NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?

Veröffentlicht am 20. Juni 2026 | Lesedauer: ca. 8 Minuten


Die NIS2-Richtlinie der Europäischen Union ist seit der Umsetzung in deutsches Recht durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) verbindlich in Kraft. Trotzdem herrscht in vielen deutschen Unternehmen nach wie vor Unsicherheit: Bin ich überhaupt betroffen? Welche Pflichten treffen mich konkret? Und was passiert, wenn ich nichts tue?

Dieser Artikel liefert Ihnen eine strukturierte NIS2-Betroffenheitsprüfung für Unternehmen in Deutschland 2025 – mit klaren Kriterien, einem praktischen Selbsttest und konkreten Handlungsempfehlungen.


Was regelt §3 NIS2UmsuCG?

Der §3 NIS2UmsuCG definiert den Anwendungsbereich des Gesetzes und legt fest, welche Einrichtungen als „wesentlich" oder „wichtig" eingestuft werden. Die Norm setzt die europäische NIS2-Richtlinie (EU 2022/2555) in nationales Recht um und erweitert den Kreis der verpflichteten Organisationen gegenüber dem Vorgängergesetz erheblich.

Grundsätzlich gilt: Eine Einrichtung fällt unter NIS2, wenn sie in einem der in Anlage 1 oder Anlage 2 zum NIS2UmsuCG genannten Sektoren tätig ist und die jeweiligen Größenschwellen überschreitet. Zusätzlich gibt es Ausnahmen nach oben – bestimmte Einrichtungen fallen unabhängig von ihrer Größe unter die Richtlinie.


Die zwei entscheidenden Prüfebenen

Prüfebene 1: Gehört Ihr Sektor dazu?

Der erste Schritt der Betroffenheitsprüfung ist die Zuordnung Ihres Unternehmens zu einem der geregelten Sektoren. Das NIS2UmsuCG unterscheidet zwischen zwei Anlagen:

Anlage 1 – Sektoren mit hoher Kritikalität (wesentliche Einrichtungen)

Diese Sektoren gelten als besonders systemrelevant. Unternehmen hier unterliegen strengeren Anforderungen und intensiverer Aufsicht durch das BSI:

  • Energie (Strom, Gas, Fernwärme, Öl, Wasserstoff)
  • Verkehr (Luftfahrt, Bahn, Schifffahrt, Straße)
  • Bankwesen und Finanzmarktinfrastrukturen
  • Gesundheitswesen (Krankenhäuser, Labore, Pharmaunternehmen)
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur (Internet-Knoten, DNS-Dienste, TLD-Register, Rechenzentren, Cloud-Dienste)
  • Verwaltung von IKT-Diensten (B2B-Managed-Service-Provider)
  • Weltraum
  • Öffentliche Verwaltung (Bundesbehörden, bestimmte Landesbehörden)

Anlage 2 – Sonstige kritische Sektoren (wichtige Einrichtungen)

Diese Sektoren sind ebenfalls reguliert, jedoch mit etwas geringeren Anforderungen an die Überwachungsintensität:

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Chemische Industrie (Herstellung, Handel)
  • Lebensmittelwirtschaft (Produktion und Vertrieb)
  • Verarbeitendes Gewerbe / Maschinenbau (z. B. Medizinprodukte, Elektronik, Fahrzeuge, Maschinen)
  • Digitale Dienste (Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke)
  • Forschung (Forschungseinrichtungen mit besonderer Relevanz)

Wichtiger Hinweis: Die bloße Zugehörigkeit zu einem dieser Sektoren reicht allein nicht aus. Es müssen zusätzlich die Größenkriterien erfüllt sein.


Prüfebene 2: Erfüllt Ihr Unternehmen die Größenkriterien?

