßige Ex-ante-Aufsicht durch das BSI
  • Höhere Bußgelder: bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes
  • Strengere Berichtspflichten bei Sicherheitsvorfällen
  • Umfassendere Nachweispflichten gegenüber dem BSI

Wichtige Einrichtungen (§ 28 Abs. 2 NIS2UmsuCG)

  • Reaktive Ex-post-Aufsicht (BSI wird erst bei konkretem Anlass tätig)
  • Bußgelder: bis zu 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes
  • Gleiche technische und organisatorische Mindestanforderungen wie wesentliche Einrichtungen

Selbsttest: Bin ich von NIS2 betroffen?

Nutzen Sie diese Checkliste für eine erste Orientierung. Beantwortet jede Frage wahrheitsgemäß – im Zweifelsfall empfehlen wir die Hinzuziehung eines Rechtsberaters oder Informationssicherheits-Experten.

NIS2-Betroffenheits-Checkliste

  • [ ] Sektor: Ist mein Unternehmen in einem der Sektoren aus Anlage 1 oder Anlage 2 tätig?
  • [ ] Mitarbeiter: Beschäftigt mein Unternehmen (inkl. verbundener Unternehmen) 50 oder mehr Mitarbeiter?
  • [ ] Umsatz/Bilanzsumme: Überschreitet mein Jahresumsatz oder meine Bilanzsumme 10 Mio. Euro?
  • [ ] Kritikalität: Bin ich möglicherweise alleiniger Anbieter eines systemrelevanten Dienstes?
  • [ ] Digitale Infrastruktur: Betreibe ich DNS-Dienste, Cloud-Infrastruktur, Rechenzentren oder Managed Services für Dritte?
  • [ ] Lieferkette: Bin ich Teil der Lieferkette einer bereits regulierten kritischen Infrastruktur?

Auswertung:
- Alle Nein: Sehr wahrscheinlich nicht betroffen – regelmäßige Überprüfung dennoch empfehlenswert.
- Mindestens eine Ja bei Sektor + Größe: Prüfung der genauen Einstufung erforderlich.
- Ja bei Anlage 1 + 250 MA + 50 Mio. €: Sehr wahrscheinlich wesentliche Einrichtung.
- Ja bei Anlage 1 oder 2 + 50 MA + 10 Mio. €: Wahrscheinlich wichtige Einrichtung.

Was droht bei Nichterfüllung? Bußgelder nach §65 BSIG

Die Sanktionen sind erheblich und sollten jeden Geschäftsführer aufhorchen lassen. § 65 BSIG sieht folgende Bußgelder vor:

Verstoß Wesentliche Einrichtung Wichtige Einrichtung
Fehlende Risikomaßnahmen (§ 30 BSIG) bis 10 Mio. € / 2 % Umsatz bis 7 Mio. € / 1,4 % Umsatz
Verletzung der Meldepflicht (§ 32 BSIG) bis 10 Mio. € / 2 % Umsatz bis 7 Mio. € / 1,4 % Umsatz
Fehlende Registrierung (§ 33 BSIG) bis 500.000 € bis 500.000 €
Verletzung der Nachweispflicht bis 500.000 € bis 500.000 €

Besonders gravierend: Geschäftsführer und Vorstände können persönlich haftbar gemacht werden (§ 38 BSIG). Die persönliche Haftung bei grober Fahrlässigkeit oder Vorsatz ist explizit geregelt und kann nicht durch eine D&O-Versicherung vollständig abgedeckt werden. Das BSI kann zudem bei wesentlichen Einrichtungen die vorübergehende Untersagung der Leitungstätigkeit anordnen – ein drastisches Mittel, das die Ernsthaftigkeit der Regulierung unterstreicht.

Die häufigsten Irrtümer bei der Betroffenheitsprüfung

In der Beratungspraxis begegnen uns immer wieder dieselben Fehlannahmen:

Irrtum 1: „Wir sind zu klein."
Viele mittelständische Unternehmen unterschätzen ihre eigene Größe, besonders wenn Tochter- und Schwestergesellschaften einzubeziehen sind. Ein Unternehmen mit 45 eigenen Mitarbeitern, das aber zu einem Konzern mit 300 Beschäftigten gehört, kann sehr wohl betroffen sein.

Irrtum 2: „Wir sind kein IT-Unternehmen."
NIS2 betrifft keineswegs nur Technologieunternehmen. Ein mittelgroßes Lebensmittelverarbeitungsunternehmen oder ein Maschinenbauer kann ebenso in den Anwendungsbereich fallen.

Irrtum 3: „Das regelt unsere IT-Abteilung."
NIS2 ist Chefsache. Die persönliche Haftung der Geschäftsleitung ist explizit verankert. Compliance-Verantwortung kann delegiert, aber nicht ausgelagert werden.

Irrtum 4: „Wir haben uns noch nicht registriert, also gilt das noch nicht."
Die Pflichten gelten unabhängig von einer Registrierung. Die unterlassene Registrierung ist selbst ein Bußgeldtatbestand.

