NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?

Veröffentlicht am 21. Juni 2026 | Lesezeit: ca. 8 Minuten


Die NIS2-Richtlinie ist seit ihrer Umsetzung durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in deutsches Recht in Kraft – und viele Unternehmen fragen sich noch immer: Bin ich eigentlich betroffen? Die Antwort ist keine Kleinigkeit. Wer irrtümlich davon ausgeht, nicht unter die Richtlinie zu fallen, riskiert empfindliche Bußgelder und haftet im Ernstfall persönlich. Dieser Artikel führt Sie Schritt für Schritt durch die NIS2-Betroffenheitsprüfung für Unternehmen in Deutschland und zeigt, welche konkreten Maßnahmen jetzt erforderlich sind.


Was ist die NIS2-Betroffenheitsprüfung und warum ist sie entscheidend?

Die NIS2-Betroffenheitsprüfung ist der erste und wichtigste Schritt auf dem Weg zur Compliance. Sie klärt, ob Ihr Unternehmen als wesentliche Einrichtung (Essential Entity, EE) oder wichtige Einrichtung (Important Entity, IE) gemäß §3 NIS2UmsuCG eingestuft wird – oder ob Sie außerhalb des Anwendungsbereichs liegen.

Diese Unterscheidung ist nicht akademisch: Sie bestimmt unmittelbar, welche Pflichten Sie haben, welche Aufsichtsbehörden für Sie zuständig sind und welche Sanktionen bei Verstößen drohen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) führt ein zentrales Register aller betroffenen Einrichtungen und erwartet von diesen eine Selbstregistrierung.


Schritt 1: Gehört Ihre Branche zu den regulierten Sektoren?

Der Anwendungsbereich der NIS2-Richtlinie ist deutlich weiter gefasst als der der Vorgängerregelung. Das NIS2UmsuCG unterscheidet zwischen zwei Kategorien von Sektoren, die in Anlage 1 und Anlage 2 des Gesetzes aufgeführt sind.

Anlage 1 – Sektoren mit hoher Kritikalität

Diese Sektoren gelten als besonders systemrelevant. Unternehmen hier werden – sofern die Größenkriterien erfüllt sind – automatisch als wesentliche Einrichtungen eingestuft:

  • Energie (Strom, Gas, Öl, Wärme, Wasserstoff)
  • Verkehr (Luft, Bahn, Wasser, Straße)
  • Bankwesen und Finanzmarktinfrastrukturen
  • Gesundheitswesen (Krankenhäuser, Labore, Pharmahersteller)
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur (DNS, TLD-Registries, Rechenzentren, Cloud-Anbieter)
  • IKT-Dienstleistungsmanagement (Managed Service Provider)
  • Öffentliche Verwaltung (Bundes- und Landesebene)
  • Weltraum

Anlage 2 – Sonstige kritische Sektoren

Unternehmen in diesen Bereichen werden je nach Größe als wichtige Einrichtungen eingestuft:

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Chemische Industrie
  • Lebensmittelproduktion und -verarbeitung
  • Verarbeitendes Gewerbe / Maschinenbau (u. a. Medizinprodukte, Elektronik, Fahrzeuge)
  • Digitale Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Forschungseinrichtungen

Wichtiger Hinweis: Auch Unternehmen, die nicht direkt in diesen Sektoren tätig sind, können betroffen sein – nämlich dann, wenn sie als kritische Zulieferer oder Dienstleister für betroffene Einrichtungen fungieren. Die Lieferkettenpflichten nach §30 NIS2UmsuCG greifen hier.


Schritt 2: Erfüllen Sie die Größenkriterien?

Die Sektorzugehörigkeit allein reicht nicht aus. Entscheidend sind auch die Unternehmensgröße und der Jahresumsatz. Grundlage ist die EU-Definition für mittlere und große Unternehmen gemäß EU-Empfehlung 2003/361/EG:

Einrichtungstyp Mitarbeiterzahl Jahresumsatz ODER Jahresbilanzsumme
Wesentliche Einrichtung (EE) ≥ 250 Mitarbeiter ≥ 50 Mio. € Umsatz oder ≥ 43 Mio. € Bilanzsumme
Wichtige Einrichtung (IE) ≥ 50 Mitarbeiter ≥ 10 Mio. € Umsatz oder ≥ 10 Mio. € Bilanzsumme
Ausnahme: Kleinstunternehmen < 10 Mitarbeiter < 2 Mio. €

Sonderregelungen: Für bestimmte Einrichtungen gilt die Größenschwelle nicht. Das betrifft etwa:

  • Betreiber kritischer Anlagen (KRITIS) nach §28 BSIG
  • Vertrauensdiensteanbieter und TLD-Registries
  • Anbieter öffentlicher elektronischer Kommunikationsnetze
  • Einrichtungen, die als einziger Anbieter eines kritischen Dienstes in einem Mitgliedstaat gelten

Schritt 3: Wesentliche vs. wichtige Einrichtung – Was ist der Unterschied?

