NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?
Stand: 19. Juni 2026 | Lesedauer: ca. 8 Minuten
Die NIS2-Richtlinie der Europäischen Union ist seit der Umsetzung durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in deutsches Recht fest verankert – und dennoch herrscht in vielen Unternehmen noch immer Unsicherheit darüber, ob sie selbst betroffen sind. Dabei sind die Konsequenzen bei Nichterfüllung erheblich: Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (§ 65 BSIG) können existenzbedrohend wirken. Dieser Artikel führt Sie Schritt für Schritt durch die NIS2-Betroffenheitsprüfung für Unternehmen in Deutschland 2025 und zeigt Ihnen, was nach der Feststellung der Betroffenheit konkret zu tun ist.
Was regelt §3 NIS2UmsuCG – und warum ist er so relevant?
Der Schlüsselparagraf für die Betroffenheitsfrage ist § 3 NIS2UmsuCG in Verbindung mit den Anlagen 1 und 2 des Gesetzes. Er definiert, welche Einrichtungen als wesentliche oder wichtige Einrichtungen einzustufen sind und damit dem erweiterten Pflichtenkatalog des BSIG (Bundesdatenschutz- und Informationssicherheitsgesetz) unterliegen.
Vereinfacht gesagt: Eine Einrichtung ist betroffen, wenn sie zwei Bedingungen gleichzeitig erfüllt:
- Sie gehört zu einem der in Anlage 1 oder Anlage 2 des NIS2UmsuCG genannten Sektoren.
- Sie überschreitet bestimmte Größenschwellenwerte (Mitarbeiterzahl und/oder Jahresumsatz/-bilanzsumme).
Daneben gibt es Sonderfälle, bei denen die Größenkriterien nicht gelten – etwa für Betreiber kritischer Anlagen (KRITIS) oder bestimmte Anbieter digitaler Infrastruktur.
Schritt 1: In welchem Sektor ist Ihr Unternehmen tätig?
Anlage 1 – Sektoren mit hoher Kritikalität (Wesentliche Einrichtungen)
Die Anlage 1 des NIS2UmsuCG umfasst elf Sektoren, die als besonders kritisch für das gesellschaftliche und wirtschaftliche Leben gelten:
| Nr. | Sektor | Beispiele für betroffene Einrichtungen |
|---|---|---|
| 1 | Energie | Strom-, Gas-, Wärmeversorgung, Tankstellen-Verbünde |
| 2 | Verkehr | Flughäfen, Eisenbahnen, Reedereien, ÖPNV-Betreiber |
| 3 | Bankwesen | Kreditinstitute, Zahlungsdienstleister |
| 4 | Finanzmarktinfrastrukturen | Börsen, zentrale Gegenparteien |
| 5 | Gesundheit | Krankenhäuser, Labore, Pharmazeutische Hersteller |
| 6 | Trinkwasser | Wasserversorger |
| 7 | Abwasser | Abwasserentsorgung |
| 8 | Digitale Infrastruktur | Internet Exchange Points, DNS, TLD-Registries, Rechenzentren |
| 9 | ICT-Servicemanagement (B2B) | Managed Service Provider, Managed Security Service Provider |
| 10 | Öffentliche Verwaltung | Bundes- und Landesbehörden |
| 11 | Weltraum | Bodeninfrastruktur-Betreiber |
Anlage 2 – Sonstige kritische Sektoren (Wichtige Einrichtungen)
Die Anlage 2 erweitert den Anwendungsbereich erheblich und erfasst weitere sieben Sektoren:
| Nr. | Sektor | Beispiele für betroffene Einrichtungen |
|---|---|---|
| 1 | Post- und Kurierdienste | Paketdienstleister, Postunternehmen |
| 2 | Abfallbewirtschaftung | Entsorger, Recyclingunternehmen |
| 3 | Chemie | Hersteller und Händler gefährlicher Stoffe |
| 4 | Lebensmittel | Großhersteller und -händler |
| 5 | Verarbeitendes Gewerbe | Hersteller von Medizinprodukten, Elektronik, Maschinenbau, Kfz |
| 6 | Digitale Dienste | Online-Marktplätze, Suchmaschinen, soziale Netzwerke |
| 7 | Forschung | Forschungseinrichtungen |
Praxishinweis: Viele mittelständische Unternehmen aus dem verarbeitenden Gewerbe unterschätzen ihre Betroffenheit. Wer Maschinen, Medizinprodukte, Elektronik oder Fahrzeugkomponenten produziert, fällt sehr wahrscheinlich unter Anlage 2.
Schritt 2: Überschreiten Sie die Größenschwellen?
