NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?

Veröffentlicht am 24. Juni 2026 | Lesedauer: ca. 8 Minuten


Die NIS2-Richtlinie der Europäischen Union und ihre deutsche Umsetzung durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) haben die Cybersicherheitslandschaft in Deutschland grundlegend verändert. Doch eine der häufigsten Fragen, die IT-Verantwortliche und Geschäftsführer stellen, lautet schlicht: Betrifft uns das überhaupt?

Die Antwort ist komplexer als ein einfaches Ja oder Nein – und die Konsequenzen einer falschen Einschätzung können erheblich sein. Dieser Artikel führt Sie Schritt für Schritt durch die NIS2-Betroffenheitsprüfung für Unternehmen in Deutschland 2025, erläutert die maßgeblichen Kriterien aus §3 NIS2UmsuCG und zeigt, welche Pflichten auf Sie zukommen.


Was ist die NIS2-Betroffenheitsprüfung und warum ist sie so wichtig?

Die NIS2-Betroffenheitsprüfung ist der erste und entscheidende Schritt auf dem Weg zur Compliance. Sie stellt fest, ob Ihr Unternehmen als wesentliche Einrichtung (essential entity) oder als wichtige Einrichtung (important entity) im Sinne des NIS2UmsuCG eingestuft wird – oder ob es gänzlich außerhalb des Anwendungsbereichs liegt.

Viele Unternehmen unterschätzen ihre Betroffenheit. Nach aktuellen Schätzungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) fallen in Deutschland deutlich mehr als 30.000 Unternehmen und Organisationen unter die NIS2-Regelungen – ein Vielfaches der zuvor unter NIS1 regulierten Einrichtungen. Die Ausweitung betrifft insbesondere mittelständische Unternehmen, die bislang keinerlei explizite Cybersicherheitspflichten kannten.

Wer die Betroffenheitsprüfung versäumt oder fehlerhaft durchführt, riskiert nicht nur Bußgelder, sondern vor allem eine unvorbereitete Konfrontation mit weitreichenden Sicherheitspflichten.


Die zwei Kernfragen der Betroffenheit nach §3 NIS2UmsuCG

Die Betroffenheitsprüfung folgt einer klaren Logik mit zwei übergeordneten Kriterien, die beide gleichzeitig erfüllt sein müssen:

1. Fällt Ihr Unternehmen in einen regulierten Sektor?

Das NIS2UmsuCG definiert in Anlage 1 (Sektoren hoher Kritikalität) und Anlage 2 (sonstige kritische Sektoren) die betroffenen Branchen.

Anlage 1 – Sektoren hoher Kritikalität:

  • Energie (Strom, Gas, Öl, Wärme, Wasserstoff)
  • Verkehr (Luft, Schiene, Wasser, Straße)
  • Bankwesen und Finanzmarktinfrastrukturen
  • Gesundheitswesen (Krankenhäuser, Labore, Pharma, Medizinprodukte)
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur (DNS-Anbieter, TLD-Registrare, Rechenzentrumsbetreiber, CDN, Cloud-Dienste, elektronische Kommunikation)
  • IKT-Dienstleistungsmanagement (B2B-Managed-Service-Provider, MSSP)
  • Öffentliche Verwaltung
  • Weltraum

Anlage 2 – Sonstige kritische Sektoren:

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Chemische Industrie
  • Lebensmittelproduktion und -vertrieb
  • Verarbeitendes Gewerbe / Maschinenbau (inkl. Medizingeräte, elektronische Ausrüstung, Fahrzeuge)
  • Digitale Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Forschungseinrichtungen

Praxishinweis: Entscheidend ist die Haupttätigkeit Ihres Unternehmens. Ein Automobilzulieferer fällt unter Anlage 2, ein Stromversorger unter Anlage 1. Mischkonzerne müssen jeden Unternehmensbereich separat prüfen.

