NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?

Veröffentlicht am 18. Mai 2026 | Lesedauer: ca. 8 Minuten

Seit dem Inkrafttreten des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) stehen tausende deutsche Unternehmen vor der gleichen Frage: Bin ich überhaupt betroffen? Die Antwort ist weitreichender, als viele vermuten. Nach aktuellen Schätzungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) fallen deutlich mehr als 30.000 Unternehmen in Deutschland unter die neuen Regelungen – ein Vielfaches der Vorgängerregelung nach der ursprünglichen NIS-Richtlinie. Wer die Betroffenheitsprüfung versäumt oder falsch einschätzt, riskiert empfindliche Bußgelder und erhebliche Haftungsrisiken für die Geschäftsführung.

Dieser Artikel erklärt Ihnen systematisch, wie die NIS2-Betroffenheitsprüfung für Unternehmen in Deutschland 2025 funktioniert, welche Kriterien entscheidend sind und was bei Nichterfüllung droht.

Was regelt §3 NIS2UmsuCG – und warum ist er so entscheidend?

Der §3 NIS2UmsuCG definiert den persönlichen Anwendungsbereich des Gesetzes und ist damit der Ausgangspunkt jeder Betroffenheitsprüfung. Er unterscheidet zwischen wesentlichen Einrichtungen (Essential Entities) und wichtigen Einrichtungen (Important Entities) und legt fest, unter welchen Bedingungen ein Unternehmen in eine dieser Kategorien fällt.

Die Einstufung ist nicht trivial: Sie hängt vom Sektor, der Unternehmensgröße und der gesellschaftlichen Bedeutung der erbrachten Leistung ab. Hinzu kommen Sonderregelungen, die bestimmte Einrichtungen unabhängig von Größenkriterien erfassen – zum Beispiel Betreiber kritischer Anlagen nach §28 BSIG oder qualifizierte Vertrauensdiensteanbieter.

Schritt 1: Fällt Ihr Sektor unter NIS2?

Der erste Filter der Betroffenheitsprüfung ist der Sektor. Das NIS2UmsuCG unterscheidet zwischen zwei Anlagen:

Anlage 1 – Sektoren hoher Kritikalität (11 Sektoren)

Diese Sektoren gelten als besonders systemrelevant. Unternehmen hier unterliegen strengeren Pflichten und werden bei Erfüllung der Größenkriterien als wesentliche Einrichtungen eingestuft:

  • Energie (Strom, Gas, Öl, Fernwärme, Wasserstoff)
  • Verkehr (Luft, Bahn, Wasser, Straße)
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheit (Krankenhäuser, Labore, Pharmahersteller)
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur (Internet-Knoten, DNS, TLD-Registries, Rechenzentren, Cloud-Dienste)
  • IKT-Dienstleistungsmanagement (Managed Service Provider, Managed Security Service Provider)
  • Öffentliche Verwaltung
  • Weltraum

Anlage 2 – Sonstige kritische Sektoren (7 Sektoren)

Unternehmen in diesen Sektoren können als wichtige Einrichtungen eingestuft werden:

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Chemische Stoffe (Herstellung, Erzeugung, Handel)
  • Lebensmittel (Produktion, Verarbeitung, Vertrieb)
  • Verarbeitendes Gewerbe (u. a. Medizinprodukte, Elektronik, Maschinenbau, Kfz, Rüstung)
  • Digitale Dienste (Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke)
  • Forschung

Praxishinweis: Die Sektorzuordnung folgt den NACE-Klassifikationscodes. Wenn Ihr Unternehmen in mehreren Bereichen tätig ist, ist der Haupttätigkeitsbereich entscheidend – im Zweifel sollten Sie rechtlichen Rat einholen.

Schritt 2: Erfüllt Ihr Unternehmen die Größenkriterien?

Auch wenn Sie in einem relevanten Sektor tätig sind, greift die NIS2-Pflicht in den meisten Fällen erst ab einer bestimmten Unternehmensgröße. Die maßgeblichen Schwellenwerte orientieren sich an der EU-Empfehlung 2003/361/EG zur Definition von KMU:

Größentabelle: Wer fällt unter NIS2?

Unternehmenskategorie Mitarbeiterzahl Jahresumsatz ODER Jahresbilanzsumme Einstufung (Anlage 1) Einstufung (Anlage 2)
Großunternehmen ≥ 250 ≥ 50 Mio. € Wesentliche Einrichtung Wichtige Einrichtung
Mittleres Unternehmen ≥ 50 ≥ 10 Mio. € Wesentliche Einrichtung* Wichtige Einrichtung
Kleinstunternehmen / KMU < 50 < 10 Mio. € Grundsätzlich ausgenommen Grundsätzlich ausgenommen

*Bei Anlage-1-Sektoren gilt für mittlere Unternehmen in bestimmten Bereichen die Einstufung als wesentliche Einrichtung erst ab Erfüllung zusätzlicher Kriterien.