Selbst wenn Ihr Unternehmen in einem der genannten Sektoren tätig ist, sind die Größenkriterien entscheidend. Grundlage ist die EU-Definition für mittlere und große Unternehmen gemäß EU-Empfehlung 2003/361/EG:
Wesentliche Einrichtungen (Anlage 1)
- Große Unternehmen: ≥ 250 Mitarbeiter oder ≥ 50 Mio. € Jahresumsatz und ≥ 43 Mio. € Jahresbilanzsumme
- Alternativ: Einstufung als KRITIS-Betreiber nach § 28 BSIG unabhängig von der Größe
Wichtige Einrichtungen (Anlage 2 und Anlage 1 unterhalb der Großschwelle)
- Mittlere Unternehmen: ≥ 50 Mitarbeiter oder ≥ 10 Mio. € Jahresumsatz und ≥ 10 Mio. € Jahresbilanzsumme
- Unternehmen in Anlage-1-Sektoren, die die Großschwelle nicht erreichen, sind als wichtige (statt wesentliche) Einrichtungen eingestuft
Sonderregelungen: Wenn Größe keine Rolle spielt
Bestimmte Einrichtungen unterliegen unabhängig von ihrer Größe der NIS2-Pflicht:
- Anbieter von Vertrauensdiensten (qualifizierte und nicht-qualifizierte)
- Top-Level-Domain-Registries und DNS-Diensteanbieter
- Betreiber öffentlicher Telekommunikationsnetze
- Einrichtungen, die als einzige Anbieter eines systemrelevanten Dienstes in einem Mitgliedstaat identifiziert wurden
- Einrichtungen, deren Ausfall erhebliche Auswirkungen auf die öffentliche Sicherheit hätte
Interaktiver Selbsttest: Bin ich betroffen?
Gehen Sie die folgenden Fragen der Reihe nach durch. Bei Ja auf alle zutreffenden Fragen sind Sie mit hoher Wahrscheinlichkeit von der NIS2-Richtlinie betroffen:
Checkliste zur NIS2-Betroffenheitsprüfung
- [ ] Sektor-Check: Ist mein Unternehmen in einem Sektor aus Anlage 1 oder Anlage 2 des NIS2UmsuCG tätig?
- [ ] Mitarbeiter-Check: Beschäftigt mein Unternehmen 50 oder mehr Mitarbeiter (Vollzeitäquivalente)?
- [ ] Umsatz-Check: Erzielt mein Unternehmen einen Jahresumsatz von 10 Millionen Euro oder mehr?
- [ ] Konzernzugehörigkeit: Ist mein Unternehmen Teil einer Unternehmensgruppe, die zusammen die Schwellenwerte überschreitet? (Verbundene Unternehmen werden zusammengerechnet!)
- [ ] Sonderfall: Biete ich Vertrauensdienste, DNS-Dienste oder Telekommunikationsinfrastruktur an?
- [ ] KRITIS: Bin ich bereits als KRITIS-Betreiber nach altem Recht eingestuft?
Ergebnis: Wenn Sie mindestens den Sektor-Check und einen der Größen-Checks mit Ja beantwortet haben, sind Sie sehr wahrscheinlich betroffen und sollten unverzüglich eine formale Betroffenheitsanalyse durchführen – idealerweise mit juristischer und technischer Unterstützung.
Wesentliche vs. wichtige Einrichtungen: Der Unterschied im Überblick
Die Unterscheidung ist nicht nur akademisch – sie hat direkte Auswirkungen auf Prüftiefe, Registrierungspflichten und Bußgeldrahmen:
| Kriterium | Wesentliche Einrichtung | Wichtige Einrichtung |
|---|---|---|
| Rechtsgrundlage | § 28 Abs. 1 BSIG | § 28 Abs. 2 BSIG |
| Sektorzuordnung | Anlage 1 (groß) | Anlage 1 (mittel) + Anlage 2 |
| Aufsichtsregime | Proaktive Überwachung durch BSI | Reaktive Überwachung (anlassbezogen) |
| Mindest-Sicherheitsmaßnahmen | Identisch (§ 30 BSIG) | Identisch (§ 30 BSIG) |
| Max. Bußgeld | 10 Mio. € oder 2 % Jahresumsatz | 7 Mio. € oder 1,4 % Jahresumsatz |
| Managerhaftung | Ja (§ 38 BSIG) | Ja (§ 38 BSIG) |
| Registrierungspflicht beim BSI | Ja (§ 33 BSIG) | Ja (§ 33 BSIG) |
Welche Konsequenzen drohen bei Nichterfüllung?
Bußgelder nach § 65 BSIG
Das neue BSIG sieht empfindliche Sanktionen vor, die deutlich über das alte Recht hinausgehen:
- Wesentliche Einrichtungen: Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist
- Wichtige Einrichtungen: Bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes
- Bei besonders schwerwiegenden Verstößen (z. B. fehlende Meldung eines erheblichen Sicherheitsvorfalls) kann das BSI zusätzlich ein temporäres Tätigkeitsverbot für Geschäftsführer anordnen
Persönliche Haftung des Managements (§ 38 BSIG)
Ein oft unterschätztes Risiko: § 38 BSIG begründet eine persönliche Haftung der Leitungsorgane (Geschäftsführer, Vorstände). Sie sind verpflichtet, Cybersicherheitsmaßnahmen zu genehmigen, deren Umsetzung zu überwachen und sich regelmäßig zu schulen. Eine Enthaftung durch Delegation ist nur eingeschränkt möglich.
