NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?

Veröffentlicht am 13. Juni 2026 | Lesezeit: ca. 8 Minuten

Viele Geschäftsführer und IT-Verantwortliche stellen sich auch im Jahr 2026 noch dieselbe dringende Frage: Gilt NIS2 überhaupt für unser Unternehmen? Die Antwort ist nicht immer trivial – denn das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) erfasst deutlich mehr Unternehmen als seine Vorgängerregelung. Wer die Betroffenheit falsch einschätzt oder ignoriert, riskiert empfindliche Bußgelder nach § 65 BSIG in Höhe von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.

Dieser Artikel führt Sie Schritt für Schritt durch die NIS2-Betroffenheitsprüfung für Deutschland 2025/2026 – mit Sektorlisten, Größenkriterien, einem strukturierten Selbsttest und konkreten Handlungsempfehlungen.

Was ist die NIS2-Betroffenheitsprüfung und warum ist sie entscheidend?

Die NIS2-Richtlinie der EU (Richtlinie (EU) 2022/2555) wurde in Deutschland durch das NIS2UmsuCG in nationales Recht überführt. Die zentrale Norm für die Betroffenheit ist § 3 NIS2UmsuCG, der definiert, welche Einrichtungen als „wesentlich" oder „wichtig" eingestuft werden und damit den umfangreichen Pflichten des Gesetzes unterliegen.

Der entscheidende Unterschied zur alten KRITIS-Regulierung: Statt weniger Dutzend Großkonzerne fallen nun potenziell Tausende mittlere und große Unternehmen unter die Regulierung. Das BSI schätzt, dass bundesweit über 30.000 Unternehmen von NIS2 betroffen sind.

Eine korrekte Betroffenheitsprüfung ist deshalb keine bürokratische Pflichtübung, sondern die Grundlage jeder sinnvollen NIS2-Compliance-Strategie.

Die zwei Prüfdimensionen: Sektor und Größe

Die Betroffenheit nach § 3 NIS2UmsuCG ergibt sich immer aus dem Zusammenspiel zweier Kriterien:

  1. Tätigkeitsbereich (Sektor): Ist Ihr Unternehmen in einem der regulierten Sektoren tätig?
  2. Unternehmensgröße: Erfüllt Ihr Unternehmen die Schwellenwerte für Beschäftigte und Jahresumsatz/-bilanzsumme?

Nur wenn beide Bedingungen erfüllt sind, greift die NIS2-Regulierung – mit einer wichtigen Ausnahme: Bestimmte Einrichtungen werden unabhängig von ihrer Größe als wesentlich eingestuft (z. B. qualifizierte Vertrauensdiensteanbieter oder TLD-Registries).

Sektoren nach Anlage 1 und Anlage 2 NIS2UmsuCG

Anlage 1: Sektoren für wesentliche Einrichtungen (hochkritisch)

Diese Sektoren gelten als besonders kritisch für das gesellschaftliche und wirtschaftliche Funktionieren:

  • Energie (Strom, Gas, Fernwärme, Erdöl, Wasserstoff)
  • Verkehr (Luft, Bahn, Schiff, Straße)
  • Bankwesen (Kreditinstitute)
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen (Krankenhäuser, Labore, Pharmahersteller, Medizinprodukte)
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur (Internet-Knoten, DNS-Anbieter, TLD-Registries, Rechenzentren, CDN, Trust Services, elektronische Kommunikation)
  • Verwaltung von IKT-Diensten (B2B)
  • Weltraum

Anlage 2: Sektoren für wichtige Einrichtungen

Diese Sektoren sind ebenfalls reguliert, jedoch mit etwas abgestuften Anforderungen:

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Chemie (Herstellung, Handel)
  • Lebensmittel (Herstellung, Verarbeitung, Vertrieb)
  • Verarbeitendes Gewerbe / Herstellung (Medizinprodukte, Elektronik, Maschinenbau, Kraftfahrzeuge, sonstiger Fahrzeugbau)
  • Digitale Dienste (Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke)
  • Forschung

Praxishinweis: Viele Industrieunternehmen im Maschinenbau oder der Automobilzulieferkette entdecken erst bei genauer Prüfung, dass sie über die Anlage 2 in den Anwendungsbereich fallen.