Wichtig: Die Mitarbeiterzahl allein genügt nicht. Beide Kriterien – Mitarbeiterzahl und Umsatz/Bilanzsumme – müssen die jeweiligen Schwellenwerte übersteigen, damit ein Unternehmen als mittleres Unternehmen oder Großunternehmen gilt.

Ausnahmen vom Größenprinzip

Das Gesetz sieht Ausnahmen vor, die auch kleine Unternehmen erfassen können:

  • Alleinige Anbieter eines kritischen Dienstes in einem Mitgliedstaat
  • Systemrelevante Einrichtungen, deren Ausfall erhebliche gesellschaftliche Auswirkungen hätte
  • Qualifizierte Vertrauensdiensteanbieter und TLD-Namensregistrierungsstellen
  • Unternehmen, die für die öffentliche Sicherheit oder Ordnung bedeutsam sind

Schritt 3: Wesentliche oder wichtige Einrichtung – was ist der Unterschied?

Die Unterscheidung hat erhebliche praktische Konsequenzen:

Wesentliche Einrichtungen (§28 Abs. 1 NIS2UmsuCG)

  • Unterliegen proaktiver Aufsicht durch das BSI
  • Müssen sich beim BSI registrieren (§33 NIS2UmsuCG)
  • Unterliegen regelmäßigen Audits und Überprüfungen
  • Maximales Bußgeld: 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (§65 BSIG), je nachdem, welcher Betrag höher ist
  • Persönliche Haftung der Geschäftsführung bei Pflichtverletzungen (§38 NIS2UmsuCG)

Wichtige Einrichtungen (§28 Abs. 2 NIS2UmsuCG)

  • Unterliegen reaktiver Aufsicht – das BSI wird nur tätig bei konkreten Hinweisen
  • Registrierungspflicht besteht ebenfalls
  • Maximales Bußgeld: 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes (§65 BSIG)
  • Haftung der Leitungsorgane ist ebenfalls vorgesehen

Selbsttest: Ist Ihr Unternehmen von NIS2 betroffen?

Gehen Sie diese Fragen der Reihe nach durch:

Frage 1: Ist Ihr Unternehmen in einem der Sektoren der Anlage 1 oder Anlage 2 tätig?
- Nein → Kein NIS2-Anwendungsbereich (außer Sonderregelungen)
- Ja → Weiter zu Frage 2

Frage 2: Beschäftigt Ihr Unternehmen 50 oder mehr Mitarbeiterinnen und Mitarbeiter?
- Nein → Prüfen Sie, ob Ausnahmeregelungen greifen
- Ja → Weiter zu Frage 3

Frage 3: Überschreitet Ihr Jahresumsatz oder Ihre Jahresbilanzsumme 10 Millionen Euro?
- Nein → Kein NIS2-Anwendungsbereich (außer Ausnahmen)
- Ja → Sie fallen unter NIS2! Weiter zu Frage 4

Frage 4: Ist Ihr Unternehmen in einem Sektor der Anlage 1 tätig und überschreiten Sie 250 Mitarbeiter bzw. 50 Millionen Euro Umsatz?
- Ja → Wesentliche Einrichtung (strengere Pflichten)
- Nein → Wichtige Einrichtung

Tipp: Das BSI stellt auf seiner Website unter bsi.bund.de einen offiziellen Betroffenheitsprüfer bereit. Nutzen Sie dieses Tool als erste Orientierung – ersetzen Sie es aber nicht durch fundierte rechtliche und technische Beratung.

Was droht bei Nichterfüllung? – Bußgelder nach §65 BSIG

Wer die NIS2-Pflichten ignoriert oder die eigene Betroffenheit falsch einschätzt, riskiert deutlich mehr als einen Rüffel vom BSI. §65 BSIG sieht ein gestuftes Bußgeldsystem vor:

Bußgeldrahmen im Überblick

Verstoß Wesentliche Einrichtung Wichtige Einrichtung
Verstoß gegen Risikomanagementpflichten Bis 10 Mio. € / 2 % Jahresumsatz Bis 7 Mio. € / 1,4 % Jahresumsatz
Verstoß gegen Meldepflichten Bis 10 Mio. € / 2 % Jahresumsatz Bis 7 Mio. € / 1,4 % Jahresumsatz
Missachtung von BSI-Anordnungen Bis 10 Mio. € / 2 % Jahresumsatz Bis 7 Mio. € / 1,4 % Jahresumsatz

Hinzu kommt die persönliche Haftung der Geschäftsführung: Nach §38 NIS2UmsuCG können Leitungsorgane persönlich in Regress genommen werden, wenn sie Sicherheitsmaßnahmen nicht genehmigen oder überwachen. Eine D&O-Versicherung schützt in solchen Fällen nicht automatisch.

