NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?

Veröffentlicht am 16. Juni 2026 | Lesezeit: ca. 10 Minuten

Die NIS2-Richtlinie hat die Cybersicherheitslandschaft in Deutschland grundlegend verändert. Seit der Umsetzung durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) stehen tausende Unternehmen vor der entscheidenden Frage: Bin ich eigentlich betroffen – und wenn ja, in welchem Umfang? Wer diese Frage zu spät oder falsch beantwortet, riskiert empfindliche Bußgelder nach §65 BSIG. Dieser Artikel liefert Ihnen eine strukturierte NIS2-Betroffenheitsprüfung für Ihr Unternehmen in Deutschland – inklusive Selbsttest, Sektor-Übersicht und konkreten Handlungsempfehlungen für 2025 und darüber hinaus.

Was ist die NIS2-Betroffenheitsprüfung und warum ist sie so wichtig?

Die NIS2-Betroffenheitsprüfung ist der erste und entscheidende Schritt auf dem Weg zur Compliance. Sie beantwortet systematisch, ob Ihr Unternehmen gemäß §3 NIS2UmsuCG als „wesentliche Einrichtung" oder „wichtige Einrichtung" eingestuft wird – oder ob es außerhalb des Anwendungsbereichs fällt.

Viele Unternehmen unterschätzen dabei die Reichweite der Regelung. NIS2 erfasst deutlich mehr Organisationen als die Vorgängerrichtlinie NIS1. Schätzungen des BSI zufolge sind allein in Deutschland rund 29.000 Unternehmen und Behörden vom Regelwerk betroffen – gegenüber lediglich rund 4.500 unter der alten NIS-Richtlinie. Die Dunkelziffer derer, die ihre Betroffenheit noch nicht erkannt haben, dürfte erheblich sein.

Die Konsequenzen einer Nichterfüllung sind real: Wer als betroffene Einrichtung die gesetzlichen Pflichten ignoriert, muss mit Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes rechnen (§65 BSIG, für wesentliche Einrichtungen), beziehungsweise bis zu 7 Millionen Euro oder 1,4 % des Jahresumsatzes für wichtige Einrichtungen. Zusätzlich können Behörden Anordnungen erlassen und in schwerwiegenden Fällen die Geschäftsführung persönlich haftbar machen.

Die zwei Kernkriterien: Sektor und Unternehmensgröße

Die NIS2-Betroffenheitsprüfung folgt einer klaren Logik: Ein Unternehmen ist betroffen, wenn es gleichzeitig einem definierten Sektor angehört und die Größenschwellen überschreitet. Beide Kriterien müssen erfüllt sein – mit einer wichtigen Ausnahme für kritische Infrastruktur und besondere Fälle.

Kriterium 1: Zugehörigkeit zu einem regulierten Sektor

Das NIS2UmsuCG unterscheidet zwei Kategorien von Sektoren, die in Anlage 1 und Anlage 2 des Gesetzes aufgeführt sind.

Anlage 1 – Sektoren mit hoher Kritikalität (wesentliche Einrichtungen):

  • Energie (Strom, Gas, Öl, Wasserstoff, Fernwärme)
  • Verkehr (Luftfahrt, Bahn, Schifffahrt, Straßenverkehr)
  • Bankwesen und Finanzmarktinfrastrukturen
  • Gesundheitswesen (Krankenhäuser, Labore, Medizingeräte-Hersteller)
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur (Internet-Knoten, DNS, TLD, Cloud-Anbieter, Rechenzentren)
  • IKT-Dienstleistungsmanagement (B2B-MSPs, MSSPs)
  • Öffentliche Verwaltung (Bundesebene und Länder)
  • Weltraum

Anlage 2 – Sonstige kritische Sektoren (wichtige Einrichtungen):

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Herstellung, Produktion und Vertrieb von Chemikalien
  • Lebensmittelproduktion und -vertrieb
  • Verarbeitendes Gewerbe / Herstellung (Medizinprodukte, Maschinenbau, Kfz, Elektro)
  • Digitale Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Forschungseinrichtungen