2. Erreicht Ihr Unternehmen die Größenschwellen?

Gemäß §3 NIS2UmsuCG in Verbindung mit der EU-Definition für Unternehmensgrößen gilt:

Unternehmenstyp Mitarbeiter Jahresumsatz oder Jahresbilanzsumme
Mittleres Unternehmen (Mindestgröße) ≥ 50 ≥ 10 Mio. €
Großes Unternehmen ≥ 250 ≥ 50 Mio. € Umsatz oder ≥ 43 Mio. € Bilanz

Unternehmen, die unter diesen Schwellen liegen (Kleinstunternehmen und kleine Unternehmen), sind grundsätzlich nicht betroffen – mit zwei wichtigen Ausnahmen:

  • Unabhängig von der Größe können Betreiber bestimmter kritischer Infrastrukturen (KRITIS nach BSIG) sowie Vertrauensdiensteanbieter, TLD-Registrare und qualifizierte DNS-Resolver erfasst sein.
  • Das BSI kann nach §3 Abs. 4 NIS2UmsuCG einzelne Einrichtungen auch unterhalb der Schwellenwerte einbeziehen, wenn deren Ausfall erhebliche Auswirkungen hätte (individual designation).

Wesentliche vs. wichtige Einrichtungen: Der entscheidende Unterschied

Wenn die Betroffenheit feststeht, folgt die Klassifizierung. Sie entscheidet maßgeblich über den Umfang der Pflichten und die Höhe möglicher Sanktionen.

Wesentliche Einrichtungen (Essential Entities)

Als wesentliche Einrichtungen gelten:

  • Große Unternehmen (≥ 250 MA oder ≥ 50 Mio. € Umsatz) in Anlage-1-Sektoren
  • Mittlere Unternehmen in bestimmten besonders sensiblen Bereichen (z. B. qualifizierte Vertrauensdiensteanbieter, TLD-Registrare)
  • Einrichtungen der öffentlichen Verwaltung auf Bundes- und Landesebene

Pflichten wesentlicher Einrichtungen:
- Proaktive Überwachung durch das BSI (Ex-ante-Aufsicht)
- Regelmäßige Sicherheitsaudits und Nachweise
- Strengere Meldepflichten (Erstmeldung innerhalb von 24 Stunden nach Kenntniserlangung eines erheblichen Vorfalls)
- Maximales Bußgeld: 10 Mio. € oder 2 % des weltweiten Jahresumsatzes

Wichtige Einrichtungen (Important Entities)

Als wichtige Einrichtungen gelten:

  • Mittlere und große Unternehmen in Anlage-2-Sektoren
  • Mittlere Unternehmen in Anlage-1-Sektoren (die nicht als wesentlich eingestuft werden)

Pflichten wichtiger Einrichtungen:
- Reaktive Aufsicht durch das BSI (Ex-post-Aufsicht, d. h. Prüfung meist erst nach einem Vorfall oder auf Anforderung)
- Dieselben technischen Sicherheitspflichten wie wesentliche Einrichtungen
- Maximales Bußgeld: 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes


Interaktiver Selbsttest: Bin ich betroffen?

Nutzen Sie diese Checkliste für eine erste Einschätzung Ihrer NIS2-Betroffenheit:

Schritt 1: Sektorprüfung

  • [ ] Mein Unternehmen ist in einem der Sektoren aus Anlage 1 tätig → Weiter zu Schritt 2
  • [ ] Mein Unternehmen ist in einem der Sektoren aus Anlage 2 tätig → Weiter zu Schritt 2
  • [ ] Mein Unternehmen ist in keinem dieser Sektoren tätig → Wahrscheinlich nicht betroffen (juristische Prüfung empfohlen)

Schritt 2: Größenprüfung

  • [ ] Mein Unternehmen beschäftigt 50 oder mehr Mitarbeiter (Vollzeitäquivalente) → ✓
  • [ ] Mein Unternehmen erzielt einen Jahresumsatz von 10 Mio. € oder mehr → ✓

Wenn beide Punkte zutreffen: Ihr Unternehmen ist wahrscheinlich NIS2-pflichtig.

