NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?
Veröffentlicht am 22. Juni 2026 | Lesezeit: ca. 8 Minuten
Seit dem Inkrafttreten des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) sind Tausende deutsche Unternehmen zur Einhaltung strenger Cybersicherheitsanforderungen verpflichtet – doch viele wissen bis heute nicht sicher, ob sie überhaupt betroffen sind. Die Konsequenzen dieser Unkenntnis können gravierend sein: Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes (§ 65 BSIG) drohen Unternehmen, die ihre Pflichten ignorieren.
Dieser Artikel führt Sie Schritt für Schritt durch die NIS2-Betroffenheitsprüfung für Unternehmen in Deutschland und gibt Ihnen konkrete Handlungsempfehlungen für das Jahr 2025 und darüber hinaus.
Was ist die NIS2-Richtlinie und warum ist sie für Ihr Unternehmen relevant?
Die NIS2-Richtlinie (EU 2022/2555) ist die überarbeitete europäische Richtlinie zur Netz- und Informationssicherheit. Sie löst die ursprüngliche NIS-Richtlinie aus dem Jahr 2016 ab und erweitert den Anwendungsbereich erheblich: Statt einiger Hundert betroffener Betreiber kritischer Infrastrukturen in Deutschland sind nun schätzungsweise 30.000 bis 40.000 Unternehmen (laut BSI-Schätzungen) verpflichtet, Mindestsicherheitsstandards einzuhalten, Sicherheitsvorfälle zu melden und Nachweise über ihr Risikomanagement zu erbringen.
Die nationale Umsetzung erfolgt durch das NIS2UmsuCG, das die europäischen Vorgaben in deutsches Recht überführt. Kernstück für die Betroffenheitsprüfung ist § 3 NIS2UmsuCG, der definiert, welche Einrichtungen unter das Gesetz fallen – unterteilt in „wesentliche Einrichtungen" und „wichtige Einrichtungen".
Schritt 1: Der Sektorencheck – In welcher Branche ist Ihr Unternehmen tätig?
Die erste und entscheidende Frage lautet: Gehört Ihr Unternehmen zu einem der regulierten Sektoren? Das NIS2UmsuCG unterscheidet dabei zwei Kategorien, die sich an Anlage 1 und Anlage 2 des Gesetzes orientieren.
Anlage 1 – Sektoren mit hoher Kritikalität
Diese Sektoren gelten als besonders kritisch und führen bei Erfüllung der Größenkriterien automatisch zur Einstufung als wesentliche Einrichtung:
- Energie (Strom, Gas, Fernwärme, Öl, Wasserstoff)
- Verkehr (Luftfahrt, Schienenverkehr, Schifffahrt, Straßenverkehr)
- Bankwesen (Kreditinstitute)
- Finanzmarktinfrastrukturen (Handelsplätze, zentrale Gegenparteien)
- Gesundheit (Krankenhäuser, Labore, Forschungseinrichtungen, Pharmahersteller)
- Trinkwasser (Wasserversorgungsunternehmen)
- Abwasser (Abwasserbehandlungsunternehmen)
- Digitale Infrastruktur (Internet-Knoten, DNS-Anbieter, TLD-Register, Cloud-Anbieter, Rechenzentren, Vertrauensdiensteanbieter, öffentliche Kommunikationsnetze)
- ICT-Dienstleistungsmanagement (MSPs und MSSPs im B2B-Bereich)
- Öffentliche Verwaltung (Bundesbehörden, Länderbehörden)
- Weltraum (Betreiber von Bodeninfrastrukturen)
Anlage 2 – Sonstige kritische Sektoren
Unternehmen in diesen Sektoren werden bei Erfüllung der Größenkriterien als wichtige Einrichtungen eingestuft:
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Chemische Industrie (Herstellung, Erzeugung und Vertrieb chemischer Stoffe)
- Lebensmittelindustrie (Herstellung, Verarbeitung und Vertrieb)
- Verarbeitendes Gewerbe / Herstellung (z. B. Medizinprodukte, Computer, Elektronik, Fahrzeuge, Maschinenbau)
- Digitale Dienste (Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke)
- Forschung (Forschungseinrichtungen)
Wichtig: Wenn Ihr Unternehmen keinem dieser Sektoren zuzuordnen ist, sind Sie grundsätzlich nicht von NIS2 betroffen – es sei denn, Sie sind als Zulieferer oder Dienstleister für eine betroffene Einrichtung tätig. In diesem Fall können vertragliche Anforderungen auf Sie zukommen, auch wenn keine direkte gesetzliche Pflicht besteht.