Die Größenkriterien: Ab wann gilt NIS2?

Selbst wenn Ihr Unternehmen in einem regulierten Sektor tätig ist, müssen Mindestgrößen überschritten werden. Das NIS2UmsuCG orientiert sich dabei an der EU-Definition für Unternehmensgrößen:

Unternehmenskategorie Mitarbeiter Jahresumsatz oder Jahresbilanzsumme Einrichtungstyp
Großunternehmen (Anlage 1) ≥ 250 > 50 Mio. € oder > 43 Mio. € Wesentliche Einrichtung
Mittleres Unternehmen (Anlage 1) ≥ 50 > 10 Mio. € oder > 10 Mio. € Wesentliche Einrichtung
Großunternehmen (Anlage 2) ≥ 250 > 50 Mio. € oder > 43 Mio. € Wichtige Einrichtung
Mittleres Unternehmen (Anlage 2) ≥ 50 > 10 Mio. € oder > 10 Mio. € Wichtige Einrichtung
Kleinst-/Kleinunternehmen < 50 ≤ 10 Mio. € Grundsätzlich nicht betroffen*

*Ausnahmen gelten für bestimmte kritische Infrastrukturen unabhängig von der Größe, etwa qualifizierte Vertrauensdiensteanbieter, alleinige Anbieter kritischer Dienste oder Einrichtungen, die vom BSI individuell bestimmt werden.

Wichtig für Konzernstrukturen: Bei der Berechnung der Mitarbeiteranzahl und des Umsatzes sind verbundene Unternehmen und Partnerunternehmen im Sinne der EU-KMU-Definition zu berücksichtigen. Ein Tochterunternehmen mit 40 Mitarbeitern kann durch die Konzernzugehörigkeit trotzdem als mittleres Unternehmen gelten.

Wesentliche vs. wichtige Einrichtungen: Was ist der Unterschied?

Die Einstufung als wesentliche Einrichtung (essential entity) oder wichtige Einrichtung (important entity) hat praktische Konsequenzen:

Wesentliche Einrichtungen (§ 28 Abs. 1 NIS2UmsuCG)

  • Unterliegen der proaktiven Aufsicht durch das BSI
  • Das BSI kann jederzeit Audits, Inspektionen und Sicherheitsprüfungen anordnen
  • Strengere Nachweispflichten
  • Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes

Wichtige Einrichtungen (§ 28 Abs. 2 NIS2UmsuCG)

  • Unterliegen der reaktiven Aufsicht (BSI wird in der Regel erst nach einem Vorfall aktiv)
  • Gleichwertige technische und organisatorische Maßnahmen erforderlich
  • Bußgelder bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes

Trotz der unterschiedlichen Aufsichtsintensität sind die Kernpflichten – Risikomanagement, Meldepflichten, Sicherheitsmaßnahmen – für beide Kategorien weitgehend identisch.

Selbsttest: Bin ich von NIS2 betroffen? (Checkliste)

Nutzen Sie diesen strukturierten Selbsttest für eine erste Einschätzung Ihrer NIS2-Betroffenheit:

Schritt 1 – Sektorprüfung
- [ ] Ist mein Unternehmen in einem Sektor der Anlage 1 tätig? → Weiter mit Schritt 2
- [ ] Ist mein Unternehmen in einem Sektor der Anlage 2 tätig? → Weiter mit Schritt 2
- [ ] Nein zu beiden → NIS2 gilt in der Regel nicht (Ausnahmen prüfen!)

