NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?

Veröffentlicht am 28. Juni 2026 | Lesedauer: ca. 8 Minuten


Die NIS2-Richtlinie hat die Cybersicherheitslandschaft in Deutschland grundlegend verändert. Mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wurde die EU-Richtlinie in nationales Recht überführt – und seither stellt sich für Tausende von Unternehmen dieselbe drängende Frage: Bin ich eigentlich betroffen? Wer diese Frage falsch beantwortet oder ignoriert, riskiert empfindliche Bußgelder nach §65 BSIG. Dieser Artikel führt Sie Schritt für Schritt durch die NIS2-Betroffenheitsprüfung für Unternehmen in Deutschland 2025.


Was regelt §3 NIS2UmsuCG – und wen betrifft er?

Der §3 NIS2UmsuCG definiert den Anwendungsbereich des Gesetzes und legt fest, welche Einrichtungen als „wesentlich" oder „wichtig" einzustufen sind. Grundlage ist die europäische NIS2-Richtlinie (EU 2022/2555), die Deutschland verpflichtet hat, deutlich mehr Sektoren und Unternehmen als bisher unter regulierte Cybersicherheitspflichten zu stellen.

Vereinfacht gilt: Ein Unternehmen fällt unter NIS2, wenn es in einem der definierten Sektoren tätig ist und gleichzeitig bestimmte Größenschwellen überschreitet. Beide Kriterien müssen gemeinsam erfüllt sein – Ausnahmen gelten jedoch für kritische Infrastrukturen und bestimmte Einrichtungen unabhängig von der Größe.


Schritt 1: Die Sektoren – Anlage 1 und Anlage 2 im Überblick

Das NIS2UmsuCG unterscheidet zwischen zwei Sektorenlisten, die aus den Anhängen I und II der NIS2-Richtlinie abgeleitet wurden.

Anlage 1 – Sektoren mit hoher Kritikalität (wesentliche Einrichtungen)

Diese Sektoren gelten als besonders kritisch für das Funktionieren von Gesellschaft und Wirtschaft:

  • Energie (Strom, Gas, Öl, Fernwärme, Wasserstoff)
  • Verkehr (Luft, Schiene, Wasser, Straße)
  • Bankwesen und Finanzmarktinfrastruktur
  • Gesundheitswesen (Krankenhäuser, Labore, Pharmahersteller, Medizinprodukte)
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur (Internet Exchange Points, DNS, TLD-Registrare, Cloud-Anbieter, Rechenzentrumsbetreiber, CDN, Vertrauensdiensteanbieter, öffentliche Kommunikationsnetze)
  • IKT-Dienstemanagement (Managed Service Provider, Managed Security Service Provider)
  • Öffentliche Verwaltung (Bundesbehörden, Landesbehörden)
  • Weltraum (Betreiber von Bodeninfrastruktur)

Anlage 2 – Sonstige kritische Sektoren (wichtige Einrichtungen)

Zusätzlich fallen folgende Sektoren unter die erweiterte NIS2-Regulierung:

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Chemie (Herstellung, Erzeugung, Handel)
  • Lebensmittel (Produktion, Verarbeitung, Vertrieb)
  • Verarbeitendes Gewerbe/Herstellung (Medizinprodukte, Maschinen, Fahrzeuge, elektronische Erzeugnisse u. a.)
  • Digitale Anbieter (Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke)
  • Forschung (insb. Forschungseinrichtungen)

Praxishinweis: Viele mittelständische Fertigungs- und Logistikunternehmen werden durch Anlage 2 erstmals erfasst. Prüfen Sie Ihre NACE-Klassifikation und gleichen Sie diese mit den Sektordefinitionen ab.


Schritt 2: Die Größenkriterien – 50 Mitarbeitende und 10 Mio. Euro Umsatz

Allein die Zugehörigkeit zu einem Sektor genügt nicht. Zusätzlich müssen Unternehmen eine der folgenden Schwellen überschreiten:

Kategorie Mitarbeitende Jahresumsatz ODER Jahresbilanzsumme
Mittleres Unternehmen ≥ 50 ≥ 10 Mio. €
Großes Unternehmen ≥ 250 ≥ 50 Mio. € Umsatz oder ≥ 43 Mio. € Bilanzsumme

Für Anlage-1-Sektoren gilt grundsätzlich: Mittlere und große Unternehmen sind erfasst.
Für Anlage-2-Sektoren gilt dasselbe – mit der wichtigen Einschränkung, dass auch hier die 50-Mitarbeitenden-Grenze oder die 10-Mio.-€-Schwelle überschritten sein muss.

