NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?

Veröffentlicht am 23. Juni 2026 | Lesedauer: ca. 8 Minuten


Seit dem Inkrafttreten des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) steht für tausende deutsche Unternehmen eine zentrale Frage im Raum: Bin ich eigentlich betroffen? Die Antwort ist entscheidend – denn wer unter die Richtlinie fällt und die Pflichten ignoriert, riskiert empfindliche Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Dieser Artikel führt Sie systematisch durch die NIS2-Betroffenheitsprüfung für Deutschland 2025 und gibt Ihnen konkrete Handlungsempfehlungen für die nächsten Schritte.


Was ist die NIS2-Richtlinie und warum ist die Betroffenheitsprüfung so wichtig?

Die NIS2-Richtlinie (EU 2022/2555) ist die überarbeitete europäische Richtlinie zur Netz- und Informationssicherheit. In Deutschland wurde sie durch das NIS2UmsuCG in nationales Recht überführt, das die Anforderungen im Wesentlichen im Bundesgesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) verankert. Gegenüber der Vorgängerrichtlinie NIS1 hat sich der Anwendungsbereich erheblich ausgeweitet: Statt einiger hundert KRITIS-Betreiber sind nun schätzungsweise 29.000 bis 40.000 Unternehmen in Deutschland potenziell betroffen.

Die Betroffenheitsprüfung nach § 3 NIS2UmsuCG ist dabei kein bürokratischer Selbstzweck, sondern der erste und wichtigste Schritt in der Compliance-Reise. Denn: Unternehmen, die irrtümlich davon ausgehen, nicht betroffen zu sein, starten keine Schutzmaßnahmen – und stehen im Ernstfall vor einem Bußgeldverfahren ohne Vorbereitung.


Die zwei zentralen Prüfkriterien: Sektor und Größe

Die Betroffenheit ergibt sich grundsätzlich aus dem Zusammenspiel zweier Kriterien: dem Tätigkeitssektor des Unternehmens und seiner Unternehmensgröße. Beide Voraussetzungen müssen gleichzeitig erfüllt sein – mit einigen wichtigen Ausnahmen für sogenannte Sonderregeln.

Schritt 1: Prüfung der Sektorzugehörigkeit (Anlage 1 & 2 NIS2UmsuCG)

Das NIS2UmsuCG teilt betroffene Sektoren in zwei Anlagen auf:

Anlage 1 – Sektoren mit hoher Kritikalität:
- Energie (Strom, Gas, Öl, Wärme, Wasserstoff)
- Verkehr (Luft, Schiene, Wasser, Straße)
- Bankwesen und Finanzmarktinfrastrukturen
- Gesundheitswesen (Krankenhäuser, Labore, Forschung, Arzneimittel)
- Trinkwasser und Abwasser
- Digitale Infrastruktur (Internet-Austauschknoten, DNS, TLD-Registries, Cloud-Anbieter, Rechenzentren, CDN, Vertrauensdiensteanbieter, elektronische Kommunikation)
- Verwaltung von IKT-Diensten (B2B-MSPs, MSSPs)
- Öffentliche Verwaltung (Bund und Länder)
- Weltraum

Anlage 2 – Sonstige kritische Sektoren:
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Chemikalien (Herstellung, Produktion, Vertrieb)
- Lebensmittelproduktion, -verarbeitung und -vertrieb
- Verarbeitendes Gewerbe / Herstellung von Waren (u. a. Medizinprodukte, Elektronik, Maschinenbau, Kraftfahrzeuge)
- Digitale Anbieter (Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke)
- Forschungseinrichtungen

Wichtiger Hinweis für die Praxis: Die Sektorzugehörigkeit richtet sich nach dem tatsächlichen wirtschaftlichen Schwerpunkt, nicht nach dem eingetragenen Unternehmenszweck. Ein Automobilzulieferer etwa fällt unter Anlage 2 (Verarbeitendes Gewerbe), auch wenn er sich selbst primär als „Technologiedienstleister" versteht.

Schritt 2: Prüfung der Größenkriterien

Das zweite Prüfkriterium betrifft die Unternehmensgröße gemäß der EU-Definition für KMU:

Kategorie Beschäftigte Jahresumsatz Jahresbilanzsumme
Mittleres Unternehmen 50–249 ≤ 50 Mio. € ≤ 43 Mio. €
Großes Unternehmen ≥ 250 > 50 Mio. € > 43 Mio. €
Kleinunternehmen < 50 < 10 Mio. € < 10 Mio. €

Unternehmen, die mindestens 50 Mitarbeitende beschäftigen und einen Jahresumsatz oder eine Jahresbilanzsumme von mehr als 10 Millionen Euro aufweisen, können grundsätzlich unter die NIS2-Pflichten fallen – vorausgesetzt, die Sektorzugehörigkeit ist gegeben.