Konkrete Handlungsempfehlungen: So gehen Sie jetzt vor

Wenn Sie nach dieser Prüfung vermuten oder wissen, dass Ihr Unternehmen unter NIS2 fällt, sollten Sie unverzüglich handeln:

  1. Betroffenheit dokumentieren: Führen Sie die Betroffenheitsprüfung schriftlich durch und legen Sie die zugrunde liegenden Kriterien (Sektor, Mitarbeiterzahl, Umsatz) nachvollziehbar fest. Dies schützt Sie im Zweifelsfall gegenüber der Aufsichtsbehörde.

  2. Registrierung beim BSI vorbereiten: Wesentliche und wichtige Einrichtungen sind verpflichtet, sich beim BSI zu registrieren. Sammeln Sie alle erforderlichen Informationen (Rechtsform, Kontaktdaten, Sektorzuordnung, NACE-Code).

  3. Gap-Analyse durchführen: Vergleichen Sie Ihre bestehenden Sicherheitsmaßnahmen mit den Anforderungen aus §30 NIS2UmsuCG (Risikomanagement) und identifizieren Sie Lücken.

  4. Informationssicherheits-Managementsystem (ISMS) aufbauen oder anpassen: Ein ISMS nach ISO/IEC 27001 bildet die ideale Grundlage für NIS2-Compliance. Es strukturiert Ihre Sicherheitsmaßnahmen und erleichtert den Nachweis gegenüber dem BSI.

  5. Meldeprozesse einrichten: Legen Sie fest, wie Ihr Unternehmen Sicherheitsvorfälle erkennt und meldet. NIS2 sieht bei erheblichen Sicherheitsvorfällen eine Erstmeldung binnen 24 Stunden sowie eine Abschlussmeldung binnen 1 Monat vor (§32 NIS2UmsuCG).

  6. Lieferkette prüfen: NIS2 verlangt auch die Absicherung der Lieferkette (§30 Abs. 2 Nr. 4 NIS2UmsuCG). Überprüfen Sie, welche Dienstleister und Lieferanten Zugang zu Ihren kritischen Systemen haben.

  7. Schulungen für die Geschäftsführung: Die Leitungsorgane müssen Schulungen zu Cybersicherheitsthemen absolvieren (§38 Abs. 3 NIS2UmsuCG) und nachweisen, dass sie die Risiken verstehen und steuern.

  8. Rechtliche Beratung einholen: Bei Unklarheiten zur Sektorzuordnung oder den Schwellenwerten empfiehlt sich die Hinzuziehung eines auf IT-Recht spezialisierten Anwalts sowie eines zertifizierten Informationssicherheitsbeauftragten (CISO oder BSI-zertifizierter IS-Berater).

Fazit: Betroffenheitsprüfung als Pflichtaufgabe – nicht als Kür

Die NIS2-Betroffenheitsprüfung für Unternehmen in Deutschland ist kein bürokratisches Randthema, sondern eine strategische Pflichtaufgabe für Geschäftsführung und IT-Verantwortliche. Wer die eigene Betroffenheit nicht kennt, kann keine wirksamen Maßnahmen ergreifen – und läuft Gefahr, im Schadensfall mit massiven Bußgeldern und persönlicher Haftung konfrontiert zu werden.

Ihre nächsten Schritte auf einen Blick:

  • ✅ Sektorzuordnung anhand der Anlagen 1 und 2 des NIS2UmsuCG prüfen
  • ✅ Mitarbeiterzahl und Umsatzschwellen mit aktuellen Unternehmensdaten abgleichen
  • ✅ Einstufung als wesentliche oder wichtige Einrichtung festhalten
  • ✅ Registrierung beim BSI einleiten (§33 NIS2UmsuCG)
  • ✅ Gap-Analyse und ISMS-Aufbau starten
  • ✅ Meldeprozesse und Schulungen implementieren

Jetzt Betroffenheit prüfen und NIS2-Compliance strukturiert angehen

Die Umsetzung der NIS2-Anforderungen umfasst Dutzende von Einzelmaßnahmen – von der Risikoanalyse über die Lieferkettenprüfung bis hin zur Dokumentation von Sicherheitsvorfällen. Spezialisierte NIS2-Compliance-Software kann diesen Prozess erheblich vereinfachen: Sie führt Sie strukturiert durch die Betroffenheitsprüfung, hilft beim Aufbau eines ISMS, erstellt revisionssichere Dokumentationen und unterstützt bei der fristgerechten Meldung von Sicherheitsvorfällen an das BSI. Wenn Sie heute noch keine Softwarelösung für Ihr Compliance-Management nutzen, ist jetzt der richtige Zeitpunkt, sich nach geeigneten Tools umzusehen – der Zeitdruck durch laufende BSI-Aufsichtsaktivitäten ist real.

Quellen und Referenzen: NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), BSI-Gesetz (BSIG) in der aktuellen Fassung, ENISA NIS2 Implementation Guidance, BSI-Grundschutz-Kompendium, EU-Richtlinie 2022/2555 (NIS2), EU-Empfehlung 2003/361/EG