Schritt 2 – Größenprüfung
- [ ] Beschäftigt mein Unternehmen (inkl. verbundener Unternehmen) 50 oder mehr Mitarbeiter?
- [ ] Übersteigt der Jahresumsatz 10 Millionen Euro oder die Jahresbilanzsumme 10 Millionen Euro?
- [ ] Beide Fragen mit Ja → NIS2 ist anwendbar

Schritt 3 – Ausnahmeregelungen prüfen
- [ ] Handelt es sich um ein Kleinstunternehmen mit kritischer Funktion (alleiniger Anbieter)?
- [ ] Ist das Unternehmen ein qualifizierter Vertrauensdiensteanbieter?
- [ ] Hat das BSI eine individuelle Bestimmung vorgenommen?

Schritt 4 – Registrierungspflicht
- [ ] Betroffene Unternehmen müssen sich im BSI-Portal registrieren (§ 33 NIS2UmsuCG)
- [ ] Frist beachten: Registrierung innerhalb von 3 Monaten nach Feststellung der Betroffenheit

⚠️ Dieser Selbsttest ersetzt keine rechtliche oder fachliche Beratung. Bei Unsicherheiten empfiehlt sich die Konsultation eines auf IT-Recht spezialisierten Anwalts oder eines NIS2-Compliance-Beraters.

Konsequenzen bei Nichterfüllung: Was droht bei Versäumnissen?

Das NIS2UmsuCG hat die Sanktionsmechanismen gegenüber der alten KRITIS-Regulierung erheblich verschärft. Relevant ist insbesondere § 65 BSIG (Bußgeldvorschriften):

Bußgelder

  • Wesentliche Einrichtungen: Bis zu 10 Millionen Euro oder 2 % des gesamten weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist
  • Wichtige Einrichtungen: Bis zu 7 Millionen Euro oder 1,4 % des gesamten weltweiten Jahresumsatzes

Persönliche Haftung der Geschäftsführung

Ein oft unterschätzter Aspekt: Nach § 38 NIS2UmsuCG sind Geschäftsführer und Vorstandsmitglieder persönlich verpflichtet, die Umsetzung der Cybersicherheitsmaßnahmen zu überwachen und zu genehmigen. Sie haften persönlich für Verstöße und können nicht auf die IT-Abteilung oder externe Dienstleister verweisen.

Operative Konsequenzen

  • Anordnung von Sicherheitsaudits auf Kosten des Unternehmens
  • Öffentliche Bekanntmachung von Verstößen (Naming & Shaming)
  • Im Extremfall: Vorübergehendes Tätigkeitsverbot für verantwortliche Manager

7 konkrete Handlungsempfehlungen für betroffene Unternehmen

Wenn Ihre Betroffenheitsprüfung ergibt, dass NIS2 auf Ihr Unternehmen zutrifft, empfehlen wir folgende Sofortmaßnahmen:

  1. Betroffenheit dokumentieren: Halten Sie das Ergebnis Ihrer Prüfung schriftlich fest – mit Begründung der Sektorzuordnung und Größenberechnung. Dies dient als Nachweis gegenüber dem BSI.

  2. BSI-Registrierung veranlassen: Registrieren Sie Ihr Unternehmen im BSI-Portal für NIS2-Einrichtungen. Die Registrierungspflicht nach § 33 NIS2UmsuCG ist eine der ersten formalen Pflichten.

  3. Gap-Analyse durchführen: Vergleichen Sie den aktuellen Stand Ihrer IT-Sicherheitsmaßnahmen mit den Anforderungen des § 30 NIS2UmsuCG (Risikomanagement). Identifizieren Sie Lücken systematisch.

  4. ISMS aufbauen oder erweitern: Implementieren Sie ein Informationssicherheits-Managementsystem (ISMS) – idealerweise auf Basis von ISO/IEC 27001 oder dem BSI IT-Grundschutz. Beide sind vom BSI als geeignete Rahmenwerke anerkannt.

  5. Meldeprozesse etablieren: Richten Sie interne Prozesse für die Meldung erheblicher Sicherheitsvorfälle ein. Die NIS2-Fristen sind eng: 24 Stunden für die Erstmeldung, 72 Stunden für die detaillierte Meldung an das BSI (§ 32 NIS2UmsuCG).

