NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?

Veröffentlicht am 25. Juni 2026 | Lesezeit: ca. 8 Minuten


Die NIS2-Richtlinie ist seit ihrer Umsetzung in deutsches Recht durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) für tausende Unternehmen in Deutschland verbindlich. Doch viele IT-Verantwortliche und Geschäftsführer stellen sich noch immer die gleiche, entscheidende Frage: Sind wir überhaupt betroffen?

Die Antwort darauf ist nicht immer trivial – und die Konsequenzen einer falschen Einschätzung können erheblich sein. Bußgelder nach § 65 BSIG von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes drohen Unternehmen, die ihre Pflichten nicht kennen oder ignorieren. Dieser Artikel führt Sie Schritt für Schritt durch die NIS2-Betroffenheitsprüfung für Unternehmen in Deutschland – klar, strukturiert und praxisnah.


Was ist die NIS2-Richtlinie und warum ist sie relevant?

Die NIS2-Richtlinie (EU 2022/2555) ist die Nachfolgerin der ursprünglichen NIS-Richtlinie von 2016 und legt europaweit verbindliche Mindeststandards für Cybersicherheit in kritischen und wichtigen Sektoren fest. Deutschland hat die Richtlinie durch das NIS2UmsuCG in nationales Recht überführt, das im Bundessicherheitsgesetz (BSIG) verankert ist.

Die zentrale Norm für die Frage der Betroffenheit ist § 3 NIS2UmsuCG, der definiert, welche Einrichtungen als „wesentlich" oder „wichtig" einzustufen sind – und damit dem gesamten Pflichtenkatalog des Gesetzes unterliegen.

Kurz gesagt: Wenn Ihr Unternehmen in einem bestimmten Sektor tätig ist und bestimmte Größenschwellen überschreitet, sind Sie betroffen. Dann gelten umfangreiche Anforderungen an Ihr Risikomanagement, Ihre Meldepflichten und Ihre Lieferkettensicherheit.


Schritt 1: Tätigkeitsfeld prüfen – Welche Sektoren sind erfasst?

Der erste Prüfschritt ist die Frage nach dem Sektor, in dem Ihr Unternehmen tätig ist. Das NIS2UmsuCG unterscheidet – analog zur EU-Richtlinie – zwischen zwei Anlagen:

Anlage 1: Sektoren mit hoher Kritikalität (Wesentliche Einrichtungen)

Diese Sektoren gelten als besonders kritisch für das Funktionieren von Staat und Gesellschaft:

Sektor Beispiele
Energie Strom-, Gas-, Wärmeversorgung, Kraftstoffe
Verkehr Luft-, Schienen-, Straßen-, Schifffahrt
Bankwesen Kreditinstitute
Finanzmarktinfrastruktur Handelsplätze, zentrale Gegenparteien
Gesundheit Krankenhäuser, Labore, Pharmaunternehmen
Trinkwasser Wasserversorgungsunternehmen
Abwasser Abwasserentsorgung
Digitale Infrastruktur Internet-Knoten, DNS, TLD-Register, Cloud-Dienste, RZ-Betreiber
IKT-Dienstleistungsmanagement Managed Service Provider (B2B)
Öffentliche Verwaltung Bundesbehörden, Landesbehörden
Weltraum Betreiber von Bodeninfrastruktur

Anlage 2: Sonstige kritische Sektoren (Wichtige Einrichtungen)

Unternehmen in diesen Sektoren unterliegen etwas weniger strengen Aufsichtspflichten, müssen aber denselben Sicherheitsanforderungen genügen:

Sektor Beispiele
Post- und Kurierdienste Paketdienstleister
Abfallbewirtschaftung Entsorgungsunternehmen
Chemie Herstellung und Handel gefährlicher Stoffe
Lebensmittel Großhandel, Verarbeitung
Verarbeitendes Gewerbe Medizinprodukte, Elektronik, Maschinenbau, Fahrzeuge
Digitale Anbieter Online-Marktplätze, Suchmaschinen, soziale Netzwerke
Forschung Forschungseinrichtungen

Wichtig: Die bloße Zugehörigkeit zu einem Sektor reicht nicht aus. Es müssen auch die Größenkriterien erfüllt sein (siehe Schritt 2).


