NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?
Veröffentlicht am 15. Juni 2026 | Lesedauer: ca. 8 Minuten
Die NIS2-Richtlinie der Europäischen Union ist seit ihrer Umsetzung durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in deutsches Recht eines der meistdiskutierten Themen in der IT-Sicherheitsbranche. Dennoch herrscht in vielen deutschen Unternehmen nach wie vor Unsicherheit: Bin ich überhaupt betroffen? Diese Frage ist keine Kleinigkeit – denn wer irrtümlich annimmt, nicht unter die Richtlinie zu fallen, riskiert empfindliche Bußgelder und erhebliche Reputationsschäden.
Dieser Artikel führt Sie strukturiert durch die NIS2-Betroffenheitsprüfung für Unternehmen in Deutschland und klärt, welche Sektoren, Unternehmensgrößen und Einrichtungstypen relevant sind. Am Ende finden Sie einen praktischen Selbsttest sowie konkrete Handlungsempfehlungen.
Was regelt §3 NIS2UmsuCG – und warum ist er der entscheidende Paragraph?
Der Anwendungsbereich des NIS2UmsuCG wird primär durch §3 NIS2UmsuCG definiert. Dieser Paragraph legt fest, welche Einrichtungen als „wesentlich" oder „wichtig" eingestuft werden und damit den umfangreichen Pflichten des Gesetzes unterliegen. Ohne eine sorgfältige Lektüre und Anwendung dieses Paragrafen besteht die Gefahr, die eigene Betroffenheit falsch einzuschätzen – in beide Richtungen.
Grundsätzlich gilt: Eine Einrichtung fällt unter NIS2, wenn sie gleichzeitig zwei Kriterien erfüllt:
- Sie ist in einem der definierten Sektoren tätig (Anlage 1 oder Anlage 2 des NIS2UmsuCG).
- Sie überschreitet bestimmte Größenschwellen (Mitarbeiterzahl und/oder Jahresumsatz/-bilanzsumme).
Hinzu kommen Sonderregelungen für bestimmte Einrichtungstypen, bei denen die Größenkriterien nicht gelten.
Schritt 1: Sektor-Check – Anlage 1 und Anlage 2 im Überblick
Der erste Schritt der Betroffenheitsprüfung ist die Zuordnung Ihres Unternehmens zu einem der regulierten Sektoren. Das NIS2UmsuCG unterscheidet dabei zwischen hochkritischen Sektoren (Anlage 1) und sonstigen kritischen Sektoren (Anlage 2).
Anlage 1: Hochkritische Sektoren (wesentliche Einrichtungen)
| Sektor | Beispiele für betroffene Unternehmen |
|---|---|
| Energie | Strom-, Gas-, Wärme- und Ölversorgung, Wasserstoff |
| Verkehr | Luftfahrt, Bahn, Schifffahrt, Straßenverkehr |
| Bankwesen | Kreditinstitute, Zahlungsdienstleister |
| Finanzmarktinfrastruktur | Handelsplätze, zentrale Gegenparteien |
| Gesundheitswesen | Krankenhäuser, Labore, Hersteller krit. Medizinprodukte |
| Trinkwasser | Wasserversorgungsunternehmen |
| Abwasser | Abwasserentsorgungsbetriebe |
| Digitale Infrastruktur | Internet-Knoten, DNS-Dienste, TLD-Registries, Rechenzentrumsbetreiber, CDN-Anbieter |
| IKT-Dienstleistungsmanagement | Managed Service Provider (MSP), Managed Security Service Provider (MSSP) |
| Öffentliche Verwaltung | Bundes- und Landesbehörden |
| Weltraum | Betreiber von Bodeninfrastruktur |
Anlage 2: Sonstige kritische Sektoren (wichtige Einrichtungen)
| Sektor | Beispiele für betroffene Unternehmen |
|---|---|
| Post- und Kurierdienste | Paketdienstleister, Briefzusteller |
| Abfallbewirtschaftung | Entsorgungsunternehmen |
| Chemie | Hersteller und Händler von Chemikalien |
| Lebensmittel | Großhändler und Lebensmittelproduzenten |
| Verarbeitendes Gewerbe/Herstellung | Hersteller von Medizinprodukten, Elektronik, Maschinen, Kfz |
| Digitale Dienste | Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke |
| Forschung | Forschungseinrichtungen (öffentlich wie privat) |
Praxis-Hinweis: Viele mittelständische Unternehmen unterschätzen ihre Zugehörigkeit zu Anlage 2. Ein Maschinenbauer mit 80 Mitarbeitern, der Industriekomponenten herstellt, kann bereits als wichtige Einrichtung eingestuft werden.
Schritt 2: Größenkriterien – Ab wann ist Ihr Unternehmen betroffen?
Die bloße Tätigkeit in einem regulierten Sektor reicht nicht aus. Entscheidend sind die Unternehmensgröße nach EU-Definition:
Wesentliche Einrichtungen (Anlage 1)
- Großunternehmen: ≥ 250 Mitarbeiter oder Jahresumsatz > 50 Mio. € und Jahresbilanzsumme > 43 Mio. €
- In Anlage 1 können auch mittlere Unternehmen (50–249 MA) als wesentliche Einrichtungen eingestuft werden, wenn sie besonders kritische Dienste erbringen (z. B. im Bereich digitale Infrastruktur oder IKT-Dienstleistungsmanagement).