Die Einstufung als wesentliche oder wichtige Einrichtung hat erhebliche praktische Konsequenzen:

Wesentliche Einrichtungen (§30 Abs. 1 NIS2UmsuCG)

  • Proaktive Aufsicht durch das BSI (Ex-ante-Kontrolle)
  • Regelmäßige Sicherheitsaudits und Inspektionen ohne konkreten Anlass
  • Pflicht zur Umsetzung von mindestens 10 Sicherheitsmaßnahmen (§30 Abs. 2 NIS2UmsuCG)
  • Meldepflicht bei erheblichen Sicherheitsvorfällen: Erstmeldung innerhalb von 24 Stunden, Folgemeldung innerhalb von 72 Stunden, Abschlussbericht nach einem Monat
  • Maximales Bußgeld: 10 Mio. € oder 2 % des weltweiten Jahresumsatzes

Wichtige Einrichtungen (§30 Abs. 3 NIS2UmsuCG)

  • Reaktive Aufsicht (Ex-post-Kontrolle) – das BSI wird in der Regel erst bei konkretem Anlass tätig
  • Gleiche Sicherheitsmaßnahmen wie EE, jedoch mit etwas geringerer Prüfungsintensität
  • Gleiche Meldepflichten (24h / 72h / 1 Monat)
  • Maximales Bußgeld: 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes

Selbsttest: Fällt Ihr Unternehmen unter NIS2?

Beantworten Sie diese fünf Fragen, um eine erste Einschätzung zu erhalten:

Frage 1: Ist Ihr Unternehmen in einem der Sektoren aus Anlage 1 oder Anlage 2 des NIS2UmsuCG tätig?
Nein: Sie sind wahrscheinlich nicht direkt betroffen. Prüfen Sie jedoch Lieferkettenpflichten.
Ja: Weiter zu Frage 2.

Frage 2: Beschäftigt Ihr Unternehmen 50 oder mehr Mitarbeiter?
Nein (< 50 MA): Prüfen Sie Sonderregelungen (z. B. KRITIS-Status). Sonst: nicht erfasst.
Ja: Weiter zu Frage 3.

Frage 3: Liegt Ihr Jahresumsatz bei 10 Mio. € oder mehr?
Nein: Wahrscheinlich nicht erfasst (Ausnahmen prüfen).
Ja: Sie sind mindestens als wichtige Einrichtung einzustufen.

Frage 4: Haben Sie 250 oder mehr Mitarbeiter UND einen Jahresumsatz von 50 Mio. € oder mehr?
Ja: Sie sind voraussichtlich wesentliche Einrichtung (Anlage 1) oder wichtige Einrichtung (Anlage 2).

Frage 5: Betreiben Sie kritische Infrastrukturen nach §28 BSIG oder sind Sie Vertrauensdiensteanbieter?
Ja: Größenschwellen gelten nicht – Sie sind in jedem Fall betroffen.


Konsequenzen bei Nichterfüllung: Was droht bei Verstößen?

Die Sanktionsregelungen des NIS2UmsuCG sind nicht zu unterschätzen. §65 BSIG regelt den Bußgeldrahmen und sieht vor:

  • Bei wesentlichen Einrichtungen: bis zu 10.000.000 € oder 2 % des weltweiten Gesamtjahresumsatzes (der höhere Betrag gilt)
  • Bei wichtigen Einrichtungen: bis zu 7.000.000 € oder 1,4 % des weltweiten Gesamtjahresumsatzes

Besonders gravierend: §38 NIS2UmsuCG begründet eine persönliche Haftung der Geschäftsleitung. Geschäftsführer und Vorstände können für Schäden aus unzureichenden Cybersicherheitsmaßnahmen persönlich in Regress genommen werden – und auf die Haftpflicht kann nicht wirksam verzichtet werden. Das BSI kann zudem gemäß §62 BSIG die öffentliche Bekanntmachung von Verstößen anordnen – ein erhebliches Reputationsrisiko.


