NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?

Veröffentlicht am 17. Juni 2026 | Lesezeit: ca. 8 Minuten

Die NIS2-Richtlinie der Europäischen Union ist seit ihrer Umsetzung in deutsches Recht durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) für tausende deutsche Unternehmen verbindlich. Doch noch immer herrscht bei vielen Geschäftsführern und IT-Verantwortlichen Unsicherheit: Bin ich überhaupt betroffen? Diese Frage ist keine Kleinigkeit – wer die Betroffenheit falsch einschätzt, riskiert empfindliche Bußgelder nach § 65 BSIG und im schlimmsten Fall die persönliche Haftung der Geschäftsleitung.

Dieser Artikel liefert Ihnen eine strukturierte NIS2-Betroffenheitsprüfung für Unternehmen in Deutschland (Stand 2025/2026), erklärt die relevanten Sektoren, Größenkriterien und Einrichtungstypen – und zeigt, was bei Nichterfüllung auf Sie zukommt.

Was regelt §3 NIS2UmsuCG – und warum ist er so entscheidend?

Der § 3 NIS2UmsuCG definiert den Anwendungsbereich des Gesetzes. Er legt fest, welche Einrichtungen als „wesentlich" oder „wichtig" eingestuft werden und damit sämtlichen Pflichten aus dem Gesetz unterliegen. Die Norm verweist dabei auf die Anhänge 1 und 2 des NIS2UmsuCG, die die betroffenen Sektoren und Teilsektoren aufführen.

Entscheidend ist: Die Einstufung erfolgt nicht automatisch durch eine Behörde. Unternehmen sind grundsätzlich selbst verpflichtet zu prüfen, ob sie in den Anwendungsbereich fallen – und sich gegebenenfalls beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren.

Die zwei Kernanforderungen: Sektor und Größe

Damit Ihr Unternehmen unter NIS2 fällt, müssen zwei Bedingungen kumulativ erfüllt sein:

  1. Sektorzugehörigkeit: Ihr Unternehmen ist in einem der in Anlage 1 oder Anlage 2 des NIS2UmsuCG genannten Sektoren tätig.
  2. Größenschwelle: Ihr Unternehmen überschreitet die definierten Schwellenwerte für Mitarbeiterzahl und/oder Jahresumsatz bzw. Jahresbilanzsumme.

Es gibt jedoch Ausnahmen: Bestimmte Einrichtungen gelten unabhängig von ihrer Größe als wesentlich – etwa Betreiber kritischer Infrastrukturen (KRITIS) oder Anbieter öffentlicher elektronischer Kommunikationsnetze.

Größenkriterien im Überblick

Kategorie Mitarbeiterzahl Jahresumsatz ODER Jahresbilanzsumme
Mittleres Unternehmen (wichtige Einrichtung) ≥ 50 MA ≥ 10 Mio. €
Großes Unternehmen (wesentliche Einrichtung) ≥ 250 MA ≥ 50 Mio. € Umsatz ODER ≥ 43 Mio. € Bilanzsumme
Unabhängig von Größe Alle Größen Sonderregelungen (KRITIS, DNS, TLD, etc.)

Hinweis: Für verbundene Unternehmen und Partnerunternehmen gelten die EU-Empfehlung 2003/361/EG und die konsolidierten Schwellenwerte – eine Muttergesellschaft kann die Einstufung der Tochter beeinflussen.

Die betroffenen Sektoren: Anlage 1 und Anlage 2

Anlage 1 – Sektoren mit hoher Kritikalität (Wesentliche Einrichtungen)

Diese Sektoren gelten grundsätzlich als besonders kritisch. Unternehmen mit ≥ 250 Mitarbeitern oder entsprechendem Umsatz/Bilanzsumme werden hier als wesentliche Einrichtungen eingestuft:

  • Energie (Strom, Erdgas, Fernwärme, Mineralöl, Wasserstoff)
  • Verkehr (Luft, Schiene, Wasser, Straße)
  • Bankwesen (Kreditinstitute)
  • Finanzmarktinfrastrukturen (Handelsplätze, zentrale Gegenparteien)
  • Gesundheitswesen (Krankenhäuser, Labore, Pharmazeutik, Medizingeräte)
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur (Internet-Knoten, DNS-Dienste, TLD-Registries, Rechenzentren, CDN, TSP, Netzwerke für elektronische Kommunikation)
  • ICT-Dienste-Management (B2B) (Managed Service Provider, Managed Security Service Provider)
  • Öffentliche Verwaltung (Bundesbehörden, Landesbehörden)
  • Weltraum (Bodenstationsinfrastruktur)

Anlage 2 – Sonstige kritische Sektoren (Wichtige Einrichtungen)