Das NIS2UmsuCG orientiert sich an der europäischen KMU-Definition. Die Schwellenwerte lauten:

Kategorie Mitarbeiterzahl Jahresumsatz ODER Jahresbilanzsumme
Mittleres Unternehmen ≥ 50 Mitarbeiter ≥ 10 Mio. Euro
Großes Unternehmen ≥ 250 Mitarbeiter ≥ 50 Mio. Euro Umsatz oder ≥ 43 Mio. Euro Bilanzsumme

Faustformel: Wer in einem regulierten Sektor tätig ist und mindestens 50 Mitarbeitende beschäftigt sowie mindestens 10 Millionen Euro Jahresumsatz erzielt, ist grundsätzlich von NIS2 betroffen.

Ausnahmen vom Größenkriterium

Bestimmte Einrichtungen fallen unabhängig von ihrer Größe unter NIS2:

  • Anbieter öffentlicher elektronischer Kommunikationsnetze oder -dienste
  • Qualifizierte Vertrauensdiensteanbieter
  • TLD-Namenregistries und DNS-Diensteanbieter
  • Einrichtungen, die als einzige in einem Mitgliedstaat einen kritischen Dienst erbringen
  • Betreiber kritischer Anlagen im Sinne des KRITIS-Dachgesetzes

Wesentliche vs. wichtige Einrichtungen: Was ist der Unterschied?

Die Einstufung hat erhebliche praktische Konsequenzen. Beide Kategorien müssen vergleichbare Sicherheitsmaßnahmen umsetzen, unterscheiden sich aber in der Aufsichtsintensität:

Merkmal Wesentliche Einrichtung Wichtige Einrichtung
Sektor Anlage 1 NIS2UmsuCG Anlage 2 NIS2UmsuCG
Mindestgröße ≥ 250 MA oder ≥ 50 Mio. € Umsatz ≥ 50 MA oder ≥ 10 Mio. € Umsatz
Aufsichtsform Proaktive Aufsicht (ex-ante) durch BSI Reaktive Aufsicht (ex-post) durch BSI
Bußgeldrahmen Bis zu 10 Mio. € oder 2 % des globalen Jahresumsatzes Bis zu 7 Mio. € oder 1,4 % des globalen Jahresumsatzes
Meldepflichten Ja, 24h Erstmeldung, 72h Folgemeldung Ja, 24h Erstmeldung, 72h Folgemeldung

Selbsttest: Ist Ihr Unternehmen von NIS2 betroffen?

Beantworten Sie die folgenden Fragen sequenziell. Wenn Sie eine Frage mit „Nein" beantworten, sind Sie (vorbehaltlich der Sonderregelungen) wahrscheinlich nicht betroffen.

Schritt 1: Ist Ihr Unternehmen in Deutschland ansässig oder erbringt es Dienstleistungen für Einrichtungen in Deutschland?
Ja → weiter zu Schritt 2 | Nein → wahrscheinlich nicht betroffen

Schritt 2: Ist Ihr Unternehmen in einem der Sektoren aus Anlage 1 oder Anlage 2 des NIS2UmsuCG tätig?
Ja → weiter zu Schritt 3 | Nein → wahrscheinlich nicht betroffen

Schritt 3: Beschäftigt Ihr Unternehmen mindestens 50 Mitarbeitende?
Ja → weiter zu Schritt 4 | Nein → prüfen Sie Sonderregelungen (s. o.)

Schritt 4: Erzielen Sie einen Jahresumsatz von mindestens 10 Millionen Euro?
Ja → Sie sind wahrscheinlich von NIS2 betroffen → Einstufung prüfen (wesentlich/wichtig)

Schritt 5: Sind Sie in einem Sektor aus Anlage 1 tätig und beschäftigen ≥ 250 Mitarbeitende oder erzielen ≥ 50 Millionen Euro Umsatz?
Ja → wesentliche Einrichtung | Nein → wichtige Einrichtung

Achtung: Dieser Selbsttest ersetzt keine rechtliche oder fachliche Beratung. Bei Unsicherheiten empfehlen wir die Konsultation eines auf IT-Recht spezialisierten Rechtsanwalts oder eines zertifizierten Informationssicherheitsbeauftragten (CISO).