Schritt 3: Klassifizierung

  • [ ] Anlage-1-Sektor + ≥ 250 MA oder ≥ 50 Mio. € Umsatz → Wesentliche Einrichtung
  • [ ] Anlage-1-Sektor + 50–249 MA und 10–49 Mio. € Umsatz → Wichtige Einrichtung
  • [ ] Anlage-2-Sektor (jede Größe ab Schwellenwert) → Wichtige Einrichtung

Schritt 4: Sondertatbestände prüfen

  • [ ] Bin ich Betreiber kritischer Infrastruktur nach BSIG (KRITIS)? → Ggf. zusätzliche Pflichten
  • [ ] Bin ich qualifizierter Vertrauensdiensteanbieter? → Wesentliche Einrichtung unabhängig von der Größe
  • [ ] Bin ich TLD-Registrar oder DNS-Resolver? → Wesentliche Einrichtung unabhängig von der Größe

Konsequenzen bei Nichterfüllung: Was droht Ihrem Unternehmen?

Die Sanktionen sind erheblich und sollten jeden Geschäftsführer aufhorchen lassen. §65 BSIG regelt die Bußgeldtatbestände im Detail:

Bußgelder nach §65 BSIG

Einrichtungstyp Maximales Bußgeld
Wesentliche Einrichtung 10.000.000 € oder 2 % des weltweiten Jahresumsatzes
Wichtige Einrichtung 7.000.000 € oder 1,4 % des weltweiten Jahresumsatzes

Bußgelder drohen insbesondere bei:

  • Unterlassener Registrierung beim BSI (Meldepflicht nach Feststellung der Betroffenheit)
  • Fehlenden oder mangelhaften Sicherheitsmaßnahmen (z. B. kein ISMS, keine Risikoanalyse)
  • Verspäteter oder unterlassener Meldung erheblicher Sicherheitsvorfälle
  • Nichtbefolgung von Anordnungen des BSI

Persönliche Haftung der Geschäftsführung

Ein oft unterschätzter Aspekt: Das NIS2UmsuCG sieht in §38 explizit vor, dass Leitungsorgane (Geschäftsführer, Vorstände) die Umsetzung der Cybersicherheitsmaßnahmen persönlich überwachen müssen. Bei grober Fahrlässigkeit oder Vorsatz können Leitungsorgane persönlich in Haftung genommen werden – unabhängig von Unternehmensbußgeldern.

Reputationsschäden und operative Konsequenzen

Neben den unmittelbaren Sanktionen drohen bei Nichterfüllung:

  • Öffentliche Bekanntmachung von Verstößen durch das BSI
  • Verlust von Aufträgen (insbesondere im B2G-Bereich)
  • Anordnung von Sicherheitsaudits auf eigene Kosten
  • Im Extremfall: vorübergehende Untersagung der Tätigkeit für leitende Personen

Konkrete Handlungsempfehlungen: Ihre nächsten Schritte

Wenn Sie festgestellt haben, dass Ihr Unternehmen unter NIS2 fällt (oder sich nicht sicher sind), empfehlen wir folgende Vorgehensweise:

  1. Betroffenheitsprüfung dokumentieren: Halten Sie das Ergebnis Ihrer Selbstprüfung schriftlich fest – inklusive der zugrunde liegenden Mitarbeiterzahlen, Umsatzdaten und Sektorzuordnung. Diese Dokumentation ist im Falle einer BSI-Prüfung essenziell.

  2. Beim BSI registrieren: Betroffene Einrichtungen sind verpflichtet, sich beim BSI zu registrieren. Nutzen Sie das offizielle BSI-Meldeportal. Versäumen Sie diese Pflicht nicht – sie ist eine der häufigsten und gleichzeitig vermeidbarsten Compliance-Lücken.