Ausnahmen von der Größenschwelle: Für bestimmte Einrichtungen gelten unabhängig von der Unternehmensgröße NIS2-Pflichten. Dazu zählen:
- Anbieter öffentlicher elektronischer Kommunikationsnetze
- Qualifizierte Vertrauensdiensteanbieter
- TLD-Registries und DNS-Diensteanbieter
- Einrichtungen, die von einem Mitgliedstaat als kritisch identifiziert wurden


Wesentliche vs. wichtige Einrichtungen: Der entscheidende Unterschied

Nicht alle betroffenen Unternehmen tragen das gleiche Pflichtenprofil. Das NIS2UmsuCG unterscheidet zwischen zwei Kategorien:

Wesentliche Einrichtungen (Essential Entities – EE)

Wesentliche Einrichtungen sind in der Regel große Unternehmen aus Anlage 1, also Sektoren mit hoher Kritikalität. Für sie gelten:
- Strengere Aufsichtspflichten (proaktive Aufsicht durch das BSI)
- Höhere Bußgelder (bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes)
- Umfangreichere Meldepflichten bei Sicherheitsvorfällen

Wichtige Einrichtungen (Important Entities – IE)

Wichtige Einrichtungen umfassen in der Regel mittlere Unternehmen aus Anlage 1 sowie mittlere und große Unternehmen aus Anlage 2. Für sie gelten:
- Reaktive Aufsicht (das BSI prüft anlassbezogen)
- Bußgelder bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes (§ 65 BSIG)
- Vergleichbare technische und organisatorische Maßnahmen (TOMs)


Interaktiver Selbsttest: Bin ich betroffen?

Nutzen Sie diese strukturierte Selbstprüfung, um Ihre Betroffenheit systematisch einzuschätzen:

Checkliste zur NIS2-Betroffenheitsprüfung

  • [ ] Frage 1: Ist mein Unternehmen in einem der Sektoren aus Anlage 1 oder Anlage 2 tätig?
  • [ ] Frage 2: Beschäftigt mein Unternehmen mindestens 50 Mitarbeitende?
  • [ ] Frage 3: Erzielt mein Unternehmen einen Jahresumsatz oder eine Bilanzsumme von mehr als 10 Millionen Euro?
  • [ ] Frage 4: Gilt für mein Unternehmen eine der Sonderregelungen (z. B. Vertrauensdiensteanbieter, DNS-Anbieter)?
  • [ ] Frage 5: Ist mein Unternehmen in Deutschland niedergelassen oder erbringt wesentliche Dienste für Deutschland?

Auswertung:
- Fragen 1 + 2 + 3 = Ja → Sie fallen wahrscheinlich unter NIS2 (als wesentliche oder wichtige Einrichtung je nach Sektor und Größe)
- Frage 4 = Ja → Sie fallen unabhängig von der Unternehmensgröße unter NIS2
- Frage 5 = Nein → Prüfen Sie, ob eine Registrierungspflicht im Hauptniederlassungsmitgliedstaat besteht

Achtung Konzernstrukturen: Bei verbundenen Unternehmen und Konzerngesellschaften müssen Mitarbeiterzahlen und Umsätze nach EU-KMU-Definition konsolidiert betrachtet werden. Eine 100-prozentige Tochtergesellschaft mit nur 30 Mitarbeitenden kann über die Muttergesellschaft dennoch die Größenschwelle überschreiten.


Die Konsequenzen bei Nichterfüllung: § 65 BSIG im Fokus

Das Thema Bußgelder ist ernst zu nehmen. § 65 BSIG sieht für Verstöße gegen NIS2-Pflichten empfindliche Sanktionen vor:

Einrichtungstyp Maximales Bußgeld
Wesentliche Einrichtung 10.000.000 € oder 2 % des weltweiten Jahresumsatzes
Wichtige Einrichtung 7.000.000 € oder 1,4 % des weltweiten Jahresumsatzes

Neben Bußgeldern drohen:
- Persönliche Haftung der Geschäftsleitung gemäß § 38 BSIG: Geschäftsführer und Vorstände können persönlich für Verstöße haftbar gemacht werden
- Temporäre Betriebsuntersagungen für wesentliche Einrichtungen bei schwerwiegenden Verstößen
- Reputationsschäden durch verpflichtende Veröffentlichung von Bußgeldbescheiden
- Benachrichtigungspflichten gegenüber Kunden und Partnern bei meldepflichtigen Sicherheitsvorfällen

Das BSI hat in 2025 bereits erste Aufsichtsverfahren eingeleitet und dabei deutlich gemacht: Die Behörde nimmt ihre erweiterten Aufsichtsbefugnisse aktiv wahr. Wer die Betroffenheitsprüfung noch nicht durchgeführt hat, sollte dies unverzüglich nachholen.