Konsequenzen bei Nichterfüllung: Was droht bei Verstößen?

Wer die NIS2-Pflichten ignoriert, riskiert erhebliche Konsequenzen. Der §65 BSIG (Bußgeldvorschriften) sieht empfindliche Sanktionen vor:

Bußgelder

  • Wesentliche Einrichtungen: Bußgelder bis zu 10 Millionen Euro oder 2 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres – je nachdem, welcher Betrag höher ist.
  • Wichtige Einrichtungen: Bußgelder bis zu 7 Millionen Euro oder 1,4 % des gesamten weltweiten Jahresumsatzes.

Persönliche Haftung der Geschäftsführung

Ein oft unterschätzter Aspekt: NIS2 und das NIS2UmsuCG stärken ausdrücklich die persönliche Verantwortung der Leitungsorgane. Geschäftsführer und Vorstände können bei Pflichtverletzungen persönlich in Haftung genommen werden, wenn sie die Umsetzung von Sicherheitsmaßnahmen schuldhaft vernachlässigt haben.

Operative Konsequenzen

Das BSI kann bei wesentlichen Einrichtungen als ultima ratio auch vorläufige Betriebsuntersagungen für bestimmte Dienste aussprechen oder die Abberufung von Geschäftsführern empfehlen. Zudem können Sicherheitszertifikate entzogen werden, was faktisch den Marktausschluss bedeuten kann.

Reputationsschäden

Über den finanziellen Schaden hinaus drohen Reputationsschäden durch verpflichtende Veröffentlichung von Verstößen durch das BSI – eine Konsequenz, die besonders im B2B-Umfeld schwerwiegende Auswirkungen auf Kundenbeziehungen haben kann.


Konkrete Handlungsempfehlungen: Was Sie jetzt tun müssen

Wenn Sie nach dem Selbsttest festgestellt haben, dass Ihr Unternehmen unter NIS2 fällt, empfehlen wir folgende Schritte:

  1. Betroffenheit formell feststellen und dokumentieren: Halten Sie schriftlich fest, aufgrund welcher Sektorzugehörigkeit und Größenkriterien Sie betroffen sind. Benennen Sie intern eine verantwortliche Person für NIS2-Compliance.

  2. Registrierung beim BSI durchführen: Betroffene Einrichtungen sind verpflichtet, sich beim BSI zu registrieren. Das BSI betreibt hierfür ein zentrales Meldeportal. Die Registrierung ist ein rechtlicher Pflichtschritt und keine Option.

  3. Gap-Analyse durchführen: Vergleichen Sie Ihre bestehenden Sicherheitsmaßnahmen mit den Anforderungen aus §30 NIS2UmsuCG (technische und organisatorische Maßnahmen). Nutzen Sie dabei den BSI IT-Grundschutz oder die ISO 27001 als Referenzrahmen.

  4. ISMS aufbauen oder erweitern: Implementieren Sie ein Informationssicherheits-Managementsystem (ISMS) auf Basis anerkannter Standards. Ein ISMS ist das Rückgrat der NIS2-Compliance und bildet die Dokumentationsbasis für Audits.

  5. Meldeprozesse für Sicherheitsvorfälle einrichten: Stellen Sie sicher, dass Sie erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden (Erstmeldung) und 72 Stunden (vollständige Meldung) an das BSI melden können. Definieren Sie klare interne Eskalationswege.

  6. Lieferkette überprüfen: NIS2 fordert ausdrücklich das Risikomanagement entlang der Lieferkette. Überprüfen Sie die Sicherheitsstandards Ihrer wesentlichen Dienstleister und Lieferanten und verankern Sie Sicherheitsanforderungen in Verträgen.

  7. Schulungen und Awareness-Programme etablieren: Die Leitungsorgane müssen gemäß NIS2UmsuCG an Schulungen zur Informationssicherheit teilnehmen. Etablieren Sie darüber hinaus regelmäßige Mitarbeiterschulungen zu Cyberbedrohungen und sicheren Verhaltensweisen.