Schritt 2: Größenkriterien prüfen – Ab wann gilt die NIS2?

Das NIS2UmsuCG folgt bei den Größenschwellen den Definitionen der EU-Empfehlung 2003/361/EG für KMU. Die maßgeblichen Schwellenwerte sind:

Wesentliche Einrichtungen (§ 3 Abs. 1 NIS2UmsuCG i.V.m. Anlage 1)

  • Mitarbeiterzahl: ≥ 250 Beschäftigte oder
  • Jahresumsatz: > 50 Millionen Euro und Jahresbilanzsumme > 43 Millionen Euro

Unternehmen, die in einem Sektor der Anlage 1 tätig sind und diese Schwellen überschreiten, gelten automatisch als wesentliche Einrichtungen.

Wichtige Einrichtungen (§ 3 Abs. 2 NIS2UmsuCG)

  • Mitarbeiterzahl: ≥ 50 Beschäftigte oder
  • Jahresumsatz: > 10 Millionen Euro und Jahresbilanzsumme > 10 Millionen Euro

Erfüllt ein Unternehmen diese Kriterien und ist in einem Sektor aus Anlage 1 oder 2 tätig, gilt es als wichtige Einrichtung.

Sonderregelungen: Größenunabhängige Betroffenheit

Es gibt Ausnahmen, bei denen die Größe keine Rolle spielt. Folgende Einrichtungen sind unabhängig von ihrer Größe betroffen:

  • Anbieter von öffentlichen elektronischen Kommunikationsnetzen oder -diensten
  • Qualifizierte Vertrauensdienstanbieter und TLD-Namensregister
  • DNS-Dienstanbieter
  • Einrichtungen, die als einziger Anbieter eines Dienstes in einem Mitgliedstaat fungieren
  • Einrichtungen, deren Ausfall erhebliche Auswirkungen auf die öffentliche Sicherheit hätte

Der NIS2-Selbsttest: Bin ich betroffen?

Nutzen Sie die folgende Checkliste für eine erste Einschätzung Ihrer Betroffenheit:

✅ Checkliste: NIS2-Betroffenheitsprüfung

Frage 1 – Sektor:
- [ ] Ist mein Unternehmen in einem der Sektoren aus Anlage 1 oder Anlage 2 des NIS2UmsuCG tätig?

Frage 2 – Größe (Wichtige Einrichtung):
- [ ] Hat mein Unternehmen mindestens 50 Mitarbeiter?
- [ ] Oder: Überschreitet der Jahresumsatz 10 Mio. Euro und die Bilanzsumme 10 Mio. Euro?

Frage 3 – Größe (Wesentliche Einrichtung):
- [ ] Hat mein Unternehmen mindestens 250 Mitarbeiter?
- [ ] Oder: Überschreitet der Jahresumsatz 50 Mio. Euro und die Bilanzsumme 43 Mio. Euro?

Frage 4 – Sondertatbestände:
- [ ] Gehört mein Unternehmen zu den größenunabhängig betroffenen Einrichtungen (z. B. DNS-Anbieter, Vertrauensdienstleister)?

Auswertung:
- Frage 1 und Frage 2 = Ja → Sie sind voraussichtlich eine wichtige Einrichtung
- Frage 1 und Frage 3 = Ja → Sie sind voraussichtlich eine wesentliche Einrichtung
- Frage 4 = Ja → Sie sind betroffen, unabhängig von Größe und Sektor
- Alle Antworten = Nein → Derzeit wahrscheinlich nicht direkt betroffen (aber Lieferkettenpflichten beachten!)