Wichtige Einrichtungen (Anlage 2)
- Mittlere Unternehmen: ≥ 50 Mitarbeiter oder Jahresumsatz > 10 Mio. € und Jahresbilanzsumme > 10 Mio. €
Ausnahmen: Größenunabhängige Betroffenheit
Für bestimmte Einrichtungen gelten die Größenkriterien nicht. Diese sind unabhängig von Mitarbeiterzahl und Umsatz betroffen:
- Betreiber kritischer Anlagen (KRITIS nach BSI-Gesetz)
- Vertrauensdiensteanbieter und qualifizierte Vertrauensdiensteanbieter
- TLD-Registries und DNS-Diensteanbieter
- Anbieter öffentlicher elektronischer Kommunikationsnetze
- Einrichtungen der öffentlichen Verwaltung auf Bundes- und Landesebene
Schritt 3: Wesentliche vs. wichtige Einrichtungen – Was ist der Unterschied?
Die Einstufung als wesentliche oder wichtige Einrichtung bestimmt den Umfang der aufsichtsbehördlichen Kontrolle und das mögliche Bußgeldrisiko:
| Merkmal | Wesentliche Einrichtung | Wichtige Einrichtung |
|---|---|---|
| Sektorzugehörigkeit | Anlage 1 | Anlage 2 |
| Aufsicht | Proaktiv (anlassunabhängig) | Reaktiv (anlassbezogen) |
| Max. Bußgeld (§65 BSIG) | Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes | Bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes |
| Persönliche Haftung Geschäftsführung | Ja (§38 BSIG) | Ja (§38 BSIG) |
| Registrierungspflicht beim BSI | Ja | Ja |
Wichtig: Auch als „wichtige Einrichtung" drohen erhebliche Sanktionen. Die Unterscheidung betrifft vor allem den Aufsichtsmodus, nicht die Pflichten selbst – diese sind weitgehend identisch.
Interaktiver Selbsttest: Bin ich NIS2-pflichtig?
Beantworten Sie die folgenden Fragen, um eine erste Einschätzung Ihrer Betroffenheit zu erhalten:
✅ Checkliste zur NIS2-Betroffenheitsprüfung
Block A: Sektorzugehörigkeit
- [ ] Ist mein Unternehmen in einem Sektor aus Anlage 1 oder Anlage 2 des NIS2UmsuCG tätig?
- [ ] Erbringt mein Unternehmen Dienstleistungen für Sektoren aus Anlage 1 oder 2 (z. B. als IT-Dienstleister)?
- [ ] Betreibt mein Unternehmen digitale Infrastruktur oder Kommunikationsdienste?
Block B: Unternehmensgröße
- [ ] Hat mein Unternehmen 50 oder mehr Mitarbeiter (Vollzeitäquivalente)?
- [ ] Übersteigt der Jahresumsatz 10 Millionen Euro?
- [ ] Übersteigt die Jahresbilanzsumme 10 Millionen Euro?
Block C: Sondertatbestände
- [ ] Ist mein Unternehmen als KRITIS-Betreiber eingestuft?
- [ ] Erbringt mein Unternehmen Vertrauensdienste nach eIDAS-Verordnung?
- [ ] Ist mein Unternehmen eine Einrichtung der öffentlichen Verwaltung?
Auswertung:
- Mindestens eine Frage aus Block A + mindestens eine aus Block B bejaht → Hohe Wahrscheinlichkeit der Betroffenheit. Lassen Sie dies rechtlich und technisch verifizieren.
- Eine oder mehrere Fragen aus Block C bejaht → Betroffenheit unabhängig von Block B.
- Alle Fragen verneint → Möglicherweise nicht betroffen. Prüfen Sie dennoch regelmäßig, da sich Umsatz, Mitarbeiterzahl und regulatorische Anforderungen ändern können.
⚠️ Disclaimer: Dieser Selbsttest ersetzt keine Rechtsberatung. Für eine verbindliche Einstufung empfehlen wir die Konsultation eines Fachanwalts für IT-Recht oder die Nutzung des BSI-Betroffenheitsprüfungstools.
Welche Konsequenzen drohen bei Nichterfüllung? (§65 BSIG)
Die Bußgeldvorschriften des NIS2UmsuCG sind in §65 des BSIG (BSI-Gesetz) geregelt und orientieren sich bewusst an den Sanktionsrahmen der DSGVO. Sie sind als echte Abschreckung konzipiert:
Bußgeldrahmen im Überblick
Für wesentliche Einrichtungen können Verstöße gegen zentrale Pflichten (z. B. Meldepflichten nach §32 BSIG, Risikomanagementmaßnahmen nach §30 BSIG) mit bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden – je nachdem, welcher Betrag höher ist.
Für wichtige Einrichtungen gilt ein Rahmen von bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes.
