NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?
Veröffentlicht am 30. Juni 2026 | Lesedauer: ca. 8 Minuten
Die NIS2-Richtlinie der Europäischen Union ist seit ihrer nationalen Umsetzung durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) für tausende deutsche Unternehmen rechtsverbindlich. Dennoch herrscht bei vielen Geschäftsführern und IT-Verantwortlichen noch immer Unsicherheit: Bin ich überhaupt betroffen? Diese Frage ist keine Kleinigkeit – wer die Betroffenheit falsch einschätzt, riskiert empfindliche Bußgelder nach § 65 BSIG und bleibt schutzlos gegenüber Cyberangriffen.
Dieser Artikel führt Sie strukturiert durch die NIS2-Betroffenheitsprüfung für Unternehmen in Deutschland 2025/2026, erklärt die relevanten Sektoren, Größenkriterien und den Unterschied zwischen wesentlichen und wichtigen Einrichtungen – und gibt Ihnen einen praxistauglichen Selbsttest an die Hand.
Was ist die NIS2-Betroffenheitsprüfung und warum ist sie so wichtig?
Die NIS2-Richtlinie (EU 2022/2555) verpflichtet Unternehmen bestimmter Sektoren und Größen zur Umsetzung konkreter Cybersicherheitsmaßnahmen. In Deutschland wurde sie durch das NIS2UmsuCG in nationales Recht überführt, das die Anforderungen im Bundessicherheitsgesetz (BSIG) verankert.
Der entscheidende Paragraph für die Betroffenheitsprüfung ist § 3 NIS2UmsuCG in Verbindung mit den Anlagen 1 und 2 des BSIG. Dort ist geregelt, welche Einrichtungen als „wesentlich" oder „wichtig" eingestuft werden und damit unter den Geltungsbereich fallen.
Ein verbreiteter Irrtum: Viele Unternehmen glauben, NIS2 betreffe nur Konzerne oder Betreiber kritischer Infrastrukturen. Tatsächlich sind laut Schätzungen des BSI (Bundesamt für Sicherheit in der Informationstechnik) über 30.000 deutsche Unternehmen neu in den Anwendungsbereich gefallen – darunter viele mittelständische Betriebe.
Die Grundkriterien der NIS2-Betroffenheit
Größenkriterien: Ab wann gilt NIS2?
Die NIS2-Richtlinie unterscheidet grundsätzlich nach Unternehmensgröße. Als Faustregel gilt:
| Kriterium | Schwellenwert |
|---|---|
| Mitarbeiterzahl | ≥ 50 Beschäftigte |
| Jahresumsatz | ≥ 10 Millionen Euro |
| Jahresbilanzsumme | ≥ 10 Millionen Euro |
Ein Unternehmen fällt in den NIS2-Geltungsbereich, wenn es mindestens eines der Größenkriterien erfüllt und einem der regulierten Sektoren angehört. Kleinere Unternehmen können in Ausnahmefällen dennoch betroffen sein – etwa wenn sie als einziger Anbieter eines kritischen Dienstleistungsprozesses in Deutschland gelten oder wenn sie Bestandteil einer regulierten Lieferkette sind.
Wichtig: Die Größenschwellen beziehen sich auf das einzelne Unternehmen, nicht auf den Gesamtkonzern. Tochtergesellschaften müssen separat geprüft werden.