Hinweis: Diese Checkliste ersetzt keine rechtliche Beratung. Bei Unsicherheit empfiehlt sich die Konsultation eines auf IT-Recht spezialisierten Anwalts oder die offizielle Registrierung beim BSI.


Wesentliche vs. Wichtige Einrichtungen: Was ist der Unterschied?

Die Einstufung als wesentliche oder wichtige Einrichtung entscheidet über die Intensität der Aufsicht, nicht über die Anforderungen selbst. Die Cybersicherheitspflichten – also Risikomanagement, Incident Response, Business Continuity, Lieferkettensicherheit – gelten für beide Kategorien gleichermaßen.

Kriterium Wesentliche Einrichtung Wichtige Einrichtung
Aufsichtsmodell Proaktive Aufsicht (ex-ante) Reaktive Aufsicht (ex-post)
Regelmäßige Audits Ja, durch BSI initiiert Nur bei Vorfällen oder Hinweisen
Maximales Bußgeld 10 Mio. € oder 2 % des Jahresumsatzes 7 Mio. € oder 1,4 % des Jahresumsatzes
Meldepflichten Identisch Identisch
Sicherheitsanforderungen Identisch Identisch

Konsequenzen bei Nichterfüllung: Was droht bei Verstößen?

Wer die NIS2-Pflichten ignoriert oder unzureichend umsetzt, riskiert empfindliche Sanktionen. § 65 BSIG regelt die Bußgeldtatbestände im deutschen Recht:

Bußgelder für wesentliche Einrichtungen

  • Bis zu 10.000.000 Euro oder
  • bis zu 2 % des gesamten weltweiten Jahresumsatzes des Unternehmens – je nachdem, welcher Betrag höher ist

Bußgelder für wichtige Einrichtungen

  • Bis zu 7.000.000 Euro oder
  • bis zu 1,4 % des gesamten weltweiten Jahresumsatzes

Persönliche Haftung der Geschäftsführung

Ein oft unterschätzter Aspekt: Das NIS2UmsuCG sieht auch eine persönliche Haftung von Geschäftsführern und Vorständen vor. Wer die Umsetzung von Cybersicherheitsmaßnahmen schuldhaft vernachlässigt, kann persönlich in Haftung genommen werden. Dies umfasst die Pflicht zur aktiven Billigung und Überwachung des Risikomanagements.

Aufsicht durch das BSI

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die zentrale Aufsichtsbehörde. Es kann Prüfungen anordnen, Sicherheitsaudits verlangen und bei festgestellten Verstößen Maßnahmen bis hin zur vorübergehenden Untersagung des Betriebs durchsetzen.


Konkrete Handlungsempfehlungen: So gehen Sie vor

Wenn Sie nach dem Selbsttest zu dem Ergebnis gekommen sind, dass Ihr Unternehmen betroffen ist – oder Sie sich nicht sicher sind – dann empfehlen wir folgende Schritte:

  1. Betroffenheit formal feststellen und dokumentieren: Halten Sie Ihre Analyse nach § 3 NIS2UmsuCG schriftlich fest. Dokumentieren Sie Sektor, Mitarbeiterzahl und Umsatz als Grundlage der Einstufung.

  2. Beim BSI registrieren: Betroffene Einrichtungen sind verpflichtet, sich beim BSI zu registrieren. Nutzen Sie das offizielle BSI-Portal und halten Sie dabei Informationen zu Ihrer Einrichtung, Ansprechpartnern und eingesetzten kritischen Diensten bereit.

  3. Gap-Analyse durchführen: Gleichen Sie Ihre bestehenden Sicherheitsmaßnahmen mit den Anforderungen des § 30 BSIG (Risikomanagementmaßnahmen) ab. Identifizieren Sie Lücken in den Bereichen: Netzwerksicherheit, Zugangskontrolle, Verschlüsselung, Incident Response und Business Continuity.