Kriterium 2: Unternehmensgröße

Für die meisten Unternehmen gelten folgende Schwellenwerte:

Kategorie Mitarbeiterzahl Jahresumsatz oder Jahresbilanzsumme
Großunternehmen ≥ 250 Mitarbeiter ≥ 50 Mio. € Umsatz oder ≥ 43 Mio. € Bilanzsumme
Mittlere Unternehmen ≥ 50 Mitarbeiter ≥ 10 Mio. € Umsatz oder ≥ 10 Mio. € Bilanzsumme
Kleine Unternehmen < 50 Mitarbeiter < 10 Mio. €

Wichtiger Hinweis: Die Größenschwellen gelten für Mitarbeiterzahl und finanzielle Kennzahlen gemeinsam. Ein Unternehmen mit 60 Mitarbeitern, aber weniger als 10 Mio. € Umsatz und weniger als 10 Mio. € Bilanzsumme fällt grundsätzlich nicht unter die Regelung – sofern keine Sonderregelungen greifen.

Wesentliche vs. Wichtige Einrichtungen: Der entscheidende Unterschied

§3 NIS2UmsuCG definiert zwei Kategorien betroffener Unternehmen, die unterschiedliche Pflichten und Sanktionsrahmen nach sich ziehen:

Wesentliche Einrichtungen (§3 Abs. 1 NIS2UmsuCG)

Als wesentliche Einrichtungen gelten grundsätzlich:
- Große Unternehmen (≥ 250 Mitarbeiter oder ≥ 50 Mio. € Umsatz) in Anlage-1-Sektoren
- Qualifizierte Vertrauensdiensteanbieter und TLD-Namenregister unabhängig von der Größe
- Betreiber öffentlicher Telekommunikationsnetze mit mehr als 100.000 Nutzern
- Kritische Anlagen gemäß KRITIS-Dachgesetz

Diese Einrichtungen unterliegen dem strengsten Pflichtenkatalog: proaktive Risikomaßnahmen, Meldepflichten innerhalb von 24 Stunden bei Sicherheitsvorfällen, regelmäßige Audits und die persönliche Haftung der Geschäftsleitung.

Wichtige Einrichtungen (§3 Abs. 2 NIS2UmsuCG)

Als wichtige Einrichtungen gelten:
- Mittlere und große Unternehmen in Anlage-1-Sektoren, die nicht als wesentlich eingestuft sind
- Mittlere und große Unternehmen in Anlage-2-Sektoren

Sie unterliegen etwas weniger strengen Aufsichtsmechanismen (reaktive statt proaktive Aufsicht), aber im Wesentlichen denselben technischen und organisatorischen Pflichten.

Ausnahmen und Sonderfälle

Nicht jede Faustformel greift ohne Weiteres. Folgende Sondersituationen verdienen besondere Aufmerksamkeit:

  • Kleine Unternehmen mit systemischer Relevanz: Auch unter der Größenschwelle liegende Unternehmen können durch behördliche Einzelfallentscheidung einbezogen werden.
  • Konzernstrukturen: Verflechtungen mit größeren Muttergesellschaften können die Berechnung der Mitarbeiterzahl und des Umsatzes beeinflussen.
  • Unterauftragnehmer und Lieferketten: Zulieferer kritischer Infrastruktur geraten zunehmend in den regulatorischen Fokus, auch wenn sie selbst nicht direkt betroffen sind.

Selbsttest: Bin ich von NIS2 betroffen?

Gehen Sie folgende Fragen systematisch durch, um Ihre Betroffenheit einzuschätzen:

Schritt 1 – Sektorzugehörigkeit:
- [ ] Ist mein Unternehmen in einem der Sektoren aus Anlage 1 tätig?
- [ ] Ist mein Unternehmen in einem der Sektoren aus Anlage 2 tätig?
- [ ] Erbringt mein Unternehmen Dienstleistungen für einen dieser Sektoren als wesentlicher Lieferant?

