NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?
Veröffentlicht am 14. Juni 2026 | Lesedauer: ca. 8 Minuten
Seit dem Inkrafttreten des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) stehen tausende deutsche Unternehmen vor einer zentralen Frage: Sind wir überhaupt betroffen? Die Antwort darauf ist alles andere als trivial – denn die NIS2-Richtlinie hat den Kreis der regulierten Einrichtungen gegenüber dem Vorgängergesetz erheblich ausgeweitet. Wer die Betroffenheitsprüfung versäumt oder falsch bewertet, riskiert nicht nur Sicherheitslücken, sondern empfindliche Bußgelder nach §65 BSIG.
Dieser Artikel liefert Ihnen eine strukturierte Schritt-für-Schritt-Anleitung zur NIS2-Betroffenheitsprüfung für Unternehmen in Deutschland 2025 und 2026 – inklusive Sektorenübersicht, Größenkriterien, einem Selbsttest und konkreten Handlungsempfehlungen.
Was regelt §3 NIS2UmsuCG – und warum ist er entscheidend?
§3 NIS2UmsuCG definiert den persönlichen Anwendungsbereich des Gesetzes. Er legt fest, welche Einrichtungen als „wesentlich" oder „wichtig" eingestuft werden und damit den umfassenden Pflichtenkatalog des Gesetzes erfüllen müssen. Die Norm unterscheidet dabei zwischen:
- Wesentlichen Einrichtungen (§3 Abs. 1 NIS2UmsuCG)
- Wichtigen Einrichtungen (§3 Abs. 2 NIS2UmsuCG)
- Besonderen Einrichtungen wie Betreiber kritischer Anlagen oder Bundesbehörden
Die Einstufung ist entscheidend, weil sie bestimmt, welche Anforderungen (z. B. Risikomaßnahmen nach §30 BSIG, Registrierungspflichten nach §33 BSIG) sowie welche Bußgeldhöhen bei Verstößen gelten.
Schritt 1: Gehört Ihr Unternehmen zu einem regulierten Sektor?
Die NIS2-Richtlinie reguliert Unternehmen nicht branchenübergreifend, sondern richtet sich gezielt an bestimmte Sektoren. Diese sind im deutschen Umsetzungsgesetz in zwei Anlagen aufgeführt.
Anlage 1: Sektoren mit hoher Kritikalität (wesentliche Einrichtungen)
| Sektor | Beispiele |
|---|---|
| Energie | Strom-, Gas-, Wärme-, Wasserstoffversorgung |
| Transport und Verkehr | Luft-, Bahn-, Wasser-, Straßenverkehr |
| Bankwesen | Kreditinstitute, Zahlungsdienstleister |
| Finanzmarktinfrastruktur | Handelsplätze, zentrale Gegenparteien |
| Gesundheitswesen | Krankenhäuser, Labore, Pharmahersteller |
| Trinkwasser | Wasserversorgung und -verteilung |
| Abwasser | Abwassersammlung und -behandlung |
| Digitale Infrastruktur | IXP, DNS, TLD-Register, Cloud-Anbieter, RZ |
| ICT-Servicemanagement (B2B) | Managed Service Provider, Managed Security Provider |
| Öffentliche Verwaltung | Bundes- und Landesbehörden |
| Weltraum | Bodeninfrastrukturbetreiber |
Anlage 2: Sonstige kritische Sektoren (wichtige Einrichtungen)
| Sektor | Beispiele |
|---|---|
| Post- und Kurierdienste | Paketzustellung, Briefdienstleister |
| Abfallwirtschaft | Abfallsammlung und -behandlung |
| Chemische Industrie | Herstellung/Handel mit Chemikalien |
| Lebensmittelwirtschaft | Lebensmittelproduktion und -großhandel |
| Verarbeitendes Gewerbe | Hersteller von Medizinprodukten, Maschinen, Fahrzeugen, Elektronik |
| Digitale Dienste | Online-Marktplätze, Suchmaschinen, soziale Netzwerke |
| Forschung | Forschungseinrichtungen (optional, länderspezifisch) |
Praxis-Hinweis: Viele Unternehmen unterschätzen ihre Sektorzugehörigkeit. Ein Maschinenbauunternehmen, das industrielle Steuerungssysteme herstellt, kann ebenso unter Anlage 2 fallen wie ein mittelständischer IT-Dienstleister, der als Managed Service Provider agiert.
Schritt 2: Erfüllen Sie die Größenkriterien?