Ausnahmen von der Größenregel

Das Gesetz sieht explizite Ausnahmen vor. Diese Einrichtungen fallen unabhängig von ihrer Größe unter NIS2:

  • Betreiber kritischer Anlagen nach §28 BSIG (KRITIS)
  • Qualifizierte Vertrauensdiensteanbieter
  • TLD-Registrare und DNS-Anbieter
  • Anbieter öffentlicher elektronischer Kommunikationsnetze
  • Einrichtungen der öffentlichen Verwaltung auf Bundes- und Landesebene

Schritt 3: Wesentliche vs. wichtige Einrichtungen – der entscheidende Unterschied

NIS2 unterscheidet zwei Regulierungskategorien, die sich vor allem in Aufsichtsintensität und Bußgeldrahmen unterscheiden.

Wesentliche Einrichtungen (Essential Entities)

  • Tätig in Anlage-1-Sektoren und großes Unternehmen (≥ 250 MA oder ≥ 50 Mio. € Umsatz)
  • Sowie: bestimmte mittlere Unternehmen aus besonders sensiblen Teilsektoren (z. B. qualifizierte Vertrauensdiensteanbieter, TLD-Registrare)
  • Unterliegen der proaktiven Aufsicht durch das BSI
  • Maximales Bußgeld: 10 Mio. € oder 2 % des weltweiten Jahresumsatzes

Wichtige Einrichtungen (Important Entities)

  • Tätig in Anlage-1- oder Anlage-2-Sektoren und mittleres Unternehmen (≥ 50 MA oder ≥ 10 Mio. € Umsatz), aber nicht als wesentliche Einrichtung klassifiziert
  • Unterliegen der reaktiven Aufsicht (BSI wird erst bei Verdacht aktiv)
  • Maximales Bußgeld: 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes

Selbsttest: Ist Ihr Unternehmen NIS2-pflichtig?

Beantworten Sie die folgenden Fragen, um eine erste Einschätzung zu erhalten:

Checkliste zur NIS2-Betroffenheitsprüfung

  • [ ] Sektor: Ist mein Unternehmen in einem Sektor aus Anlage 1 oder Anlage 2 des NIS2UmsuCG tätig?
  • [ ] Mitarbeitende: Beschäftigt mein Unternehmen 50 oder mehr Mitarbeitende?
  • [ ] Umsatz/Bilanzsumme: Erzielt mein Unternehmen mindestens 10 Mio. € Jahresumsatz oder Jahresbilanzsumme?
  • [ ] Ausnahmeregelung: Falle ich als kritische Anlage, Vertrauensdiensteanbieter o. ä. ohne Rücksicht auf Größe unter NIS2?
  • [ ] Konzernzugehörigkeit: Ist mein Unternehmen Teil eines Konzerns, der die Schwellen gemeinsam überschreitet?
  • [ ] Registrierung: Habe ich mein Unternehmen beim BSI als betroffene Einrichtung registriert?

Ergebnis: Wenn Sie mindestens den Sektor-Check und eine der Größenschwellen mit „Ja" beantworten, sind Sie höchstwahrscheinlich NIS2-pflichtig und sollten unverzüglich handeln.


Konsequenzen bei Nichterfüllung: §65 BSIG und die Bußgeldpraxis

Wer die NIS2-Pflichten ignoriert, handelt nicht nur fahrlässig gegenüber der eigenen IT-Sicherheit – er riskiert auch erhebliche rechtliche und finanzielle Konsequenzen.

Was §65 BSIG regelt

§65 BSIG enthält den Bußgeldkatalog für Verstöße gegen das Cybersicherheitsrecht. Sanktioniert werden unter anderem:

  • Unterlassene oder verspätete Registrierung beim BSI
  • Fehlende oder unzureichende Sicherheitsmaßnahmen (§30 BSIG)
  • Nicht fristgerechte Meldung von Sicherheitsvorfällen (§32 BSIG)
  • Mangelhafte Dokumentation und fehlende Nachweise gegenüber der Aufsichtsbehörde

Bußgeldrahmen im Überblick

Einrichtungstyp Maximales Bußgeld
Wesentliche Einrichtung 10.000.000 € oder 2 % des globalen Jahresumsatzes
Wichtige Einrichtung 7.000.000 € oder 1,4 % des globalen Jahresumsatzes

Hinzu kommt: Geschäftsführer und Vorstände können nach §38 BSIG persönlich haftbar gemacht werden, wenn sie ihrer Überwachungspflicht nicht nachkommen. Das BSI hat angekündigt, die Aufsicht ab 2025 deutlich intensiver auszuüben – erste Bußgeldverfahren wurden bereits eingeleitet.


