NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?
Veröffentlicht am 26. Juni 2026 | Lesezeit: ca. 8 Minuten
Die NIS2-Richtlinie der Europäischen Union und ihre deutsche Umsetzung durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) haben die Cybersicherheitslandschaft in Deutschland grundlegend verändert. Doch noch immer stellen sich viele Geschäftsführer und IT-Verantwortliche dieselbe drängende Frage: Ist unser Unternehmen überhaupt betroffen?
Die Antwort auf diese Frage ist keineswegs trivial – und die Konsequenzen einer Fehleinschätzung können empfindlich sein. Dieser Artikel führt Sie Schritt für Schritt durch die NIS2-Betroffenheitsprüfung für Unternehmen in Deutschland 2025/2026 und gibt Ihnen konkrete Handlungsempfehlungen an die Hand.
Was regelt §3 NIS2UmsuCG – und warum ist er entscheidend?
Der §3 NIS2UmsuCG definiert den persönlichen Anwendungsbereich des Gesetzes und bildet damit den Ausgangspunkt jeder Betroffenheitsprüfung. Er unterscheidet zwischen wesentlichen Einrichtungen (Essential Entities, EE) und wichtigen Einrichtungen (Important Entities, IE) – zwei Kategorien, die sich in ihren Pflichten und vor allem in der Aufsichtsintensität erheblich unterscheiden.
Grundsätzlich gilt: Eine Einrichtung fällt unter NIS2, wenn sie
- in einem der regulierten Sektoren tätig ist (Anlage 1 oder Anlage 2 zum NIS2UmsuCG),
- die definierten Größenschwellen überschreitet – oder als Sonderfall eingestuft wird,
- ihren Sitz oder wesentliche Tätigkeiten in Deutschland hat.
Die Registrierungspflicht beim BSI gemäß §33 NIS2UmsuCG gilt dabei unabhängig davon, ob Sie sich selbst als betroffen einschätzen – entscheidend ist die objektive Erfüllung der Kriterien.
Schritt 1: Fällt Ihre Branche unter Anlage 1 oder Anlage 2?
Die erste Weiche in der NIS2-Betroffenheitsprüfung ist die Sektorzugehörigkeit. Das NIS2UmsuCG unterscheidet zwischen hochkritischen Sektoren (Anlage 1) und sonstigen kritischen Sektoren (Anlage 2).
Anlage 1 – Hochkritische Sektoren (11 Sektoren)
| Sektor | Beispiel-Teilbereiche |
|---|---|
| Energie | Strom, Gas, Fernwärme, Erdöl, Wasserstoff |
| Verkehr | Luftfahrt, Bahn, Schifffahrt, Straßenverkehr |
| Bankwesen | Kreditinstitute |
| Finanzmarktinfrastrukturen | Handelsplätze, zentrale Gegenparteien |
| Gesundheitswesen | Krankenhäuser, Labore, Pharmaunternehmen |
| Trinkwasser | Wasserversorgungsunternehmen |
| Abwasser | Abwasserentsorgung |
| Digitale Infrastruktur | IXPs, DNS-Resolver, TLD-Registries, RZ-Betreiber |
| ICT-Service-Management (B2B) | Managed Service Provider, Managed Security Provider |
| Öffentliche Verwaltung | Bundesbehörden, Landesbehörden |
| Weltraum | Betreiber von Bodeninfrastrukturen |
Anlage 2 – Sonstige kritische Sektoren (7 Sektoren)
| Sektor | Beispiel-Teilbereiche |
|---|---|
| Post- und Kurierdienste | Paketdienstleister, Briefdienstleister |
| Abfallbewirtschaftung | Entsorgungsunternehmen |
| Chemie | Herstellung, Handel mit gefährlichen Chemikalien |
| Lebensmittel | Großhandel, Verarbeitung, Produktion |
| Verarbeitendes Gewerbe | Medizinprodukte, Maschinen, Kfz, Elektronik |
| Digitale Dienste | Online-Marktplätze, Suchmaschinen, soziale Netzwerke |
| Forschung | Forschungseinrichtungen (bestimmte) |
Praxis-Hinweis: Mischkonzerne oder Unternehmen mit mehreren Geschäftsfeldern müssen jeden Teilbereich einzeln prüfen. Es reicht aus, wenn ein Geschäftsbereich unter einen regulierten Sektor fällt.