  3. Risikoanalyse durchführen: Gemäß §30 NIS2UmsuCG müssen alle betroffenen Einrichtungen geeignete technische, operative und organisatorische Maßnahmen ergreifen. Basis dafür ist eine strukturierte Risikoanalyse (idealerweise nach ISO/IEC 27005 oder BSI IT-Grundschutz).

  4. Informationssicherheits-Managementsystem (ISMS) aufbauen: Ein ISMS bildet das Rückgrat Ihrer NIS2-Compliance. Es muss Richtlinien, Verfahren, Zuständigkeiten und Nachweise umfassen.

  5. Meldeprozesse etablieren: Definieren Sie interne Prozesse, um erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden (Erstmeldung) und 72 Stunden (detaillierte Meldung) an das BSI weiterleiten zu können.

  6. Lieferkette prüfen: NIS2 verpflichtet auch zur Sicherheitsbewertung der eigenen Lieferanten und Dienstleister. Integrieren Sie Cybersicherheit in Ihre Einkaufs- und Vertragsgestaltung.

  7. Schulungen für Leitungsorgane organisieren: §38 NIS2UmsuCG verpflichtet Geschäftsführer nicht nur zur Überwachung, sondern auch zur eigenen Weiterbildung in Cybersicherheitsfragen.

  8. Rechtliche und technische Beratung hinzuziehen: Bei komplexen Konzernstrukturen, Mehrfachsektorzugehörigkeit oder Unsicherheiten zur Klassifizierung sollten Sie spezialisierte Rechts- und IT-Sicherheitsberatung einschalten.


Fazit: Jetzt handeln, bevor das BSI anklopft

Die NIS2-Betroffenheitsprüfung ist kein bürokratischer Selbstzweck – sie ist der Ausgangspunkt für eine ernstzunehmende Auseinandersetzung mit der Cybersicherheit Ihres Unternehmens. Angesichts stetig wachsender Bedrohungslagen durch Ransomware, staatlich gesteuerte Angriffe und Lieferkettenattacken ist eine robuste Sicherheitsstrategie ohnehin überfällig. NIS2 schafft dafür den regulatorischen Rahmen.

Ihre nächsten drei Schritte auf einen Blick:

  1. ✅ Betroffenheitsprüfung anhand der Kriterien aus §3 NIS2UmsuCG durchführen und dokumentieren
  2. ✅ Registrierung beim BSI veranlassen (sofern betroffen)
  3. ✅ Gap-Analyse starten: Wo steht Ihr Unternehmen, welche Maßnahmen fehlen noch?

Warten Sie nicht auf einen Sicherheitsvorfall oder eine BSI-Anfrage. Die Aufsichtsbehörde hat seit 2025 ihre Kontrollaktivitäten deutlich intensiviert – und die Bußgeldtatbestände des §65 BSIG lassen wenig Spielraum für Nachsicht.


Nächster Schritt: NIS2-Compliance strukturiert angehen

Für IT-Verantwortliche und Geschäftsführer, die ihre NIS2-Compliance systematisch aufbauen möchten, empfiehlt sich der Einsatz spezialisierter ISMS- und Compliance-Software. Solche Tools helfen dabei, die Betroffenheitsprüfung digital zu dokumentieren, Risikoanalysen nach gängigen Standards (ISO 27001, BSI IT-Grundschutz) durchzuführen, Sicherheitsmaßnahmen zu verwalten und Nachweise für BSI-Audits bereitzuhalten. Viele Lösungen bieten NIS2-spezifische Vorlagen für Richtlinien, Meldeprozesse und Schulungsnachweise – das spart Zeit und minimiert das Risiko von Compliance-Lücken erheblich. Eine strukturierte Plattform ist insbesondere dann wertvoll, wenn mehrere Unternehmensbereiche oder Standorte koordiniert werden müssen.


Dieser Artikel dient der allgemeinen Information und ersetzt keine rechtliche oder fachliche Beratung im Einzelfall. Stand: Juni 2026. Rechtsgrundlagen: NIS2UmsuCG, BSIG (aktuelle Fassung), EU-Richtlinie 2022/2555.