  6. Lieferkettensicherheit prüfen: NIS2 verpflichtet zur Berücksichtigung von Cybersicherheitsrisiken in der Lieferkette. Überprüfen Sie kritische Dienstleister und fordern Sie Sicherheitsnachweise ein.

  7. Geschäftsführung schulen: Sensibilisieren Sie Vorstand und Geschäftsführung für ihre persönliche Verantwortung nach § 38 NIS2UmsuCG. Cybersicherheit ist Chefsache – rechtlich und operativ.

Sonderfall: Kleinunternehmen als Teil der Lieferkette

Auch wenn Ihr Unternehmen die Größenschwellen nicht erreicht und damit formal nicht direkt von NIS2 betroffen ist, kann die Richtlinie indirekt relevant werden: Wenn Sie als Dienstleister oder Zulieferer für eine wesentliche oder wichtige Einrichtung tätig sind, wird diese NIS2-konforme Sicherheitsanforderungen vertraglich an Sie weitergeben. Die ENISA und das BSI empfehlen daher auch KMU, die grundlegenden Cybersicherheitsmaßnahmen umzusetzen – etwa auf Basis des BSI-Grundschutzkompendiums oder des ENISA-Leitfadens für KMU.

Fazit: Jetzt handeln, bevor der Aufwand größer wird

Die NIS2-Betroffenheitsprüfung ist der unverzichtbare erste Schritt auf dem Weg zur Compliance. Unternehmen, die in regulierten Sektoren tätig sind und die Größenkriterien von 50+ Mitarbeitern und 10 Millionen Euro Umsatz erfüllen, sollten ohne weiteres Zögern aktiv werden.

Ihre nächsten drei Schritte:
1. Führen Sie die Betroffenheitsprüfung anhand der Sektortabellen und Größenkriterien durch und dokumentieren Sie das Ergebnis.
2. Registrieren Sie sich beim BSI, sofern Ihre Prüfung eine Betroffenheit ergibt.
3. Starten Sie mit einer strukturierten Gap-Analyse Ihrer bestehenden Sicherheitsmaßnahmen gegenüber den NIS2-Anforderungen.

Die Erfahrungen aus der Aufsichtspraxis zeigen: Unternehmen, die frühzeitig in strukturierte Compliance-Prozesse investiert haben, reduzieren nicht nur ihr Haftungsrisiko erheblich – sie profitieren auch von einer spürbar verbesserten Resilienz gegenüber Cyberangriffen.

💡 Praxis-Tipp: NIS2-Compliance mit Software-Unterstützung

Die Umsetzung der NIS2-Anforderungen erzeugt erheblichen Dokumentations- und Verwaltungsaufwand: Richtlinien, Risikoanalysen, Maßnahmenkataloge, Lieferantenbewertungen und Vorfallmeldungen müssen systematisch erstellt, gepflegt und nachgewiesen werden. Spezialisierte NIS2-Compliance- und ISMS-Software hilft Ihnen dabei, diese Aufgaben strukturiert anzugehen – von der automatisierten Betroffenheitsprüfung über die Gap-Analyse bis zur revisionssicheren Dokumentation aller Maßnahmen. Wer heute mit einem geeigneten Tool startet, spart erheblichen manuellen Aufwand und ist für BSI-Audits besser gerüstet. Recherchieren Sie gezielt nach Lösungen, die den deutschen NIS2-Anforderungen entsprechen und eine BSI-konforme Dokumentationsstruktur mitbringen.

Quellen und Referenzen: NIS2UmsuCG (BGBl. 2024 I Nr. 273), § 3, § 28, § 30, § 32, § 33, § 38, § 65 BSIG n.F.; Richtlinie (EU) 2022/2555 (NIS2); BSI-Informationsseite zu NIS2 (bsi.bund.de); ENISA Guidelines on Security Measures for NIS2.