Schritt 2: Erfüllen Sie die Größenkriterien?
Sektorzugehörigkeit allein genügt nicht. Das zweite Kriterium sind die Größenschwellen, die sich an den EU-Schwellenwerten für KMU orientieren:
Die drei Größenklassen im Überblick
| Unternehmensklasse | Mitarbeitende | Jahresumsatz ODER Jahresbilanzsumme |
|---|---|---|
| Großunternehmen | ≥ 250 MA | > 50 Mio. € Umsatz oder > 43 Mio. € Bilanzsumme |
| Mittleres Unternehmen | ≥ 50 MA | > 10 Mio. € Umsatz oder > 10 Mio. € Bilanzsumme |
| Kleinstunternehmen / KMU | < 50 MA | ≤ 10 Mio. € |
Für die NIS2-Betroffenheit gilt:
- Wesentliche Einrichtungen in Anlage-1-Sektoren: Großunternehmen (≥ 250 MA oder > 50 Mio. € Umsatz)
- Wichtige Einrichtungen in Anlage-1- und Anlage-2-Sektoren: Mittlere Unternehmen und größer (≥ 50 MA oder > 10 Mio. € Umsatz)
Achtung: Größenunabhängige Ausnahmen
§3 NIS2UmsuCG sieht explizit vor, dass bestimmte Einrichtungen unabhängig von ihrer Größe als wesentlich oder wichtig eingestuft werden. Dazu gehören unter anderem:
- Betreiber kritischer Anlagen nach §28 NIS2UmsuCG (KRITIS)
- Qualifizierte Vertrauensdiensteanbieter und TLD-Registries
- Anbieter öffentlicher elektronischer Kommunikationsnetze
- Einrichtungen, deren Ausfall erhebliche Auswirkungen auf die öffentliche Sicherheit hätte
- Einrichtungen, die vom BSI individuell bestimmt wurden
Schritt 3: Wesentliche vs. Wichtige Einrichtung – was ist der Unterschied?
Die Einstufung als wesentliche Einrichtung (EE) oder wichtige Einrichtung (IE) bestimmt nicht nur die Pflichten, sondern vor allem die Aufsichtsintensität und das Bußgeldniveau.
Wesentliche Einrichtungen (Essential Entities)
- Hochkritische Sektoren (Anlage 1) + Großunternehmen
- Proaktive Ex-ante-Aufsicht durch das BSI
- Regelmäßige Audits, Überprüfungen und Nachweise auf Verlangen
- Bußgelder bis zu 10 Mio. € oder 2 % des globalen Jahresumsatzes (§65 BSIG)
Wichtige Einrichtungen (Important Entities)
- Alle regulierten Sektoren (Anlage 1 + 2) + mittlere Unternehmen
- Reaktive Ex-post-Aufsicht – BSI wird nur bei konkretem Anlass tätig
- Nachweispflichten auf Anforderung
- Bußgelder bis zu 7 Mio. € oder 1,4 % des globalen Jahresumsatzes (§65 BSIG)
Selbsttest: Bin ich von NIS2 betroffen?
Nutzen Sie diese Checkliste für Ihre erste Orientierung. Beachten Sie: Diese Prüfung ersetzt keine rechtliche Beratung, gibt aber einen validen ersten Hinweis.
Checkliste NIS2-Betroffenheitsprüfung
- [ ] Sektor: Ist mein Unternehmen in einem Sektor aus Anlage 1 oder Anlage 2 tätig?
- [ ] Haupttätigkeit: Ist die betreffende Tätigkeit meine Kernleistung (kein bloßes Nebengeschäft)?
- [ ] Größe (Mitarbeitende): Beschäftigt mein Unternehmen 50 oder mehr Mitarbeitende?