Sektorale Zugehörigkeit: Anlage 1 und Anlage 2 des BSIG
Das zweite entscheidende Kriterium ist die Branchenzugehörigkeit. Das BSIG unterscheidet in zwei Anlagen:
Anlage 1 – Sektoren mit hoher Kritikalität (wesentliche Einrichtungen)
Hierzu zählen Sektoren, die für die Gesellschaft und Wirtschaft unverzichtbar sind:
- Energie (Strom, Gas, Wärme, Erdöl, Wasserstoff)
- Verkehr (Luft, Schiene, Wasser, Straße)
- Bankwesen (Kreditinstitute)
- Finanzmarktinfrastrukturen (Handelsplätze, zentrale Gegenparteien)
- Gesundheitswesen (Krankenhäuser, Labore, Pharmaunternehmen)
- Trinkwasser und Abwasser
- Digitale Infrastruktur (DNS-Betreiber, TLD-Registries, Cloud-Anbieter, Rechenzentren, CDN-Betreiber, Vertrauensdiensteanbieter)
- IKT-Dienstleistungsmanagement (Managed Service Provider, Managed Security Service Provider)
- Öffentliche Verwaltung (Bundesbehörden, Landesbehörden)
- Weltraum (Bodeninfrastruktur)
Anlage 2 – Sonstige kritische Sektoren (wichtige Einrichtungen)
Diese Anlage umfasst weitere wirtschaftlich bedeutende Branchen:
- Post- und Kurierdienste
- Abfallwirtschaft
- Chemie (Herstellung und Handel)
- Lebensmittel (Produktion, Verarbeitung, Großhandel)
- Verarbeitendes Gewerbe / Industrie (Medizinprodukte, Elektronik, Maschinenbau, Kfz, Fahrzeugbau)
- Digitale Dienste (Online-Marktplätze, Online-Suchmaschinen, Plattformen für soziale Netzwerke)
- Forschungseinrichtungen
Wesentliche vs. Wichtige Einrichtungen: Der Unterschied im Detail
Das NIS2UmsuCG unterscheidet zwei Kategorien betroffener Unternehmen, die sich in Anforderungen und Bußgeldhöhen unterscheiden.
Wesentliche Einrichtungen (Essential Entities)
Als wesentliche Einrichtung gilt ein Unternehmen, wenn es:
- einem Sektor aus Anlage 1 angehört, und
- als Großunternehmen gilt (≥ 250 Mitarbeiter oder > 50 Mio. Euro Jahresumsatz und > 43 Mio. Euro Bilanzsumme), oder
- unabhängig von der Größe bestimmte kritische Dienstleistungen erbringt (z. B. Betreiber kritischer Anlagen nach BSI-KritisV)
Wichtige Einrichtungen (Important Entities)
Als wichtige Einrichtung gilt ein Unternehmen, wenn es:
- einem Sektor aus Anlage 1 oder 2 angehört, und
- mindestens die Größenschwellen für mittlere Unternehmen erreicht (≥ 50 Mitarbeiter oder ≥ 10 Mio. Euro Umsatz/Bilanzsumme), aber
- nicht als wesentliche Einrichtung eingestuft ist
| Merkmal | Wesentliche Einrichtung | Wichtige Einrichtung |
|---|---|---|
| Anlage | Anlage 1 | Anlage 1 oder 2 |
| Typische Größe | Groß (≥ 250 MA) | Mittel (≥ 50 MA) |
| Aufsicht | Proaktiv (ex-ante) | Reaktiv (ex-post) |
| Max. Bußgeld | 10 Mio. € oder 2 % des Jahresumsatzes | 7 Mio. € oder 1,4 % des Jahresumsatzes |
| Registrierungspflicht | Ja, beim BSI | Ja, beim BSI |
NIS2-Selbsttest: Ist Ihr Unternehmen betroffen?
Mit dem folgenden Kurztest können Sie eine erste Einschätzung vornehmen. Dieser ersetzt keine rechtliche oder fachliche Beratung, gibt aber eine solide Orientierung.
Schritt 1: Sektorcheck
Gehört Ihr Unternehmen zu einem der folgenden Bereiche?
- ☐ Energieversorgung, -übertragung oder -verteilung
- ☐ Verkehr und Transport (Luft, Schiene, Straße, See)
- ☐ Finanzsektor (Bank, Versicherung, Zahlungsdienstleister)
- ☐ Gesundheitswesen (Klinik, Labor, Pharmahersteller, Medizinprodukte)
- ☐ Wasserversorgung oder Abwasserentsorgung
- ☐ Digitale Infrastruktur oder IKT-Dienstleistungen
- ☐ Öffentliche Verwaltung
- ☐ Lebensmittelproduktion oder -großhandel
- ☐ Chemische Industrie
- ☐ Maschinenbau, Elektronik, Kfz-Fertigung
- ☐ Post- und Kurierdienste, Abfallwirtschaft
- ☐ Forschungseinrichtungen
➡️ Wenn Sie mindestens ein Feld angekreuzt haben, fahren Sie mit Schritt 2 fort.