Konkrete Handlungsempfehlungen: So gehen Sie jetzt vor

  1. Sektoranalyse durchführen: Identifizieren Sie alle Geschäftsbereiche Ihres Unternehmens und ordnen Sie diese den Anlagen 1 und 2 des NIS2UmsuCG zu. Beziehen Sie dabei alle verbundenen Unternehmen und Tochtergesellschaften ein.

  2. Größenmerkmale konsolidiert ermitteln: Lassen Sie von Ihrem Controlling die relevanten Kennzahlen (Mitarbeiterzahl in VZÄ, Jahresumsatz, Bilanzsumme) für den gesamten Unternehmensverbund ermitteln – nicht nur für die einzelne juristische Person.

  3. Rechtliche Einordnung vornehmen: Beauftragen Sie einen Rechtsanwalt mit Schwerpunkt IT-Recht oder einen zertifizierten CISO, die formale Einordnung in „wesentlich" oder „wichtig" vorzunehmen und zu dokumentieren.

  4. Registrierung beim BSI vornehmen: Betroffene Unternehmen müssen sich beim BSI registrieren. Nutzen Sie dafür das offizielle Meldeportal des BSI (MELDP). Die Registrierung ist Pflicht, nicht Kür.

  5. Gap-Analyse zur aktuellen Sicherheitslage: Vergleichen Sie Ihre bestehenden Sicherheitsmaßnahmen mit den Anforderungen aus § 30 BSIG (technische und organisatorische Maßnahmen). Dokumentieren Sie alle Lücken.

  6. Incident-Response-Prozesse etablieren: Stellen Sie sicher, dass Sie Sicherheitsvorfälle fristgerecht melden können: Erstmeldung innerhalb von 24 Stunden, Folgemeldung innerhalb von 72 Stunden, Abschlussbericht nach 30 Tagen (§ 32 BSIG).

  7. Geschäftsleitung sensibilisieren: Führen Sie eine nachweisliche Schulung der Geschäftsleitung zu NIS2-Pflichten durch. Die persönliche Haftung macht dies zur unmittelbaren Chefsache – dokumentieren Sie diese Schulung sorgfältig.

  8. Lieferkette analysieren: Prüfen Sie, ob Ihre Zulieferer und Dienstleister ihrerseits NIS2-konform sind, da Sie als betroffene Einrichtung auch für Risiken in der Lieferkette verantwortlich sind (§ 30 Abs. 2 Nr. 4 BSIG).

Fazit: Jetzt handeln, bevor es zu spät ist

Die NIS2-Betroffenheitsprüfung ist kein bürokratischer Selbstzweck – sie ist der erste und entscheidende Schritt auf dem Weg zu einer robusten Cybersicherheitsstrategie. Wer im Jahr 2026 noch immer nicht geklärt hat, ob sein Unternehmen unter die Richtlinie fällt, spielt mit dem Feuer.

Ihre nächsten drei Schritte:

  1. Heute: Führen Sie die Selbst-Checkliste in diesem Artikel durch und notieren Sie sich Ihre vorläufige Einschätzung.
  2. Diese Woche: Beauftragen Sie IT-Sicherheits- und Rechtsexperten mit der formalen Betroffenheitsprüfung und Einordnung.
  3. Diesen Monat: Starten Sie mit der Gap-Analyse und priorisieren Sie die dringlichsten Maßnahmen aus dem NIS2-Katalog.

Das BSI stellt auf seiner Website umfangreiche Orientierungshilfen bereit. Nutzen Sie diese kostenfrei verfügbaren Ressourcen als Einstieg – und ergänzen Sie sie mit professioneller Beratung.

Tipp: NIS2-Compliance strukturiert angehen

Die Dokumentation, Nachweisführung und laufende Überwachung der NIS2-Anforderungen lässt sich erheblich effizienter gestalten, wenn Sie auf spezialisierte ISMS- und NIS2-Compliance-Software setzen. Moderne Lösungen unterstützen Sie dabei, die Betroffenheitsprüfung zu dokumentieren, Risikobewertungen strukturiert durchzuführen, Maßnahmenpläne zu verwalten und Meldepflichten fristgerecht einzuhalten – alles in einem zentralen System, das auch bei BSI-Audits als Nachweis dient. Eine automatisierte Erinnerungsfunktion für wiederkehrende Überprüfungen sorgt dafür, dass Ihre NIS2-Compliance nicht einmalig, sondern dauerhaft sichergestellt ist.

Dieser Artikel dient der allgemeinen Information und ersetzt keine individuelle Rechtsberatung. Für eine verbindliche Betroffenheitsprüfung wenden Sie sich an einen qualifizierten IT-Rechtsanwalt oder zertifizierten Informationssicherheitsberater.

Quellen: NIS2UmsuCG (BGBl. 2024), BSIG n.F., BSI-Orientierungshilfe NIS2 (Stand 2025), ENISA NIS2 Implementation Guidelines 2025, Richtlinie (EU) 2022/2555.