- [ ] Größe (Umsatz/Bilanzsumme): Übersteigt Jahresumsatz oder Bilanzsumme 10 Mio. €?
- [ ] Ausnahmetatbestand: Bin ich als Sonderfall (z. B. KRITIS-Betreiber) eingestuft?
- [ ] Lieferkette: Bin ich als wesentlicher Dienstleister für eine betroffene Einrichtung registriert?
- [ ] Registrierung: Habe ich meine Einrichtung beim BSI nach §33 NIS2UmsuCG registriert?
Auswertung:
- 3 oder mehr Häkchen (insb. Sektor + Größe): Hohe Wahrscheinlichkeit einer NIS2-Betroffenheit → Vertiefende Prüfung dringend empfohlen
- Weniger als 3 Häkchen: Möglicherweise nicht direkt betroffen – aber Lieferkettenanforderungen prüfen
Was droht bei Nichterfüllung? Bußgelder nach §65 BSIG
Wer die NIS2-Pflichten ignoriert, riskiert erhebliche Konsequenzen. Der §65 BSIG (Bußgeldvorschriften) sieht gestaffelte Sanktionen vor:
Bußgeldrahmen im Überblick
| Einrichtungstyp | Maximales Bußgeld | Alternativbetrag |
|---|---|---|
| Wesentliche Einrichtung | 10.000.000 € | 2 % des weltweiten Jahresumsatzes |
| Wichtige Einrichtung | 7.000.000 € | 1,4 % des weltweiten Jahresumsatzes |
Zusätzlich kann das BSI nach §64 BSIG Zwangsgelder verhängen, den Betrieb bestimmter Dienste untersagen und – bei wesentlichen Einrichtungen – sogar die vorübergehende Abberufung der Geschäftsführung anordnen, wenn diese ihrer persönlichen Verantwortung nach §38 NIS2UmsuCG nicht nachkommt.
Wichtig für Geschäftsführer: §38 NIS2UmsuCG macht die Leitungsebene persönlich haftbar für die Umsetzung und Überwachung von Cybersicherheitsmaßnahmen. Unwissenheit schützt nicht vor Strafe.
Konkrete Handlungsempfehlungen für betroffene Unternehmen
Wenn Ihre Betroffenheitsprüfung positiv ausfällt oder Sie unsicher sind, sollten Sie diese Schritte unverzüglich angehen:
-
Formale Betroffenheitsanalyse durchführen: Beauftragen Sie eine strukturierte Prüfung nach §3 NIS2UmsuCG, idealerweise unter Einbeziehung eines Rechtsanwalts und eines IT-Sicherheitsberaters. Dokumentieren Sie das Ergebnis schriftlich.
-
BSI-Registrierung vornehmen: Betroffene Einrichtungen müssen sich gemäß §33 NIS2UmsuCG beim BSI registrieren. Nutzen Sie das MELDEP-Portal des BSI und halten Sie alle geforderten Angaben bereit.
-
Gap-Analyse der Sicherheitsmaßnahmen: Vergleichen Sie Ihren aktuellen Sicherheitsstatus mit den Anforderungen nach §30 NIS2UmsuCG (technische und organisatorische Maßnahmen). Besonderes Augenmerk: Risikomanagement, Incident Response, Supply Chain Security, MFA, Verschlüsselung.
-
Meldeprozesse für Sicherheitsvorfälle aufsetzen: §32 NIS2UmsuCG schreibt eine mehrstufige Meldepflicht vor: Frühwarnung innerhalb von 24 Stunden, vollständige Meldung innerhalb von 72 Stunden, Abschlussbericht nach einem Monat.
-
Lieferkette unter die Lupe nehmen: Prüfen Sie, welche Ihrer Dienstleister und Zulieferer Zugang zu Ihren kritischen Systemen haben. Supply-Chain-Anforderungen nach §30 Abs. 2 Nr. 4 NIS2UmsuCG sind ein häufig unterschätzter Pflichtenbereich.