  4. Meldeprozesse etablieren: Richten Sie Prozesse für die Meldung erheblicher Sicherheitsvorfälle ein. Die Fristen sind eng: 24 Stunden für die Erstmeldung, 72 Stunden für den detaillierten Folgebericht und 1 Monat für den Abschlussbericht (§ 32 BSIG).

  5. Lieferkette prüfen: Auch wenn Ihr direkter Zulieferer nicht unter NIS2 fällt, können Sie als betroffene Einrichtung verpflichtet sein, Sicherheitsanforderungen an Ihre Lieferkette weiterzugeben (§ 30 Abs. 2 Nr. 4 BSIG).

  6. Geschäftsführung schulen und einbinden: Die Geschäftsführung muss Cybersicherheitsmaßnahmen aktiv billigen und sich regelmäßig schulen lassen. Belegen Sie diese Schulungen mit Zertifikaten und Teilnahmenachweisen.

  7. ISMS aufbauen oder anpassen: Etablieren Sie ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 oder BSI IT-Grundschutz als strukturelle Grundlage für alle NIS2-Anforderungen.


Häufige Missverständnisse zur NIS2-Betroffenheit

„Wir sind zu klein für NIS2" – Vorsicht: Bereits ab 50 Mitarbeitern oder 10 Mio. Euro Umsatz kann die Pflicht greifen, sofern der Sektor passt.

„Wir sind kein Technologieunternehmen" – NIS2 erfasst auch produzierende Unternehmen, Lebensmittelhersteller und Logistikdienstleister.

„Wir haben noch keine Probleme gehabt" – Die NIS2-Pflichten sind präventiver Natur. Auf einen Vorfall zu warten, bevor man handelt, ist keine akzeptable Strategie.

„Unser Cloud-Anbieter regelt das" – Die Verantwortung für die Cybersicherheit Ihrer Einrichtung verbleibt bei Ihnen. Cloud-Anbieter entbinden Sie nicht von Ihren Pflichten.


Fazit: Nächste Schritte für Ihr Unternehmen

Die NIS2-Betroffenheitsprüfung ist der erste und wichtigste Schritt auf dem Weg zur Compliance. Wer noch nicht gehandelt hat, sollte spätestens jetzt aktiv werden – die Aufsichtsbehörden intensivieren ihre Kontrollen, und die Bußgeldtatbestände des § 65 BSIG sind keine leeren Drohungen.

Zusammenfassung der nächsten Schritte:
- Sektorzugehörigkeit nach Anlage 1 oder 2 NIS2UmsuCG prüfen
- Größenkriterien (50+ MA oder 10 Mio. € Umsatz) abgleichen
- Einstufung als wesentliche oder wichtige Einrichtung dokumentieren
- BSI-Registrierung vornehmen
- Gap-Analyse und ISMS-Aufbau starten

Die gute Nachricht: Ein strukturierter Ansatz, unterstützt durch die richtigen Werkzeuge, macht NIS2-Compliance erreichbar – auch für mittelständische Unternehmen ohne eigene Sicherheitsabteilung.


Jetzt Betroffenheit digital prüfen und ISMS-Dokumentation aufbauen

Wenn Sie Ihre NIS2-Betroffenheit systematisch prüfen und gleichzeitig die notwendigen ISMS-Dokumente, Risikoregister und Meldeprozesse aufbauen möchten, lohnt sich der Einsatz einer spezialisierten NIS2-Compliance-Software. Solche Lösungen führen Sie strukturiert durch die Betroffenheitsprüfung nach § 3 NIS2UmsuCG, helfen beim Aufbau Ihres Sicherheitsmanagementsystems und stellen sicher, dass Sie keine Frist und keine Meldepflicht übersehen. Viele Anbieter bieten kostenlose Erstchecks oder Demoversionen an – ein niedrigschwelliger Einstieg, der sich schnell bezahlt macht.


Quellen und weiterführende Informationen: BSI (bsi.bund.de), NIS2UmsuCG (Bundesgesetzblatt), ENISA NIS2 Implementation Guidance, EU-Richtlinie 2022/2555