Schritt 2 – Größe:
- [ ] Beschäftigt mein Unternehmen 50 oder mehr Mitarbeiter?
- [ ] Übersteigt mein Jahresumsatz 10 Millionen Euro?
- [ ] Übersteigt meine Jahresbilanzsumme 10 Millionen Euro?

Schritt 3 – Sonderfälle:
- [ ] Betreibe ich eine als „kritische Anlage" eingestufte Infrastruktur?
- [ ] Bin ich als qualifizierter Vertrauensdiensteanbieter tätig?
- [ ] Betreibe ich öffentliche Telekommunikationsnetze?

Auswertung:
- Anlage-1-Sektor + Großunternehmen → Wesentliche Einrichtung
- Anlage-1-Sektor + Mittleres Unternehmen → Wichtige Einrichtung
- Anlage-2-Sektor + Mittleres oder Großunternehmen → Wichtige Einrichtung
- Keiner der Sektoren oder unter der Größenschwelle → Grundsätzlich nicht direkt betroffen (aber Lieferkettenpflichten prüfen!)

Registrierungspflicht beim BSI nicht vergessen

Ein häufig übersehener Aspekt: Betroffene Einrichtungen sind verpflichtet, sich selbstständig beim BSI zu registrieren. Die Registrierungspflicht gilt für wesentliche und wichtige Einrichtungen gleichermaßen und umfasst Angaben zu Sektor, Kontaktdaten und Ansprechpartnern. Wer dieser Pflicht nicht nachkommt, riskiert bereits dadurch Bußgelder.

Das BSI stellt auf seiner Website entsprechende Registrierungsformulare und Leitfäden bereit. Unternehmen sollten die Registrierung proaktiv angehen – und nicht auf eine behördliche Aufforderung warten.

Konsequenzen bei Nichterfüllung: Was droht konkret?

Der Bußgeldrahmen des §65 BSIG ist ernst zu nehmen:

Einrichtungstyp Maximales Bußgeld
Wesentliche Einrichtung 10.000.000 € oder 2 % des weltweiten Jahresumsatzes (der höhere Wert gilt)
Wichtige Einrichtung 7.000.000 € oder 1,4 % des weltweiten Jahresumsatzes (der höhere Wert gilt)

Darüber hinaus kann das BSI folgende Maßnahmen anordnen:
- Anweisungen zur Mängelbehebung mit konkreten Fristen
- Sicherheitsaudits auf Kosten des Unternehmens
- Öffentliche Bekanntmachung von Verstößen (Naming & Shaming)
- Bei schwerwiegenden Verstößen: temporäres Berufsverbot für Geschäftsführer

Die persönliche Haftung der Unternehmensleitung ist dabei kein theoretisches Risiko. Geschäftsführer und Vorstände können bei nachgewiesener Pflichtverletzung direkt in Anspruch genommen werden – unabhängig von der Gesellschaftsform.

Konkrete Handlungsempfehlungen: So gehen Sie jetzt vor

Wenn Sie die Betroffenheitsprüfung abgeschlossen haben und zu dem Ergebnis kommen, dass NIS2 für Ihr Unternehmen relevant ist, sollten Sie folgende Schritte strukturiert angehen:

  1. Betroffenheit dokumentieren: Halten Sie das Ergebnis Ihrer Prüfung schriftlich fest – inklusive der zugrundeliegenden Kriterien, Mitarbeiterzahlen und Umsatzkennzahlen. Diese Dokumentation kann im Falle einer Behördenanfrage entscheidend sein.

  2. Beim BSI registrieren: Nutzen Sie das offizielle BSI-Registrierungsportal und tragen Sie Ihr Unternehmen als wesentliche oder wichtige Einrichtung ein. Halten Sie die Angaben aktuell.

