NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?
Veröffentlicht am 28. Juni 2026 | Lesedauer: ca. 8 Minuten
Die NIS2-Richtlinie hat die Cybersicherheitslandschaft in Deutschland grundlegend verändert. Mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wurde die EU-Richtlinie in nationales Recht überführt – und seither stellt sich für Tausende von Unternehmen dieselbe drängende Frage: Bin ich eigentlich betroffen? Wer diese Frage falsch beantwortet oder ignoriert, riskiert empfindliche Bußgelder nach §65 BSIG. Dieser Artikel führt Sie Schritt für Schritt durch die NIS2-Betroffenheitsprüfung für Unternehmen in Deutschland 2025.
Was regelt §3 NIS2UmsuCG – und wen betrifft er?
Der §3 NIS2UmsuCG definiert den Anwendungsbereich des Gesetzes und legt fest, welche Einrichtungen als „wesentlich" oder „wichtig" einzustufen sind. Grundlage ist die europäische NIS2-Richtlinie (EU 2022/2555), die Deutschland verpflichtet hat, deutlich mehr Sektoren und Unternehmen als bisher unter regulierte Cybersicherheitspflichten zu stellen.
Vereinfacht gilt: Ein Unternehmen fällt unter NIS2, wenn es in einem der definierten Sektoren tätig ist und gleichzeitig bestimmte Größenschwellen überschreitet. Beide Kriterien müssen gemeinsam erfüllt sein – Ausnahmen gelten jedoch für kritische Infrastrukturen und bestimmte Einrichtungen unabhängig von der Größe.
Schritt 1: Die Sektoren – Anlage 1 und Anlage 2 im Überblick
Das NIS2UmsuCG unterscheidet zwischen zwei Sektorenlisten, die aus den Anhängen I und II der NIS2-Richtlinie abgeleitet wurden.
Anlage 1 – Sektoren mit hoher Kritikalität (wesentliche Einrichtungen)
Diese Sektoren gelten als besonders kritisch für das Funktionieren von Gesellschaft und Wirtschaft:
- Energie (Strom, Gas, Öl, Fernwärme, Wasserstoff)
- Verkehr (Luft, Schiene, Wasser, Straße)
- Bankwesen und Finanzmarktinfrastruktur
- Gesundheitswesen (Krankenhäuser, Labore, Pharmahersteller, Medizinprodukte)
- Trinkwasser und Abwasser
- Digitale Infrastruktur (Internet Exchange Points, DNS, TLD-Registrare, Cloud-Anbieter, Rechenzentrumsbetreiber, CDN, Vertrauensdiensteanbieter, öffentliche Kommunikationsnetze)
- IKT-Dienstemanagement (Managed Service Provider, Managed Security Service Provider)
- Öffentliche Verwaltung (Bundesbehörden, Landesbehörden)
- Weltraum (Betreiber von Bodeninfrastruktur)
Anlage 2 – Sonstige kritische Sektoren (wichtige Einrichtungen)
Zusätzlich fallen folgende Sektoren unter die erweiterte NIS2-Regulierung:
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Chemie (Herstellung, Erzeugung, Handel)
- Lebensmittel (Produktion, Verarbeitung, Vertrieb)
- Verarbeitendes Gewerbe/Herstellung (Medizinprodukte, Maschinen, Fahrzeuge, elektronische Erzeugnisse u. a.)
- Digitale Anbieter (Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke)
- Forschung (insb. Forschungseinrichtungen)
Praxishinweis: Viele mittelständische Fertigungs- und Logistikunternehmen werden durch Anlage 2 erstmals erfasst. Prüfen Sie Ihre NACE-Klassifikation und gleichen Sie diese mit den Sektordefinitionen ab.
Schritt 2: Die Größenkriterien – 50 Mitarbeitende und 10 Mio. Euro Umsatz
Allein die Zugehörigkeit zu einem Sektor genügt nicht. Zusätzlich müssen Unternehmen eine der folgenden Schwellen überschreiten:
| Kategorie | Mitarbeitende | Jahresumsatz ODER Jahresbilanzsumme |
|---|---|---|
| Mittleres Unternehmen | ≥ 50 | ≥ 10 Mio. € |
| Großes Unternehmen | ≥ 250 | ≥ 50 Mio. € Umsatz oder ≥ 43 Mio. € Bilanzsumme |
Für Anlage-1-Sektoren gilt grundsätzlich: Mittlere und große Unternehmen sind erfasst.
Für Anlage-2-Sektoren gilt dasselbe – mit der wichtigen Einschränkung, dass auch hier die 50-Mitarbeitenden-Grenze oder die 10-Mio.-€-Schwelle überschritten sein muss.