Unternehmen in diesen Sektoren mit ≥ 50 Mitarbeitern oder ≥ 10 Mio. € Umsatz/Bilanzsumme gelten als wichtige Einrichtungen:

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Chemische Industrie (Herstellung, Produktion und Vertrieb)
  • Lebensmittelbranche (Produktion, Verarbeitung, Vertrieb)
  • Verarbeitendes Gewerbe / Herstellung von Waren (u. a. Medizinprodukte, Datenverarbeitungsgeräte, Maschinen, Kraftfahrzeuge, sonstiger Fahrzeugbau)
  • Digitale Dienste (Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke)
  • Forschung (Forschungseinrichtungen)

Wesentliche vs. wichtige Einrichtungen: Der entscheidende Unterschied

Die Unterscheidung zwischen wesentlichen Einrichtungen (Essential Entities, EE) und wichtigen Einrichtungen (Important Entities, IE) ist praxisrelevant, da sie sich auf die Aufsichtsintensität und die Bußgeldhöhe auswirkt.

Merkmal Wesentliche Einrichtung Wichtige Einrichtung
Rechtsgrundlage §3 Abs. 1 NIS2UmsuCG i.V.m. Anlage 1 §3 Abs. 2 NIS2UmsuCG i.V.m. Anlage 2
Aufsicht Proaktiv (Ex-ante-Aufsicht durch BSI) Reaktiv (Ex-post-Aufsicht, anlassbezogen)
Max. Bußgeld (§65 BSIG) Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes Bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes
Registrierungspflicht Ja, beim BSI Ja, beim BSI
Meldepflicht bei Vorfällen Ja (4h/24h/72h-Stufenmodell) Ja (4h/24h/72h-Stufenmodell)
Mindest-Sicherheitsmaßnahmen Ja (§30 BSIG) Ja (§30 BSIG)

Beide Kategorien müssen die Mindest-Sicherheitsmaßnahmen nach §30 BSIG umsetzen – dazu gehören unter anderem Risikoanalysen, Incident-Response-Prozesse, Business-Continuity-Management, Supply-Chain-Sicherheit und die Nutzung von Kryptographie.

Selbsttest: Fällt mein Unternehmen unter NIS2?

Nutzen Sie diese Checkliste als ersten Orientierungsrahmen. Sie ersetzt keine rechtliche Einzelfallprüfung, gibt Ihnen aber eine schnelle Einschätzung.

Schritt 1: Sektorcheck

  • [ ] Ist mein Unternehmen in einem Sektor aus Anlage 1 tätig?
  • [ ] Ist mein Unternehmen in einem Sektor aus Anlage 2 tätig?
  • [ ] Erbringt mein Unternehmen Dienste für einen der genannten Sektoren (z. B. als IT-Dienstleister, MSP oder Zulieferer)?

Wenn mindestens eine Frage mit „Ja" beantwortet wird: Weiter zu Schritt 2.

Schritt 2: Größencheck

  • [ ] Beschäftigt mein Unternehmen 50 oder mehr Mitarbeiter (Vollzeitäquivalente)?
  • [ ] Erzielt mein Unternehmen einen Jahresumsatz von mindestens 10 Mio. € oder eine Jahresbilanzsumme von mindestens 10 Mio. €?

Wenn beide Fragen mit „Ja" beantwortet werden: Ihr Unternehmen ist wahrscheinlich betroffen.

Schritt 3: Sonderregelungen prüfen

  • [ ] Betreibe ich kritische Infrastruktur im Sinne der KRITIS-Verordnung?
  • [ ] Bin ich Anbieter öffentlicher Kommunikationsnetze oder -dienste?
  • [ ] Bin ich ein qualifizierter Vertrauensdiensteanbieter (eIDAS)?
  • [ ] Bin ich ein DNS-Resolver-Betreiber oder TLD-Registry?

Wenn eine dieser Fragen mit „Ja" beantwortet wird: Sie sind unabhängig von der Unternehmensgröße betroffen.

Konsequenzen bei Nichterfüllung: §65 BSIG im Fokus

Die Sanktionen bei Verstößen gegen NIS2-Pflichten sind erheblich und sollten nicht unterschätzt werden. § 65 BSIG sieht folgende Bußgelder vor:

  • Wesentliche Einrichtungen: Bußgelder von bis zu 10.000.000 € oder 2 % des gesamten weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.
  • Wichtige Einrichtungen: Bußgelder von bis zu 7.000.000 € oder 1,4 % des gesamten weltweiten Jahresumsatzes.