Schritt 2: Größencheck
Erfüllt Ihr Unternehmen mindestens ein Kriterium?
- ☐ 50 oder mehr Beschäftigte (Vollzeitäquivalente)
- ☐ Jahresumsatz von mindestens 10 Millionen Euro
- ☐ Jahresbilanzsumme von mindestens 10 Millionen Euro
➡️ Wenn Sie Schritt 1 und Schritt 2 bejaht haben, ist Ihr Unternehmen mit hoher Wahrscheinlichkeit von NIS2 betroffen.
Schritt 3: Einrichtungstyp bestimmen
- ☐ Sektor aus Anlage 1 + ≥ 250 Mitarbeiter → Wesentliche Einrichtung
- ☐ Sektor aus Anlage 1 oder 2 + ≥ 50 Mitarbeiter → Wichtige Einrichtung
Konsequenzen bei Nichterfüllung: Was droht bei Verstoß?
Wer die NIS2-Pflichten ignoriert, geht ein erhebliches rechtliches und finanzielles Risiko ein. Die Bußgeldregelungen sind in § 65 BSIG geregelt und gestaffelt:
- Wesentliche Einrichtungen: Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (der höhere Betrag gilt)
- Wichtige Einrichtungen: Bußgelder bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes
Darüber hinaus können zuständige Behörden – in Deutschland primär das BSI als nationale Aufsichtsbehörde – folgende Maßnahmen anordnen:
- Audits und Sicherheitsüberprüfungen
- Anweisungen zur Behebung von Mängeln mit Fristsetzung
- Vorübergehendes Tätigkeitsverbot für Geschäftsführer bei schwerwiegenden Verstößen (§ 61 BSIG)
- Veröffentlichung von Verstößen (Name-and-Shame-Verfahren)
Besonders relevant: Die persönliche Haftung der Geschäftsleitung ist durch NIS2 explizit gestärkt worden. Geschäftsführer und Vorstände müssen Cybersicherheitsmaßnahmen aktiv billigen und überwachen – Unwissenheit schützt nicht vor Haftung.
Handlungsempfehlungen: So gehen Sie jetzt vor
Wenn Sie nach dem Selbsttest zu dem Ergebnis kommen, dass Ihr Unternehmen betroffen ist, empfehlen wir folgende priorisierte Schritte:
-
Formale Betroffenheitsprüfung dokumentieren: Halten Sie schriftlich fest, auf welcher Grundlage (Sektor, Größe, Einrichtungstyp) Ihr Unternehmen eingestuft wurde. Das BSI hat hierfür eine offizielle Registrierungsplattform eingerichtet.
-
Beim BSI registrieren: Wesentliche und wichtige Einrichtungen sind gemäß § 33 BSIG verpflichtet, sich beim BSI zu registrieren. Die Registrierung erfolgt über das BSI-Portal und umfasst Angaben zu Sektor, Größe, Ansprechpartnern und genutzten Diensten.
-
Gap-Analyse durchführen: Vergleichen Sie Ihren aktuellen Sicherheitsstand mit den Mindestanforderungen nach § 30 BSIG (u. a. Risikomanagement, Incident Response, Business Continuity, Supply-Chain-Sicherheit, Kryptografie, Zugangskontrolle).
-
Informationssicherheits-Management-System (ISMS) aufbauen oder anpassen: NIS2 schreibt kein spezifisches Framework vor, aber ISO/IEC 27001 oder der BSI IT-Grundschutz sind anerkannte Referenzrahmen, die die Compliance-Anforderungen strukturiert abdecken.