Besonders brisant: §38 BSIG sieht die persönliche Haftung der Geschäftsführung vor. Geschäftsführer und Vorstände können bei Pflichtverletzungen persönlich in Regress genommen werden – eine Haftungsbeschränkung durch die Unternehmensstruktur greift hier nicht. Zudem kann das BSI bei wesentlichen Einrichtungen als ultima ratio die vorübergehende Amtsenthebung der verantwortlichen Führungskraft anordnen.
Weitere Konsequenzen jenseits des Bußgelds
- Reputationsschäden durch öffentliche Nennung im BSI-Jahresbericht
- Kundenverluste durch mangelndes Vertrauen in die Cybersicherheit
- Haftungsrisiken gegenüber Dritten bei durch Cyberangriffe verursachten Schäden
- Ausschluss aus Vergabeverfahren öffentlicher Auftraggeber
Konkrete Handlungsempfehlungen in 7 Schritten
Wenn Sie nach dem Selbsttest von einer Betroffenheit ausgehen, sollten Sie folgende Schritte umgehend einleiten:
-
Sektoranalyse durchführen: Ordnen Sie Ihr Unternehmen präzise einem Sektor aus Anlage 1 oder 2 zu. Holen Sie bei Unklarheiten Rechtsberatung ein.
-
Größenkriterien dokumentieren: Erstellen Sie eine aktuelle Übersicht zu Mitarbeiterzahl, Jahresumsatz und Bilanzsumme – auch unter Berücksichtigung verbundener Unternehmen (EU-KMU-Definition).
-
Einrichtungstyp bestimmen: Klären Sie, ob Sie als wesentliche oder wichtige Einrichtung eingestuft werden – dies beeinflusst die Aufsichtsintensität und den Bußgeldrahmen.
-
Beim BSI registrieren: Wesentliche und wichtige Einrichtungen sind verpflichtet, sich beim Bundesamt für Sicherheit in der Informationstechnik zu registrieren (§33 BSIG). Nutzen Sie das BSI-Portal.
-
Gap-Analyse durchführen: Vergleichen Sie Ihren aktuellen Sicherheitsstatus mit den Anforderungen aus §30 BSIG (Risikomanagement) und identifizieren Sie Lücken.
-
ISMS aufbauen oder anpassen: Implementieren oder erweitern Sie ein Informationssicherheitsmanagementsystem (ISMS) nach ISO/IEC 27001 oder BSI IT-Grundschutz.
-
Meldeprozesse etablieren: Richten Sie interne Prozesse für die gesetzlich vorgeschriebene Sicherheitsvorfallmeldung ein (§32 BSIG: 24h-Erstmeldung, 72h-Folgemeldung, 1-Monat-Abschlussbericht).
Fazit und nächste Schritte
Die NIS2-Betroffenheitsprüfung ist kein einmaliger Vorgang – sie muss regelmäßig wiederholt werden, da sich Unternehmensgröße, Leistungsportfolio und regulatorische Rahmenbedingungen ändern können. Die entscheidenden Parameter sind Sektorzugehörigkeit (Anlage 1 oder 2 des NIS2UmsuCG), Unternehmensgröße nach EU-Definition sowie etwaige Sondertatbestände nach §3 NIS2UmsuCG.
Ihre unmittelbaren nächsten Schritte:
- Führen Sie den obigen Selbsttest durch und dokumentieren Sie das Ergebnis
- Konsultieren Sie bei Unsicherheit einen Fachanwalt für IT-Recht und/oder das BSI
- Registrieren Sie sich, falls erforderlich, im BSI-Meldeportal
- Starten Sie eine strukturierte Gap-Analyse Ihrer Cybersicherheitsmaßnahmen
- Informieren Sie Ihre Geschäftsführung über die persönlichen Haftungsrisiken nach §38 BSIG
Die Zeit drängt: Das BSI intensiviert seine Aufsichtsaktivitäten, und erste Bußgeldverfahren werden öffentlich. Wer jetzt handelt, ist deutlich besser positioniert als Unternehmen, die auf Aufschub setzen.
💡 Tipp für IT-Verantwortliche: NIS2-Compliance strukturiert angehen
Die Betroffenheitsprüfung ist der erste – aber nicht der letzte – Schritt auf dem Weg zur NIS2-Compliance. Spezialisierte NIS2-Compliance-Software und ISMS-Plattformen helfen Ihnen dabei, die Betroffenheit systematisch zu dokumentieren, eine Risikoanalyse durchzuführen, Richtlinien und Nachweise zu verwalten sowie Meldeprozesse zu automatisieren. Tools wie diese ermöglichen es IT-Teams und Datenschutzbeauftragten, den Überblick zu behalten und gegenüber Behörden wie dem BSI jederzeit auskunftsfähig zu sein. Eine solche Software ist keine Luxus – sie ist bei der Komplexität der NIS2-Anforderungen ein pragmatisches Werkzeug für jeden Compliance-Verantwortlichen.
Quellen und weiterführende Informationen: BSI-Gesetz (BSIG) in der aktuellen Fassung, NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), ENISA NIS2 Directive Implementation Report 2025, EU-Richtlinie 2022/2555 (NIS2).