Ausnahmen von der Größenregel
Das Gesetz sieht explizite Ausnahmen vor. Diese Einrichtungen fallen unabhängig von ihrer Größe unter NIS2:
- Betreiber kritischer Anlagen nach §28 BSIG (KRITIS)
- Qualifizierte Vertrauensdiensteanbieter
- TLD-Registrare und DNS-Anbieter
- Anbieter öffentlicher elektronischer Kommunikationsnetze
- Einrichtungen der öffentlichen Verwaltung auf Bundes- und Landesebene
Schritt 3: Wesentliche vs. wichtige Einrichtungen – der entscheidende Unterschied
NIS2 unterscheidet zwei Regulierungskategorien, die sich vor allem in Aufsichtsintensität und Bußgeldrahmen unterscheiden.
Wesentliche Einrichtungen (Essential Entities)
- Tätig in Anlage-1-Sektoren und großes Unternehmen (≥ 250 MA oder ≥ 50 Mio. € Umsatz)
- Sowie: bestimmte mittlere Unternehmen aus besonders sensiblen Teilsektoren (z. B. qualifizierte Vertrauensdiensteanbieter, TLD-Registrare)
- Unterliegen der proaktiven Aufsicht durch das BSI
- Maximales Bußgeld: 10 Mio. € oder 2 % des weltweiten Jahresumsatzes
Wichtige Einrichtungen (Important Entities)
- Tätig in Anlage-1- oder Anlage-2-Sektoren und mittleres Unternehmen (≥ 50 MA oder ≥ 10 Mio. € Umsatz), aber nicht als wesentliche Einrichtung klassifiziert
- Unterliegen der reaktiven Aufsicht (BSI wird erst bei Verdacht aktiv)
- Maximales Bußgeld: 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes
Selbsttest: Ist Ihr Unternehmen NIS2-pflichtig?
Beantworten Sie die folgenden Fragen, um eine erste Einschätzung zu erhalten:
Checkliste zur NIS2-Betroffenheitsprüfung
- [ ] Sektor: Ist mein Unternehmen in einem Sektor aus Anlage 1 oder Anlage 2 des NIS2UmsuCG tätig?
- [ ] Mitarbeitende: Beschäftigt mein Unternehmen 50 oder mehr Mitarbeitende?
- [ ] Umsatz/Bilanzsumme: Erzielt mein Unternehmen mindestens 10 Mio. € Jahresumsatz oder Jahresbilanzsumme?
- [ ] Ausnahmeregelung: Falle ich als kritische Anlage, Vertrauensdiensteanbieter o. ä. ohne Rücksicht auf Größe unter NIS2?
- [ ] Konzernzugehörigkeit: Ist mein Unternehmen Teil eines Konzerns, der die Schwellen gemeinsam überschreitet?
- [ ] Registrierung: Habe ich mein Unternehmen beim BSI als betroffene Einrichtung registriert?
Ergebnis: Wenn Sie mindestens den Sektor-Check und eine der Größenschwellen mit „Ja" beantworten, sind Sie höchstwahrscheinlich NIS2-pflichtig und sollten unverzüglich handeln.
Konsequenzen bei Nichterfüllung: §65 BSIG und die Bußgeldpraxis
Wer die NIS2-Pflichten ignoriert, handelt nicht nur fahrlässig gegenüber der eigenen IT-Sicherheit – er riskiert auch erhebliche rechtliche und finanzielle Konsequenzen.
Was §65 BSIG regelt
§65 BSIG enthält den Bußgeldkatalog für Verstöße gegen das Cybersicherheitsrecht. Sanktioniert werden unter anderem:
- Unterlassene oder verspätete Registrierung beim BSI
- Fehlende oder unzureichende Sicherheitsmaßnahmen (§30 BSIG)
- Nicht fristgerechte Meldung von Sicherheitsvorfällen (§32 BSIG)
- Mangelhafte Dokumentation und fehlende Nachweise gegenüber der Aufsichtsbehörde
Bußgeldrahmen im Überblick
| Einrichtungstyp | Maximales Bußgeld |
|---|---|
| Wesentliche Einrichtung | 10.000.000 € oder 2 % des globalen Jahresumsatzes |
| Wichtige Einrichtung | 7.000.000 € oder 1,4 % des globalen Jahresumsatzes |
Hinzu kommt: Geschäftsführer und Vorstände können nach §38 BSIG persönlich haftbar gemacht werden, wenn sie ihrer Überwachungspflicht nicht nachkommen. Das BSI hat angekündigt, die Aufsicht ab 2025 deutlich intensiver auszuüben – erste Bußgeldverfahren wurden bereits eingeleitet.