Konkrete Handlungsempfehlungen: So gehen Sie jetzt vor

Wenn Sie nach dieser Prüfung davon ausgehen, betroffen zu sein – oder unsicher sind –, empfehlen wir folgende Schritte:

  1. Sektorzugehörigkeit dokumentieren: Verschverschaffen Sie sich einen klaren Überblick über Ihre Hauptgeschäftstätigkeit und ordnen Sie diese den Anlagen 1 und 2 des NIS2UmsuCG zu. Holen Sie bei Unklarheiten rechtliche Beratung ein.

  2. Unternehmensgrößenkriterien prüfen: Ermitteln Sie exakt Ihre Mitarbeiterzahl (Vollzeitäquivalente), Ihren Jahresumsatz und Ihre Bilanzsumme. Berücksichtigen Sie dabei verbundene Unternehmen gemäß EU-KMU-Definition.

  3. Selbstregistrierung beim BSI durchführen: Betroffene Einrichtungen sind verpflichtet, sich über das BSI-Portal zu registrieren. Die Registrierung ist Grundvoraussetzung für den gesamten Compliance-Prozess.

  4. Einstufung intern kommunizieren: Informieren Sie Geschäftsführung, IT-Leitung und Rechtsabteilung über die Einstufung und die daraus resultierenden Pflichten. Schaffen Sie klare Verantwortlichkeiten.

  5. Gap-Analyse durchführen: Vergleichen Sie Ihre bestehenden Sicherheitsmaßnahmen mit den Anforderungen aus §30 Abs. 2 NIS2UmsuCG (Risikomanagement, Incident Response, Business Continuity, Lieferkettensicherheit etc.).

  6. ISMS aufbauen oder anpassen: Falls noch nicht vorhanden, implementieren Sie ein Informationssicherheits-Managementsystem (ISMS) – idealerweise auf Basis von ISO 27001 oder dem BSI IT-Grundschutz-Kompendium.

  7. Meldeprozesse etablieren: Richten Sie interne Prozesse ein, die sicherstellen, dass erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden erkannt und gemeldet werden können.

  8. Lieferkette prüfen: Überprüfen Sie Ihre wichtigsten IT-Dienstleister und Zulieferer auf deren Sicherheitsniveau. Vertragliche Sicherheitsanforderungen sollten in alle relevanten Lieferantenverträge aufgenommen werden.


Fazit und nächste Schritte

Die NIS2-Betroffenheitsprüfung ist kein einmaliges Projekt – sie muss bei wesentlichen Änderungen der Unternehmensgröße, des Geschäftsmodells oder der regulatorischen Rahmenbedingungen regelmäßig wiederholt werden. Die wichtigsten nächsten Schritte auf einen Blick:

✅ Sektorzugehörigkeit anhand Anlage 1 / Anlage 2 NIS2UmsuCG feststellen
✅ Größenkriterien (50+ MA / 10 Mio. € oder 250+ MA / 50 Mio. €) prüfen
✅ Einstufung als wesentliche oder wichtige Einrichtung vornehmen
✅ Beim BSI registrieren
✅ Gap-Analyse und Maßnahmenplan erstellen
✅ Geschäftsleitung über persönliche Haftungspflichten nach §38 NIS2UmsuCG informieren

Das BSI stellt auf seiner Website aktuelle Orientierungshilfen und FAQ zur Betroffenheitsprüfung bereit. Zusätzlich empfiehlt ENISA in ihrem NIS2 Implementation Guidance-Papier (2024) einen risikobasierten Ansatz, der die spezifische Bedrohungslage Ihrer Branche berücksichtigt.


Nächster Schritt: Compliance strukturiert angehen

Wenn Sie Ihre Betroffenheit festgestellt haben, steht als nächstes die strukturierte Umsetzung auf dem Plan. Spezialisierte NIS2-Compliance-Software kann diesen Prozess erheblich vereinfachen: Sie unterstützt bei der automatisierten Betroffenheitsprüfung, der Erstellung und Verwaltung von ISMS-Dokumenten, der Nachverfolgung von Maßnahmen und der Vorbereitung auf BSI-Audits. Tools, die auf dem BSI IT-Grundschutz oder ISO 27001 basieren, helfen Ihnen dabei, alle Anforderungen aus §30 NIS2UmsuCG lückenlos zu dokumentieren und nachzuweisen – und das revisionssicher. Eine solche Lösung spart nicht nur Zeit, sondern schützt Sie auch vor den erheblichen Haftungsrisiken, die §65 BSIG und §38 NIS2UmsuCG mit sich bringen.


Dieser Artikel wurde nach bestem Wissen und Gewissen auf Basis der zum Zeitpunkt der Veröffentlichung geltenden Rechtslage erstellt. Er ersetzt keine individuelle Rechts- oder Compliance-Beratung.