Reputationsschäden und Vertragsrisiken
Neben staatlichen Sanktionen drohen Vertragsstrafen aus Lieferantenvereinbarungen, da große Unternehmen zunehmend NIS2-Compliance als Voraussetzung für die Zusammenarbeit verlangen. Das BSI kann zudem die Veröffentlichung von Verstößen anordnen – mit erheblichen Reputationsfolgen.
Konkrete Handlungsempfehlungen: Was jetzt zu tun ist
Wenn Ihre Betroffenheitsprüfung ergeben hat, dass Sie unter die NIS2-Richtlinie fallen, empfehlen wir folgende Maßnahmen in dieser Reihenfolge:
-
Formale Betroffenheitsanalyse dokumentieren: Halten Sie schriftlich fest, warum und in welcher Kategorie (wesentlich/wichtig) Ihr Unternehmen betroffen ist. Dies ist die Grundlage für alle weiteren Schritte.
-
Beim BSI registrieren: Betroffene Einrichtungen müssen sich gemäß § 33 BSIG beim Bundesamt für Sicherheit in der Informationstechnik registrieren. Nutzen Sie das BSI-Portal und halten Sie Fristen ein.
-
Gap-Analyse der Sicherheitsmaßnahmen: Vergleichen Sie Ihren aktuellen Sicherheitsstand mit den Mindestanforderungen aus § 30 BSIG (Risikomanagement, Incident Response, Business Continuity, Supply Chain Security, Kryptographie u. a.).
-
ISMS aufbauen oder anpassen: Ein Information Security Management System nach ISO 27001 bietet die stärkste Grundlage. Alternativ können Sie das BSI IT-Grundschutz-Kompendium als Referenzrahmen nutzen.
-
Meldewege für Sicherheitsvorfälle etablieren: § 32 BSIG schreibt strenge Meldefristen vor: Frühwarnung innerhalb von 24 Stunden, Meldung innerhalb von 72 Stunden, Abschlussbericht nach einem Monat.
-
Lieferkette prüfen: Führen Sie eine Risikoanalyse Ihrer wichtigsten Zulieferer und Dienstleister durch. NIS2 macht Supply-Chain-Sicherheit zur Pflicht.
-
Management schulen und einbinden: Organisieren Sie nachweisbare Schulungen für Geschäftsführung und Vorstand. Dokumentieren Sie Beschlüsse zur Cybersicherheitsstrategie.
-
Regelmäßige Überprüfung etablieren: NIS2-Compliance ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Planen Sie jährliche Reviews und Audits ein.
Fazit und nächste Schritte
Die NIS2-Betroffenheitsprüfung ist für viele Unternehmen in Deutschland 2025 längst überfällig. Mit dem NIS2UmsuCG hat Deutschland eine umfassende Rechtspflicht geschaffen, deren Nichteinhaltung ernste finanzielle und persönliche Konsequenzen für Unternehmensverantwortliche hat. Die gute Nachricht: Wer systematisch vorgeht, die richtigen Tools nutzt und das Thema Cybersicherheit als strategische Aufgabe der Unternehmensführung versteht, kann NIS2-Compliance effizient erreichen.
Ihre nächsten drei Schritte:
- ✅ Prüfen Sie anhand der Sektortabellen (Anlage 1 & 2) und der Größenschwellen, ob Ihr Unternehmen betroffen ist.
- ✅ Wenn ja: Registrieren Sie sich beim BSI und beginnen Sie mit der Gap-Analyse.
- ✅ Ziehen Sie bei Unsicherheiten einen auf IT-Sicherheitsrecht spezialisierten Anwalt oder einen zertifizierten NIS2-Berater hinzu.
Tools und Software: Betroffenheit prüfen, Compliance dokumentieren
Die manuelle Verwaltung aller NIS2-Anforderungen über Excel-Tabellen ist fehleranfällig und im Ernstfall nicht nachweissicher. Spezialisierte NIS2-Compliance-Software und ISMS-Plattformen helfen Ihnen dabei, die Betroffenheitsprüfung zu dokumentieren, Maßnahmen zu tracken, Meldepflichten zu verwalten und auditfähige Nachweise zu erstellen. Viele Lösungen bieten auch integrierte Gap-Analysen auf Basis von § 30 BSIG und ISO 27001, sodass Sie schnell erkennen, wo Handlungsbedarf besteht. Informieren Sie sich über geeignete Tools – das spart Zeit, reduziert Haftungsrisiken und schafft Transparenz für Ihr Management.
Dieser Artikel dient der allgemeinen Information und ersetzt keine individuelle Rechtsberatung. Für eine verbindliche Einschätzung Ihrer Betroffenheit wenden Sie sich an einen auf IT-Recht spezialisierten Rechtsanwalt oder das BSI.
Quellen: NIS2UmsuCG (BGBl. 2024), BSIG n.F., BSI-Veröffentlichungen zur NIS2-Umsetzung, ENISA NIS2 Guidelines, EU-Richtlinie 2022/2555.