Die 7 wichtigsten Pflichten nach NIS2 – ein kurzer Überblick

Sobald die Betroffenheit feststeht, müssen betroffene Unternehmen konkrete Maßnahmen umsetzen. Die zentralen Anforderungen nach §30 BSIG umfassen:

  1. Risikoanalyse und Sicherheitskonzept – regelmäßige Bewertung von IT-Risiken
  2. Incident Response und Business Continuity – Notfallpläne für den Ernstfall
  3. Supply-Chain-Sicherheit – Prüfung und Absicherung von Lieferketten
  4. Sicherheit beim Erwerb von Netz- und Informationssystemen – Security by Design
  5. Wirksamkeitsmessung von Sicherheitsmaßnahmen – regelmäßige Audits und Penetrationstests
  6. Schulungen zur Cybersicherheit – auch für Führungskräfte verpflichtend
  7. Kryptografie und Verschlüsselung – Schutz sensibler Daten im Ruhezustand und bei der Übertragung

Konkrete Handlungsempfehlungen für betroffene Unternehmen

Wenn die Betroffenheitsprüfung ergibt, dass Ihr Unternehmen unter NIS2 fällt, empfehlen wir folgende Schritte:

  1. Einrichtungstyp bestimmen: Klassifizieren Sie Ihr Unternehmen eindeutig als wesentliche oder wichtige Einrichtung – davon hängen Aufsichtsintensität und Bußgeldrahmen ab.

  2. BSI-Registrierung vornehmen: Registrieren Sie sich im BSI-Portal als betroffene Einrichtung. Die Registrierungspflicht besteht seit Inkrafttreten des NIS2UmsuCG und war für viele Sektoren bereits 2024 fällig.

  3. Gap-Analyse durchführen: Gleichen Sie Ihren aktuellen Sicherheitsstatus mit den Anforderungen des §30 BSIG ab. Identifizieren Sie Lücken in Richtlinien, Prozessen und technischen Maßnahmen.

  4. ISMS aufbauen oder erweitern: Implementieren Sie ein Informationssicherheitsmanagementsystem auf Basis von ISO 27001 oder BSI IT-Grundschutz als Fundament für NIS2-Compliance.

  5. Meldeprozesse einrichten: Definieren Sie klare Verantwortlichkeiten und Prozesse für die Meldung erheblicher Sicherheitsvorfälle – die Erstmeldung muss innerhalb von 24 Stunden nach Kenntnisnahme beim BSI eingehen.

  6. Lieferkette prüfen: Fordern Sie von Ihren IT-Dienstleistern und kritischen Zulieferern Nachweise zur Cybersicherheit an. NIS2 macht Sie mitverantwortlich für Risiken in der Supply Chain.

  7. Führungskräfte schulen: Geschäftsführung und Vorstand müssen NIS2-Schulungen nachweislich absolvieren. Ignoranz schützt nicht vor persönlicher Haftung nach §38 BSIG.


Fazit: Handeln Sie jetzt – nicht erst nach dem ersten Bußgeldbescheid

Die NIS2-Betroffenheitsprüfung ist kein bürokratischer Selbstzweck – sie ist der Ausgangspunkt für eine fundierte Cybersicherheitsstrategie in Ihrem Unternehmen. Wer in einem der regulierten Sektoren tätig ist und die Größenschwellen von 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz überschreitet, ist NIS2-pflichtig. Punkt.

Das BSI intensiviert seine Aufsichtstätigkeit, erste Bußgeldverfahren laufen, und die persönliche Haftung der Unternehmensführung ist keine theoretische Drohung mehr. Die gute Nachricht: Wer jetzt systematisch vorgeht, kann Compliance effizient erreichen – ohne das gesamte IT-Budget zu blockieren.

Ihre nächsten Schritte auf einen Blick:
- ✅ Sektor- und Größenprüfung anhand der Checkliste durchführen
- ✅ BSI-Registrierung als betroffene Einrichtung abschließen
- ✅ Gap-Analyse auf Basis §30 BSIG einleiten
- ✅ ISMS-Dokumentation strukturiert aufbauen
- ✅ Meldeprozesse für Sicherheitsvorfälle implementieren


Nächster Schritt: NIS2-Compliance digital verwalten

Die Umsetzung der NIS2-Anforderungen erzeugt erheblichen Dokumentations- und Nachweisaufwand. Spezialisierte NIS2-Compliance-Softwarelösungen helfen Ihnen dabei, Betroffenheitsprüfungen strukturiert durchzuführen, ISMS-Dokumente gesetzeskonform zu erstellen, Sicherheitsvorfälle fristgerecht zu melden und den Auditnachweis gegenüber dem BSI lückenlos zu führen. Wer auf manuelle Tabellenkalkulationen setzt, riskiert Lücken – gerade bei der schnelllebigen Anforderungslandschaft rund um §30 und §32 BSIG.

Nutzen Sie digitale Tools, um Ihre NIS2-Betroffenheitsprüfung zu automatisieren und Ihren Compliance-Status jederzeit im Blick zu behalten.


Dieser Artikel spiegelt den Stand der Gesetzgebung und BSI-Praxis vom 28. Juni 2026 wider. Bei rechtlichen Fragen zur NIS2-Compliance empfehlen wir die Hinzuziehung eines auf IT-Recht spezialisierten Anwalts.