-
Schulungen für Führungskräfte und Mitarbeitende einplanen: §30 NIS2UmsuCG verlangt explizit Cybersicherheitsschulungen. Leitungsorgane müssen in der Lage sein, Cyberrisiken zu beurteilen.
-
ISMS aufbauen oder zertifizieren: Ein Information Security Management System (ISMS) nach ISO 27001 oder BSI IT-Grundschutz ist zwar nicht zwingend vorgeschrieben, gilt aber in der Praxis als starkes Indiz für die Erfüllung der NIS2-Anforderungen und vereinfacht Audits erheblich.
-
Verantwortlichkeiten klar regeln: Bestimmen Sie einen NIS2-Beauftragten oder beauftragen Sie Ihren CISO formal mit der Umsetzungsverantwortung. Dokumentieren Sie dies in Ihrer Unternehmensführung.
Sonderfall: Ich bin nicht direkt betroffen – muss ich trotzdem handeln?
Ja, unter Umständen schon. Auch wenn Ihr Unternehmen selbst nicht unter NIS2 fällt, können Sie als Zulieferer oder Dienstleister einer betroffenen Einrichtung indirekt in die Pflicht genommen werden. NIS2-pflichtige Unternehmen sind verpflichtet, ihre Lieferkette zu überprüfen und Sicherheitsanforderungen vertraglich weiterzugeben.
Das bedeutet: Wer als IT-Dienstleister, Cloud-Anbieter, Softwareentwickler oder Facility-Manager für eine wesentliche Einrichtung tätig ist, wird zunehmend mit Sicherheitsfragebögen, Vertragsklauseln und Audit-Anforderungen konfrontiert – unabhängig von der eigenen NIS2-Pflicht.
Fazit: Nächste Schritte jetzt einleiten
Die NIS2-Betroffenheitsprüfung ist keine einmalige Aufgabe, sondern ein lebendiger Prozess: Unternehmen wachsen, Geschäftsfelder ändern sich, und der regulatorische Rahmen wird durch das BSI laufend konkretisiert. Wer heute noch nicht geprüft hat, ob er unter §3 NIS2UmsuCG fällt, sollte dies unmittelbar nachholen.
Ihre nächsten Schritte auf einen Blick:
- ✅ Sektorzugehörigkeit anhand Anlage 1 und 2 prüfen
- ✅ Größenkriterien (50+ MA, 10 Mio. € Umsatz) verifizieren
- ✅ Einstufung als wesentliche oder wichtige Einrichtung klären
- ✅ BSI-Registrierung vornehmen (§33 NIS2UmsuCG)
- ✅ Gap-Analyse und Maßnahmenplan erstellen
- ✅ Meldeprozesse und ISMS implementieren
Jetzt Betroffenheit digital prüfen und ISMS-Dokumentation aufbauen
Die manuelle Betroffenheitsprüfung und die anschließende Dokumentation aller NIS2-Maßnahmen sind zeitaufwendig und fehleranfällig. Moderne NIS2-Compliance-Softwarelösungen unterstützen Sie dabei, die Betroffenheitsprüfung strukturiert zu durchlaufen, alle erforderlichen ISMS-Dokumente gesetzeskonform zu erstellen und Ihre Nachweispflichten gegenüber dem BSI zu erfüllen. Viele Lösungen bieten einen geführten Onboarding-Prozess, der Sie direkt von der Betroffenheitsanalyse bis zur lückenlosen Risikobehandlung führt – und dabei sicherstellt, dass keine regulatorische Anforderung übersehen wird. Ein solches Tool ist kein Luxus, sondern in der aktuellen Aufsichtsrealität eine echte Investition in Rechtssicherheit.
Dieser Artikel dient der allgemeinen Information und ersetzt keine individuelle rechtliche oder technische Beratung. Für eine verbindliche Betroffenheitseinschätzung empfehlen wir die Konsultation eines auf IT-Sicherheitsrecht spezialisierten Rechtsanwalts sowie des offiziellen BSI-Informationsangebots unter bsi.bund.de.