Besonders gravierend: Nach § 38 BSIG haften Geschäftsführer und Vorstandsmitglieder persönlich für die Umsetzung der Cybersicherheitsmaßnahmen. Eine Enthaftung durch Delegation auf die IT-Abteilung ist nicht möglich. Das BSI kann zudem die Öffentlichkeit informieren, wenn Einrichtungen ihre Pflichten dauerhaft verletzen – ein erheblicher Reputationsschaden.

Hinzu kommen Betriebsunterbrechungen durch behördliche Anordnungen sowie zivilrechtliche Haftungsrisiken gegenüber Kunden und Partnern.

7 konkrete Handlungsempfehlungen für betroffene Unternehmen

  1. Betroffenheit dokumentieren: Führen Sie eine nachvollziehbare Betroffenheitsanalyse durch und dokumentieren Sie Ihre Einordnung (wesentlich/wichtig/nicht betroffen) schriftlich – auch negative Feststellungen.

  2. Beim BSI registrieren: Wesentliche und wichtige Einrichtungen sind zur Registrierung verpflichtet. Nutzen Sie das BSI-Portal und halten Sie Ihre Kontaktdaten aktuell.

  3. Risikoanalyse nach §30 BSIG durchführen: Identifizieren Sie alle relevanten IT-Assets, bewerten Sie Bedrohungen und leiten Sie angemessene Schutzmaßnahmen ab.

  4. Incident-Response-Prozess etablieren: Stellen Sie sicher, dass Sie sicherheitsrelevante Vorfälle innerhalb von 4 Stunden (Frühwarnung), 24 Stunden (erste Meldung) und 72 Stunden (Detailmeldung) an das BSI melden können.

  5. Supply-Chain-Sicherheit prüfen: Analysieren Sie die Cybersicherheitsrisiken Ihrer Lieferanten und IT-Dienstleister. Verlangen Sie vertragliche Zusicherungen und führen Sie Lieferantenbewertungen ein.

  6. Mitarbeiter schulen: Die menschliche Komponente bleibt das größte Risiko. Implementieren Sie regelmäßige Security-Awareness-Trainings und verpflichten Sie die Geschäftsleitung zur aktiven Beteiligung.

  7. ISMS aufbauen oder anpassen: Ein Information Security Management System (ISMS) nach ISO/IEC 27001 oder auf Basis des BSI IT-Grundschutzes bildet die strukturelle Grundlage für eine nachhaltige NIS2-Compliance.

Fazit: Jetzt handeln, bevor die Aufsicht reagiert

Die NIS2-Betroffenheitsprüfung ist kein einmaliges Projekt, sondern ein fortlaufender Prozess – denn Unternehmensstruktur, Umsatz und Geschäftsfelder können sich ändern. Wer heute nicht betroffen ist, kann es morgen sein.

Ihre nächsten Schritte auf einen Blick:

  1. Führen Sie jetzt eine strukturierte Betroffenheitsanalyse nach §3 NIS2UmsuCG durch.
  2. Dokumentieren Sie das Ergebnis nachvollziehbar und aktualisieren Sie es jährlich.
  3. Wenn Betroffenheit vorliegt: Registrieren Sie sich beim BSI und starten Sie mit der Gap-Analyse gegenüber §30 BSIG.
  4. Binden Sie die Geschäftsleitung aktiv ein – NIS2-Compliance ist Chefsache.

Die regulatorische Aufsicht durch das BSI nimmt spürbar zu. Unternehmen, die jetzt handeln, sind nicht nur compliant – sie sind auch besser gegen Cyberangriffe geschützt und stärken das Vertrauen ihrer Kunden und Partner.

Nächster Schritt: NIS2-Compliance strukturiert angehen

Die manuelle Verwaltung von Risikoanalysen, Maßnahmenplänen, Lieferantenbewertungen und Vorfallmeldungen ist aufwendig und fehleranfällig. Viele Unternehmen setzen daher auf spezialisierte NIS2-Compliance-Software und ISMS-Plattformen, die den gesamten Prozess – von der Betroffenheitsprüfung über die Gap-Analyse bis zur automatisierten Dokumentation – abbilden. Solche Lösungen helfen Ihnen, Ihre Pflichten nach §30 und §38 BSIG systematisch zu erfüllen, Audit-Berichte zu generieren und Ihre Compliance-Nachweise gegenüber dem BSI oder Prüfern lückenlos vorzuhalten. Informieren Sie sich über verfügbare Tools und lassen Sie sich von einem NIS2-erfahrenen Berater bei der Auswahl unterstützen.

Quellen und weiterführende Hinweise: NIS2UmsuCG (BGBl. 2024), BSIG in der aktuellen Fassung, ENISA NIS2 Implementation Guidance (2024), BSI-Orientierungshilfe zur NIS2-Umsetzung, EU-Empfehlung 2003/361/EG (KMU-Definition)