Schritt 2: Die Größenkriterien – Überschreitet Ihr Unternehmen die Schwellenwerte?
Allein die Zugehörigkeit zu einem Sektor reicht in den meisten Fällen nicht aus. Entscheidend sind die Größenkriterien gemäß § 3 NIS2UmsuCG, die sich an der EU-Definition für mittlere und große Unternehmen orientieren:
| Kriterium | Schwellenwert |
|---|---|
| Mitarbeiterzahl | ≥ 50 Beschäftigte |
| Jahresumsatz | ≥ 10 Millionen Euro |
| Jahresbilanzsumme | ≥ 10 Millionen Euro |
Ein Unternehmen ist betroffen, wenn es mindestens einen der Umsatz- oder Bilanzschwellenwerte und die Mitarbeiterzahl erfüllt (also: 50+ MA und ≥ 10 Mio. € Umsatz oder Bilanzsumme).
Ausnahmen: Größenunabhängige Betroffenheit
In bestimmten Fällen gilt NIS2 unabhängig von der Unternehmensgröße:
- Qualifizierte Vertrauensdiensteanbieter und Trust-Service-Provider
- TLD-Register und DNS-Dienstleister
- Betreiber öffentlicher Telekommunikationsnetze
- Einrichtungen, die als einzige Anbieter eines kritischen Dienstes in einem Mitgliedstaat gelten
- Einrichtungen, deren Ausfall erhebliche Auswirkungen auf die öffentliche Sicherheit oder Ordnung hätte
- Einrichtungen, die vom Staat als kritisch eingestuft wurden
Das BSI kann zudem im Einzelfall auch kleinere Unternehmen als wesentliche oder wichtige Einrichtungen einstufen, wenn besondere Kritikalität vorliegt.
Schritt 3: Wesentliche vs. wichtige Einrichtung – Was ist der Unterschied?
Die Unterscheidung zwischen wesentlichen und wichtigen Einrichtungen ist für die Praxis relevant, da sie unterschiedliche Aufsichtsintensitäten und Nachweispflichten nach sich zieht.
| Merkmal | Wesentliche Einrichtung | Wichtige Einrichtung |
|---|---|---|
| Sektor | Anlage 1 | Anlage 2 (und bestimmte Anlage-1-Sektoren mit < 250 MA) |
| Unternehmensgrößen | Mittel + Groß | Mittel + Groß |
| BSI-Aufsicht | Proaktiv (ex-ante) | Reaktiv (ex-post, bei Hinweisen) |
| Bußgelder (Max.) | 10 Mio. € oder 2 % Jahresumsatz | 7 Mio. € oder 1,4 % Jahresumsatz |
| Registrierungspflicht | Ja (aktiv beim BSI) | Ja (aktiv beim BSI) |
| Nachweispflicht | Regelmäßige Audits / Zertifizierungen | Auf Anforderung |
Große Einrichtungen aus Anlage-1-Sektoren (≥ 250 Mitarbeiter oder > 50 Mio. € Umsatz) werden stets als wesentliche Einrichtungen eingestuft. Mittlere Unternehmen aus Anlage-1-Sektoren können als wichtige Einrichtungen gelten, sofern das BSI keine anderweitige Einstufung vornimmt.
Selbsttest: Ist Ihr Unternehmen von NIS2 betroffen?