Die Sektorzugehörigkeit allein genügt nicht. Das NIS2UmsuCG orientiert sich für die Größenkriterien an der EU-Empfehlung 2003/361/EG zur KMU-Definition. Grundsätzlich gilt:
Größenschwellen im Überblick
| Einrichtungstyp | Mitarbeiter | Jahresumsatz ODER Jahresbilanzsumme |
|---|---|---|
| Wesentliche Einrichtung (Großunternehmen) | ≥ 250 | > 50 Mio. € Umsatz oder > 43 Mio. € Bilanz |
| Wichtige Einrichtung (Mittleres Unternehmen) | ≥ 50 | > 10 Mio. € Umsatz oder > 10 Mio. € Bilanz |
| Unabhängig von Größe (automatisch erfasst) | – | Betreiber kritischer Anlagen, TLD-Register, DNS-Resolver u. a. |
Wichtig: Bei der Berechnung der Mitarbeiterzahl und des Umsatzes sind verbundene Unternehmen und Partnerunternehmen gemäß EU-Empfehlung einzubeziehen. Konzernunternehmen, die für sich genommen klein erscheinen, können durch die Konsolidierung in die Regulierung fallen.
Ausnahmen und Sonderfälle
Einige Einrichtungstypen fallen unabhängig von ihrer Größe unter NIS2:
- Betreiber kritischer Anlagen im Sinne des §28 BSIG
- Anbieter öffentlicher elektronischer Kommunikationsnetze
- Qualifizierte Vertrauensdiensteanbieter
- TLD-Namenregister und DNS-Diensteanbieter
- Einrichtungen der öffentlichen Verwaltung auf Bundes- und Landesebene
Schritt 3: Wesentliche vs. wichtige Einrichtung – der Unterschied zählt
Die Unterscheidung zwischen wesentlichen und wichtigen Einrichtungen hat erhebliche praktische Konsequenzen:
| Kriterium | Wesentliche Einrichtung | Wichtige Einrichtung |
|---|---|---|
| Sektor | Anlage 1 | Anlage 2 |
| Größe | Groß (≥ 250 MA) | Mittel (≥ 50 MA) |
| BSI-Aufsicht | Proaktiv (ex-ante) | Reaktiv (ex-post) |
| Bußgeld bei Verstoß (§65 BSIG) | Bis 10 Mio. € oder 2 % des globalen Jahresumsatzes | Bis 7 Mio. € oder 1,4 % des globalen Jahresumsatzes |
| Registrierungspflicht | §33 BSIG, aktiv | §33 BSIG, aktiv |
| Managerhaftung | §38 BSIG, persönlich | §38 BSIG, persönlich |
Hinweis zur Managerhaftung: §38 NIS2UmsuCG bzw. §38 BSIG sieht vor, dass Geschäftsführer und Vorstände die Umsetzung von Cybersicherheitsmaßnahmen persönlich zu überwachen haben und bei schuldhaften Verstößen persönlich haftbar gemacht werden können. Diese Haftung kann nicht durch gesellschaftsrechtliche Regelungen ausgeschlossen werden.
Selbsttest: Ist Ihr Unternehmen NIS2-pflichtig?
Beantworten Sie die folgenden Fragen der Reihe nach:
Checkliste zur NIS2-Betroffenheitsprüfung
Block A – Sektorzugehörigkeit
- [ ] Ist mein Unternehmen in einem der Sektoren aus Anlage 1 oder Anlage 2 tätig?
- [ ] Erbringt mein Unternehmen Dienstleistungen für Sektoren aus Anlage 1 oder 2 (z. B. als IT-Dienstleister, Zulieferer)?
- [ ] Betreibe ich digitale Infrastruktur (Cloud, Rechenzentrum, CDN, DNS)?
Block B – Größenkriterien
- [ ] Beschäftigt mein Unternehmen (inkl. verbundener Unternehmen) ≥ 50 Mitarbeiter?
- [ ] Übersteigt der konsolidierte Jahresumsatz 10 Mio. €?
- [ ] Bin ich Betreiber einer kritischen Anlage nach §28 BSIG (größenunabhängig)?
Block C – Automatische Erfassung
- [ ] Bin ich qualifizierter Vertrauensdiensteanbieter?
- [ ] Betreibe ich öffentliche elektronische Kommunikationsnetze?
- [ ] Bin ich als Bundesbehörde oder Landesbehörde tätig?
Auswertung:
- Ja in Block A UND Block B: Sie sind sehr wahrscheinlich NIS2-pflichtig → professionelle Betroffenheitsprüfung empfohlen.
- Ja in Block C: Sie sind unabhängig von Größe und Sektor NIS2-pflichtig.
- Alle Nein: Derzeit kein direkter Anwendungsbereich – aber Lieferkettenpflichten Ihrer Kunden beachten!
Was passiert bei Nichterfüllung? Bußgelder nach §65 BSIG
Das Bußgeldregime des BSIG ist eines der schärfsten in der deutschen Regulierungsgeschichte. §65 BSIG sieht für wesentliche Einrichtungen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes vor – je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen gilt die Schwelle von 7 Millionen Euro oder 1,4 % des Jahresumsatzes.