  8. Rechtliche Beratung einholen: Klären Sie mit einem auf IT-Recht spezialisierten Anwalt oder einem CISO, ob alle Anforderungen Ihrer spezifischen Einrichtungskategorie vollständig erfüllt sind.


Häufige Irrtümer bei der NIS2-Betroffenheitsprüfung

Irrtum 1: „Wir sind zu klein."
Mittelständische Unternehmen ab 50 Mitarbeitenden in regulierten Sektoren sind betroffen. Die 250-Mitarbeiter-Schwelle gilt nur für die Einstufung als wesentliche Einrichtung in Anlage-1-Sektoren.

Irrtum 2: „Wir sind kein KRITIS-Betreiber."
NIS2 und KRITIS sind nicht identisch. Der NIS2-Anwendungsbereich ist deutlich breiter als das bisherige KRITIS-Konzept.

Irrtum 3: „Wir sind ein Zulieferer, also nicht direkt betroffen."
Auch wenn Sie selbst nicht direkt unter NIS2 fallen, können Ihre Kunden (die unter NIS2 fallen) Sicherheitsanforderungen an Sie als Teil ihrer Lieferkette stellen. NIS2-Compliance wird zunehmend Voraussetzung für Geschäftsbeziehungen.

Irrtum 4: „ISO 27001-Zertifizierung reicht."
ISO 27001 ist eine ausgezeichnete Grundlage, deckt aber nicht alle spezifischen NIS2-Anforderungen vollständig ab – insbesondere die deutschen Meldepflichten und Registrierungsanforderungen des NIS2UmsuCG.


Fazit: Jetzt handeln, bevor das BSI anklopft

Die NIS2-Betroffenheitsprüfung ist kein einmaliger Vorgang, sondern sollte regelmäßig wiederholt werden – insbesondere wenn sich Ihr Geschäftsmodell, Ihre Mitarbeiterzahl oder Ihr Umsatz verändert. Die wichtigsten nächsten Schritte auf einen Blick:

  • ✅ Sektorcheck anhand Anlage 1 und 2 NIS2UmsuCG durchführen
  • ✅ Größenkriterien (≥ 50 MA, ≥ 10 Mio. € Umsatz) prüfen
  • ✅ Einrichtungskategorie (wesentlich vs. wichtig) bestimmen
  • ✅ BSI-Registrierung vornehmen
  • ✅ Gap-Analyse und ISMS-Aufbau starten
  • ✅ Meldeprozesse und Notfallpläne etablieren

Das BSI hat seine Aufsichtstätigkeit bereits intensiviert. Unternehmen, die jetzt handeln, vermeiden nicht nur Bußgelder nach §65 BSIG, sondern stärken gleichzeitig ihre Cyberresilienz und ihr Vertrauen bei Kunden und Partnern.


Nächster Schritt: Betroffenheit digital prüfen und Dokumentation erstellen

Um den Prozess der NIS2-Compliance zu strukturieren und zu beschleunigen, empfehlen wir den Einsatz einer spezialisierten NIS2-Compliance-Software oder ISMS-Plattform. Solche Tools führen Sie systematisch durch die Betroffenheitsprüfung, helfen bei der Erstellung der notwendigen ISMS-Dokumentation (Richtlinien, Risikoanalysen, Incident-Response-Pläne) und unterstützen bei der Vorbereitung auf BSI-Audits. Viele Lösungen bilden auch die spezifischen Anforderungen des NIS2UmsuCG ab und erleichtern so die Nachweisführung gegenüber Behörden und Geschäftspartnern erheblich. Eine strukturierte, toolgestützte Herangehensweise spart Zeit, reduziert Fehler und schafft die Dokumentationsbasis, die im Ernstfall zählt.


Quellen: NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), BSI-Gesetz (BSIG), EU-Richtlinie 2022/2555 (NIS2), ENISA Threat Landscape 2024, BSI-Leitfaden zur NIS2-Registrierung