Nutzen Sie die folgende Checkliste für eine erste Einschätzung:
Checkliste NIS2-Betroffenheitsprüfung
- [ ] Schritt 1: Mein Unternehmen ist in einem Sektor der Anlage 1 oder Anlage 2 tätig.
- [ ] Schritt 2: Mein Unternehmen beschäftigt 50 oder mehr Mitarbeiter (Vollzeitäquivalente).
- [ ] Schritt 3: Mein Jahresumsatz oder meine Jahresbilanzsumme beträgt mindestens 10 Millionen Euro.
- [ ] Schritt 4: Mein Unternehmen ist kein reines Kleinstunternehmen (< 10 MA, < 2 Mio. € Umsatz).
- [ ] Schritt 5: Mein Unternehmen ist kein reines öffentliches Verwaltungsunternehmen auf kommunaler Ebene (soweit nicht explizit einbezogen).
Auswertung:
- Schritte 1–3 erfüllt: Hohe Wahrscheinlichkeit der NIS2-Betroffenheit → Detailprüfung und rechtliche Beratung empfohlen.
- Nur Schritt 1 erfüllt: Möglicherweise betroffen bei größenunabhängigen Ausnahmetatbeständen → Einzelfallprüfung erforderlich.
- Schritt 1 nicht erfüllt: Aktuell wahrscheinlich nicht direkt betroffen, aber Lieferkettenpflichten prüfen.
Hinweis: Das BSI stellt unter bsi.bund.de einen offiziellen Betroffenheitsprüfer zur Verfügung, der Ihnen eine erste automatisierte Einschätzung ermöglicht.
Was droht bei Nichterfüllung? – Bußgelder und Haftung nach § 65 BSIG
Unternehmen, die ihre NIS2-Pflichten ignorieren oder unzureichend erfüllen, riskieren empfindliche Sanktionen. § 65 BSIG sieht folgende Bußgelder vor:
- Wesentliche Einrichtungen: Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (der höhere Betrag gilt)
- Wichtige Einrichtungen: Bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes
Besonders gravierend: § 38 BSIG sieht eine persönliche Haftung der Geschäftsführung vor. Leitungsorgane von wesentlichen Einrichtungen können bei Verstößen gegen Sicherheitspflichten persönlich mit bis zu 2 Millionen Euro in Haftung genommen werden – und diese Haftung kann nicht durch Versicherungen oder Gesellschaftsvermögen abgedeckt werden.
Zusätzlich zu Bußgeldern kann das BSI folgende Maßnahmen anordnen:
- Temporäres Verbot der Führung von Leitungsaufgaben
- Öffentliche Bekanntmachung von Verstößen ("Naming and Shaming")
- Anordnung von Sicherheitsaudits auf Kosten der Einrichtung
- Betriebsunterbrechungen bei kritischen Sicherheitsmängeln
Konkrete Handlungsempfehlungen für betroffene Unternehmen
Wenn Sie nach der Betroffenheitsprüfung festgestellt haben, dass Ihr Unternehmen unter NIS2 fällt, sollten Sie umgehend handeln:
-
Registrierung beim BSI durchführen: Wesentliche und wichtige Einrichtungen sind verpflichtet, sich im BSI-Portal zu registrieren. Die Registrierungspflicht besteht unabhängig davon, ob das BSI Sie bereits kontaktiert hat.
-
Leitungsebene sensibilisieren: Informieren Sie Ihre Geschäftsführung über die persönliche Haftung nach § 38 BSIG. Die Cybersicherheitsverantwortung ist Chefsache – das ist keine Option, sondern Gesetz.
-
Gap-Analyse durchführen: Vergleichen Sie Ihre aktuellen Sicherheitsmaßnahmen mit den Anforderungen des § 30 BSIG (technische und organisatorische Sicherheitsmaßnahmen). Identifizieren Sie Lücken in den Bereichen Risikomanagement, Incident-Response, Backup-Konzepte und Lieferkettensicherheit.