Besonders relevant sind Verstöße gegen:
- §30 BSIG – Pflicht zur Implementierung von Risikomanagementmaßnahmen (technische und organisatorische Maßnahmen)
- §31 BSIG – Meldepflichten bei erheblichen Sicherheitsvorfällen (24-Stunden-Erstmeldung ans BSI)
- §33 BSIG – Registrierungspflicht beim BSI
- §38 BSIG – Schulungspflicht und Überwachungspflicht der Geschäftsleitung
Das BSI hat angekündigt, die Aufsichtstätigkeit ab 2025/2026 deutlich zu intensivieren. Erste Bußgeldverfahren wurden bereits eingeleitet.
7 konkrete Handlungsempfehlungen für Ihre NIS2-Betroffenheitsprüfung
-
Sektor-Mapping durchführen: Analysieren Sie Ihre Geschäftsfelder systematisch anhand der Anlage 1 und Anlage 2 des NIS2UmsuCG. Beachten Sie dabei auch Tochtergesellschaften und Geschäftsbereiche.
-
Unternehmensgrößen korrekt konsolidieren: Berechnen Sie Mitarbeiterzahl und Umsatz nach der EU-KMU-Definition unter Einbeziehung verbundener und Partnerunternehmen. Lassen Sie dies rechtlich prüfen.
-
Lieferkette analysieren: Prüfen Sie, ob Ihre Kunden NIS2-pflichtig sind und entsprechende Anforderungen an Sie als Zulieferer weitergeben. Lieferkettenanforderungen nach §30 Abs. 2 Nr. 4 BSIG können Sie indirekt betreffen.
-
Beim BSI registrieren: Sofern Sie betroffen sind, müssen Sie sich gemäß §33 BSIG beim BSI registrieren. Das BSI hat eine Online-Plattform bereitgestellt. Versäumte Registrierungen sind selbst bußgeldbewehrt.
-
Gap-Analyse durchführen: Vergleichen Sie Ihre aktuellen Cybersicherheitsmaßnahmen mit den Anforderungen des §30 BSIG. Identifizieren Sie Lücken und priorisieren Sie Maßnahmen.
-
Meldeprozesse etablieren: Richten Sie interne Prozesse ein, die eine fristgerechte Meldung erheblicher Sicherheitsvorfälle innerhalb von 24 Stunden (Erstmeldung) und 72 Stunden (Folgemeldung) an das BSI ermöglichen.
-
Geschäftsleitung schulen und einbinden: §38 BSIG verpflichtet die Geschäftsleitung zur Überwachung der Cybersicherheitsmaßnahmen. Sorgen Sie für nachweisbare Schulungen und dokumentieren Sie die Einbindung der Führungsebene.
Fazit: Jetzt handeln – Betroffenheit klären, Haftungsrisiken minimieren
Die NIS2-Betroffenheitsprüfung ist kein einmaliger Akt, sondern ein kontinuierlicher Prozess: Unternehmensgrößen ändern sich, Geschäftsfelder entwickeln sich weiter, und auch der regulatorische Rahmen wird durch nationale Konkretisierungen fortlaufend präzisiert. Wer heute noch keine eindeutige Antwort auf die Frage „Sind wir NIS2-pflichtig?" hat, sollte sofort handeln.
Ihre nächsten Schritte zusammengefasst:
- Sektor- und Größenprüfung intern durchführen (oder extern beauftragen)
- BSI-Registrierung vorbereiten (sofern betroffen)
- Gap-Analyse auf Basis §30 BSIG starten
- Meldeprozesse und Eskalationsketten definieren
- Geschäftsleitung informieren und in die Verantwortung nehmen
Die regulatorische Uhr läuft – und das BSI prüft aktiv. Unternehmen, die jetzt die Grundlagen schaffen, verschaffen sich nicht nur Rechtssicherheit, sondern auch einen echten Wettbewerbsvorteil gegenüber weniger gut aufgestellten Mitbewerbern.
Nächste Schritte mit der richtigen Software-Unterstützung
Die Betroffenheitsprüfung und die anschließende NIS2-Umsetzung erfordern strukturierte Prozesse, lückenlose Dokumentation und regelmäßige Aktualisierung. Spezialisierte ISMS- und NIS2-Compliance-Software kann dabei helfen, die Betroffenheitsprüfung systematisch durchzuführen, Risikoanalysen zu dokumentieren, Maßnahmenpläne zu verwalten und BSI-Meldungen fristgerecht vorzubereiten. Viele Tools bieten zudem integrierte Sektorenprüfungen und automatisierte Erinnerungen für Registrierungs- und Meldefristen – ein erheblicher Zeitgewinn für IT-Teams und Compliance-Verantwortliche. Informieren Sie sich über entsprechende Lösungen und nutzen Sie kostenfreie Demo-Angebote, um das passende Tool für Ihre Unternehmensgröße und Branche zu finden.
Dieser Artikel dient der allgemeinen Information und ersetzt keine rechtliche oder fachkundige Beratung. Für eine verbindliche Betroffenheitseinschätzung empfehlen wir die Hinzuziehung eines auf IT-Recht spezialisierten Rechtsanwalts oder eines zertifizierten Informationssicherheitsberaters.