  3. Gap-Analyse durchführen: Gleichen Sie Ihre bestehenden Sicherheitsmaßnahmen mit den Anforderungen des §30 NIS2UmsuCG ab (Risikomanagement, technische Maßnahmen, Lieferkettensicherheit etc.). Identifizieren Sie konkrete Lücken.

  4. Informationssicherheits-Managementsystem (ISMS) aufbauen: Wenn noch nicht vorhanden, starten Sie mit dem Aufbau eines ISMS – idealerweise auf Basis von ISO/IEC 27001 oder dem BSI IT-Grundschutz. Beide Frameworks decken die NIS2-Anforderungen weitgehend ab.

  5. Meldeprozesse etablieren: Definieren Sie klare interne Prozesse für die Erkennung, Bewertung und Meldung von Sicherheitsvorfällen. Die 24-Stunden-Frist für die Erstmeldung an das BSI lässt keinen Spielraum für Ad-hoc-Entscheidungen.

  6. Lieferkette prüfen: Analysieren Sie Ihre kritischen Drittanbieter und Dienstleister im Hinblick auf deren Sicherheitsniveau. NIS2 verlangt auch die Absicherung der Lieferkette – vertragliche Regelungen mit Lieferanten sollten entsprechend angepasst werden.

  7. Geschäftsleitung sensibilisieren: Stellen Sie sicher, dass Vorstand oder Geschäftsführung die gesetzlichen Pflichten kennen und aktiv in die Cybersicherheitsstrategie eingebunden sind. Die persönliche Haftung ist ein starkes Argument für Budgetdiskussionen.

  8. Schulungen planen: Mitarbeiter sind häufig das schwächste Glied in der Sicherheitskette. Regelmäßige Awareness-Schulungen sind gesetzlich gefordert und praktisch unverzichtbar.

Fazit: Betroffenheitsprüfung ist keine Option, sondern Pflicht

Die NIS2-Betroffenheitsprüfung ist für Unternehmen in Deutschland keine freiwillige Übung – sie ist der gesetzlich vorausgesetzte erste Schritt zur Compliance. Wer seinen Sektor kennt, seine Unternehmensgröße einordnen kann und die Unterschiede zwischen wesentlichen und wichtigen Einrichtungen versteht, legt den Grundstein für eine systematische und rechtssichere Umsetzung.

Ihre nächsten Schritte auf einen Blick:
- ✅ Sektorzugehörigkeit anhand Anlage 1 und 2 prüfen
- ✅ Mitarbeiterzahl und Umsatz/Bilanzsumme gegen Schwellenwerte abgleichen
- ✅ Einrichtungstyp (wesentlich / wichtig) festlegen
- ✅ BSI-Registrierung vornehmen
- ✅ Gap-Analyse starten und ISMS-Aufbau planen

So unterstützt Sie NIS2-Compliance-Software

Die manuelle Verwaltung aller NIS2-Anforderungen – von der Risikoanalyse über die Dokumentation bis hin zur Vorfallsmeldung – ist zeitaufwendig und fehleranfällig. Spezialisierte ISMS- und NIS2-Compliance-Softwarelösungen können diesen Prozess erheblich vereinfachen: Sie führen Sie strukturiert durch die Betroffenheitsprüfung, helfen beim Aufbau Ihrer Dokumentation, unterstützen bei der Gap-Analyse und erinnern automatisch an Fristen und Maßnahmen. Als IT-Verantwortlicher oder Geschäftsführer sollten Sie prüfen, welches Tool am besten zu Ihrer Unternehmensgröße und Ihrem Reifegrad passt – und so den Weg zur NIS2-Compliance deutlich effizienter gestalten.

Quellen und weiterführende Informationen: BSI-Grundschutz-Kompendium (aktueller Stand), NIS2UmsuCG (Bundesgesetzblatt), ENISA NIS2 Implementation Guide, §§3, 30, 65 BSIG in der aktuellen Fassung.