Konkrete Handlungsempfehlungen für IT-Verantwortliche und Geschäftsführer

  1. Betroffenheitsprüfung dokumentieren: Führen Sie eine schriftliche Prüfung durch, in der Sie Sektorzugehörigkeit, Mitarbeiterzahl und Umsatz nachvollziehbar festhalten. Diese Dokumentation kann im Aufsichtsverfahren entlastend wirken.

  2. Konzernstruktur analysieren: Beauftragen Sie Ihre Rechtsabteilung oder einen externen Berater mit der Prüfung, ob verbundene Unternehmen die Größenschwelle gemeinsam überschreiten.

  3. Registrierung beim BSI prüfen: Betroffene Einrichtungen sind verpflichtet, sich beim BSI zu registrieren. Die Registrierungsplattform des BSI ist unter bsi.bund.de erreichbar. Beachten Sie die gesetzlichen Fristen.

  4. Einstufung als wesentlich oder wichtig festlegen: Klären Sie auf Basis Ihrer Sektorzugehörigkeit und Unternehmensgröße, welche Pflichtenkategorie für Sie gilt – dies bestimmt Umfang und Tiefe der erforderlichen Maßnahmen.

  5. Technische und organisatorische Maßnahmen (TOMs) evaluieren: Gleichen Sie Ihren bestehenden Sicherheitsstatus gegen die Anforderungen des § 30 BSIG ab: Risikoanalysen, Incident-Response-Pläne, Business Continuity, Supply-Chain-Sicherheit und mehr.

  6. Meldekette für Sicherheitsvorfälle etablieren: NIS2 schreibt eine dreistufige Meldepflicht vor (Frühwarnung binnen 24 Stunden, Meldung binnen 72 Stunden, Abschlussbericht nach einem Monat). Ohne vordefinierte Prozesse ist diese Frist kaum einzuhalten.

  7. Geschäftsleitung sensibilisieren: § 38 BSIG macht Cybersicherheit zur Chefsache. Stellen Sie sicher, dass Vorstand und Geschäftsführung die persönliche Haftungsdimension kennen und Schulungen absolviert haben.

  8. Lieferkette prüfen: Bewerten Sie kritische Drittanbieter und IT-Dienstleister nach NIS2-Anforderungen, da Angriffe über die Supply Chain heute zu den häufigsten Angriffsvektoren zählen.


Fazit: Jetzt handeln, bevor es zu spät ist

Die NIS2-Betroffenheitsprüfung ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess – denn Unternehmen wachsen, ändern ihre Tätigkeitsschwerpunkte oder werden durch neue Sektorklassifizierungen erstmals erfasst. Wer 2025 noch keine strukturierte Prüfung vorgenommen hat, sollte dies zur unmittelbaren Priorität machen.

Die nächsten Schritte auf einen Blick:
1. ✅ Sektorzugehörigkeit gemäß Anlage 1 und 2 NIS2UmsuCG klären
2. ✅ Unternehmensgrößen nach EU-KMU-Definition ermitteln (inkl. verbundener Unternehmen)
3. ✅ Einstufung als wesentliche oder wichtige Einrichtung vornehmen
4. ✅ Registrierung beim BSI anstoßen
5. ✅ Gap-Analyse gegen § 30 BSIG durchführen
6. ✅ ISMS-Dokumentation aufbauen oder aktualisieren


Jetzt die Betroffenheit systematisch prüfen – mit der richtigen Software-Unterstützung

Die manuelle Betroffenheitsprüfung, die Verwaltung von ISMS-Dokumenten und die Nachverfolgung von Maßnahmen ist bei wachsender Komplexität kaum noch ohne digitale Unterstützung zu bewältigen. Spezialisierte NIS2-Compliance-Plattformen helfen IT-Verantwortlichen, die Betroffenheitsprüfung strukturiert zu dokumentieren, Maßnahmen zu verwalten, Meldeprozesse abzubilden und die gesamte ISMS-Dokumentation revisionssicher zu pflegen. Achten Sie bei der Tool-Auswahl darauf, dass die Lösung die aktuellen BSIG-Anforderungen abbildet, BSI-Grundschutz-kompatibel ist und eine klare Rollenverteilung für Geschäftsleitung und IT ermöglicht. Eine strukturierte Software-Lösung ist keine Kostenstelle – sie ist eine Investition in Rechtssicherheit und unternehmerische Resilienz.


Quellen und Referenzen: NIS2UmsuCG (BGBl. 2024 I Nr. 265), BSIG n.F., EU-Richtlinie 2022/2555, ENISA NIS2 Implementation Guidance 2024, BSI-Empfehlungen zur NIS2-Umsetzung (Stand: Juni 2026)