Die 7 wichtigsten Pflichten nach NIS2 – ein kurzer Überblick
Sobald die Betroffenheit feststeht, müssen betroffene Unternehmen konkrete Maßnahmen umsetzen. Die zentralen Anforderungen nach §30 BSIG umfassen:
- Risikoanalyse und Sicherheitskonzept – regelmäßige Bewertung von IT-Risiken
- Incident Response und Business Continuity – Notfallpläne für den Ernstfall
- Supply-Chain-Sicherheit – Prüfung und Absicherung von Lieferketten
- Sicherheit beim Erwerb von Netz- und Informationssystemen – Security by Design
- Wirksamkeitsmessung von Sicherheitsmaßnahmen – regelmäßige Audits und Penetrationstests
- Schulungen zur Cybersicherheit – auch für Führungskräfte verpflichtend
- Kryptografie und Verschlüsselung – Schutz sensibler Daten im Ruhezustand und bei der Übertragung
Konkrete Handlungsempfehlungen für betroffene Unternehmen
Wenn die Betroffenheitsprüfung ergibt, dass Ihr Unternehmen unter NIS2 fällt, empfehlen wir folgende Schritte:
-
Einrichtungstyp bestimmen: Klassifizieren Sie Ihr Unternehmen eindeutig als wesentliche oder wichtige Einrichtung – davon hängen Aufsichtsintensität und Bußgeldrahmen ab.
-
BSI-Registrierung vornehmen: Registrieren Sie sich im BSI-Portal als betroffene Einrichtung. Die Registrierungspflicht besteht seit Inkrafttreten des NIS2UmsuCG und war für viele Sektoren bereits 2024 fällig.
-
Gap-Analyse durchführen: Gleichen Sie Ihren aktuellen Sicherheitsstatus mit den Anforderungen des §30 BSIG ab. Identifizieren Sie Lücken in Richtlinien, Prozessen und technischen Maßnahmen.
-
ISMS aufbauen oder erweitern: Implementieren Sie ein Informationssicherheitsmanagementsystem auf Basis von ISO 27001 oder BSI IT-Grundschutz als Fundament für NIS2-Compliance.
-
Meldeprozesse einrichten: Definieren Sie klare Verantwortlichkeiten und Prozesse für die Meldung erheblicher Sicherheitsvorfälle – die Erstmeldung muss innerhalb von 24 Stunden nach Kenntnisnahme beim BSI eingehen.
-
Lieferkette prüfen: Fordern Sie von Ihren IT-Dienstleistern und kritischen Zulieferern Nachweise zur Cybersicherheit an. NIS2 macht Sie mitverantwortlich für Risiken in der Supply Chain.
-
Führungskräfte schulen: Geschäftsführung und Vorstand müssen NIS2-Schulungen nachweislich absolvieren. Ignoranz schützt nicht vor persönlicher Haftung nach §38 BSIG.
Fazit: Handeln Sie jetzt – nicht erst nach dem ersten Bußgeldbescheid
Die NIS2-Betroffenheitsprüfung ist kein bürokratischer Selbstzweck – sie ist der Ausgangspunkt für eine fundierte Cybersicherheitsstrategie in Ihrem Unternehmen. Wer in einem der regulierten Sektoren tätig ist und die Größenschwellen von 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz überschreitet, ist NIS2-pflichtig. Punkt.
Das BSI intensiviert seine Aufsichtstätigkeit, erste Bußgeldverfahren laufen, und die persönliche Haftung der Unternehmensführung ist keine theoretische Drohung mehr. Die gute Nachricht: Wer jetzt systematisch vorgeht, kann Compliance effizient erreichen – ohne das gesamte IT-Budget zu blockieren.
Ihre nächsten Schritte auf einen Blick:
- ✅ Sektor- und Größenprüfung anhand der Checkliste durchführen
- ✅ BSI-Registrierung als betroffene Einrichtung abschließen
- ✅ Gap-Analyse auf Basis §30 BSIG einleiten
- ✅ ISMS-Dokumentation strukturiert aufbauen
- ✅ Meldeprozesse für Sicherheitsvorfälle implementieren
Nächster Schritt: NIS2-Compliance digital verwalten
Die Umsetzung der NIS2-Anforderungen erzeugt erheblichen Dokumentations- und Nachweisaufwand. Spezialisierte NIS2-Compliance-Softwarelösungen helfen Ihnen dabei, Betroffenheitsprüfungen strukturiert durchzuführen, ISMS-Dokumente gesetzeskonform zu erstellen, Sicherheitsvorfälle fristgerecht zu melden und den Auditnachweis gegenüber dem BSI lückenlos zu führen. Wer auf manuelle Tabellenkalkulationen setzt, riskiert Lücken – gerade bei der schnelllebigen Anforderungslandschaft rund um §30 und §32 BSIG.
Nutzen Sie digitale Tools, um Ihre NIS2-Betroffenheitsprüfung zu automatisieren und Ihren Compliance-Status jederzeit im Blick zu behalten.
Dieser Artikel spiegelt den Stand der Gesetzgebung und BSI-Praxis vom 28. Juni 2026 wider. Bei rechtlichen Fragen zur NIS2-Compliance empfehlen wir die Hinzuziehung eines auf IT-Recht spezialisierten Anwalts.