-
Meldeprozesse etablieren: Sicherheitsvorfälle müssen dem BSI innerhalb von 24 Stunden (Frühwarnung) und 72 Stunden (ausführliche Meldung) gemeldet werden (§ 32 BSIG). Stellen Sie sicher, dass diese Prozesse dokumentiert und getestet sind.
-
Lieferkette überprüfen: NIS2 verlangt auch die Berücksichtigung von Cybersicherheitsrisiken in der Lieferkette (§ 30 Abs. 2 Nr. 4 BSIG). Führen Sie eine Inventarisierung kritischer Dienstleister und Lieferanten durch und fordern Sie Sicherheitsnachweise ein.
-
ISMS aufbauen oder erweitern: Ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 oder BSI IT-Grundschutz ist zwar nicht explizit vorgeschrieben, gilt aber als anerkannter Nachweis für die Erfüllung der Sorgfaltspflichten. Starten Sie mit einer Schutzbedarfsfeststellung und einem Risikoregister.
-
Schulungen durchführen: § 30 BSIG verlangt Schulungen für Mitarbeiter und Leitungsorgane. Dokumentieren Sie diese sorgfältig – Schulungsnachweise können im Falle einer BSI-Überprüfung entscheidend sein.
-
Rechtliche Beratung einholen: Beauftragen Sie einen auf IT-Recht und Datenschutz spezialisierten Rechtsanwalt oder einen zertifizierten NIS2-Berater mit der Detailprüfung Ihrer Situation.
Fazit und nächste Schritte
Die NIS2-Betroffenheitsprüfung ist der erste und wichtigste Schritt auf dem Weg zur Compliance – und gleichzeitig einer, den viele Unternehmen in Deutschland noch immer nicht abgeschlossen haben. Die Unwissenheit schützt dabei nicht vor Bußgeldern: Das BSI hat signalisiert, seine Aufsichtstätigkeit in 2025 und 2026 deutlich zu intensivieren.
Ihre nächsten Schritte auf einen Blick:
- ✅ Sektorcheck durchführen (Anlage 1 oder 2 des NIS2UmsuCG)
- ✅ Größenkriterien prüfen (50+ MA und ≥ 10 Mio. € Umsatz/Bilanzsumme)
- ✅ Einstufung als wesentliche oder wichtige Einrichtung klären
- ✅ Beim BSI registrieren
- ✅ Gap-Analyse und ISMS-Aufbau initiieren
- ✅ Meldeprozesse und Incident-Response-Plan erstellen
- ✅ Geschäftsführung und Mitarbeiter schulen
Nächster Schritt: NIS2-Compliance strukturiert angehen
Die Umsetzung der NIS2-Anforderungen ist komplex – aber mit den richtigen Werkzeugen beherrschbar. Spezialisierte NIS2-Compliance-Software und ISMS-Plattformen helfen Ihnen dabei, die Betroffenheitsprüfung zu dokumentieren, Risikoregister zu pflegen, Richtlinien und Nachweise zentral zu verwalten und Meldeprozesse zu automatisieren. Achten Sie bei der Auswahl auf eine Lösung, die speziell auf die Anforderungen des BSIG und der deutschen Regulatorik ausgerichtet ist und Ihnen ermöglicht, Ihre Compliance-Nachweise revisionssicher zu archivieren. Viele Anbieter stellen kostenlose Betroffenheitschecks oder Demo-Zugänge bereit – nutzen Sie diese, um einen ersten Überblick über Ihren aktuellen Compliance-Status zu erhalten.
Dieser Artikel wurde nach bestem Wissen und Gewissen auf Basis der zum Zeitpunkt der Veröffentlichung gültigen Rechtslage erstellt. Er ersetzt keine individuelle Rechts- oder Compliance-Beratung. Bei konkreten Fragen zur NIS2-Betroffenheit empfehlen wir die Konsultation eines spezialisierten Rechtsanwalts oder zertifizierten IT-Sicherheitsberaters.