-
Meldepflichten etablieren: Nach § 32 BSIG müssen erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden (Erstmeldung) und 72 Stunden (Detailmeldung) an das BSI gemeldet werden. Richten Sie entsprechende interne Prozesse ein.
-
Lieferketten-Risikomanagement aufsetzen: NIS2 verpflichtet zur Sicherheitsbewertung von Dienstleistern und Lieferanten. Passen Sie Verträge, SLAs und Datenschutzvereinbarungen entsprechend an.
-
Geschäftsführung schulen und einbinden: Sorgen Sie dafür, dass Vorstand und Geschäftsführung die NIS2-Anforderungen kennen, formell zustimmen und regelmäßig Schulungen absolvieren (§ 38 BSIG).
-
Regelmäßige Audits planen: NIS2 ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Planen Sie jährliche interne Audits und bereiten Sie sich auf mögliche externe Prüfungen durch das BSI vor.
Sonderfälle: Wer fällt ausnahmsweise auch als Kleinunternehmen unter NIS2?
Das NIS2UmsuCG kennt Ausnahmen von den Größenschwellen. Unternehmen können unabhängig von Mitarbeiterzahl und Umsatz betroffen sein, wenn sie:
- als alleiniger Anbieter eines für die öffentliche Sicherheit, Gesellschaft oder Wirtschaft unverzichtbaren Dienstleistung gelten
- als Betreiber kritischer Anlagen nach der BSI-Kritisverordnung eingestuft sind
- als Vertrauensdiensteanbieter (Trust Service Provider) nach der eIDAS-Verordnung tätig sind
- als Top-Level-Domain-Registries oder DNS-Resolver operieren
Auch wenn Ihr Unternehmen selbst nicht betroffen ist, sollten Sie prüfen, ob Sie als Zulieferer oder Dienstleister von NIS2-regulierten Unternehmen indirekt Sicherheitsanforderungen erfüllen müssen – etwa durch vertragliche Klauseln in der Lieferkette.
Fazit: NIS2-Betroffenheit klären und jetzt handeln
Die NIS2-Betroffenheitsprüfung ist der unverzichtbare erste Schritt auf dem Weg zur Compliance. Die Kernfragen lauten:
- Gehöre ich einem regulierten Sektor an? (Anlage 1 oder 2 BSIG)
- Erfülle ich die Größenkriterien? (≥ 50 MA, ≥ 10 Mio. € Umsatz)
- Bin ich wesentliche oder wichtige Einrichtung?
Ist die Betroffenheit festgestellt, beginnt die eigentliche Arbeit: BSI-Registrierung, Gap-Analyse, ISMS-Aufbau, Meldeprozesse und Schulungen. Die Bußgeldrisiken nach § 65 BSIG sind erheblich – aber weit schwerwiegender können die Reputationsschäden und Betriebsunterbrechungen durch einen erfolgreichen Cyberangriff sein, gegen den keine Schutzmaßnahmen existieren.
Nächste Schritte auf einen Blick:
- ✅ Selbsttest durchführen (Sektor + Größe)
- ✅ Einrichtungstyp (wesentlich/wichtig) bestimmen
- ✅ BSI-Registrierung vorbereiten und abschließen
- ✅ Gap-Analyse gegen § 30 BSIG starten
- ✅ ISMS-Dokumentation aufbauen
Ihr nächster Schritt: NIS2-Compliance strukturiert angehen
Die manuelle Verwaltung aller NIS2-Anforderungen – von der Risikoanalyse über die Dokumentation bis hin zur Nachweisführung gegenüber dem BSI – ist aufwändig und fehleranfällig. Spezialisierte NIS2-Compliance-Software und ISMS-Plattformen helfen IT-Teams und Informationssicherheitsbeauftragten dabei, Betroffenheitsprüfungen zu dokumentieren, Maßnahmenpläne zu verwalten, Meldepflichten zu tracken und Audit-Nachweise strukturiert bereitzustellen. Viele Tools bieten zudem vorgefertigte Richtlinienvorlagen, die direkt auf die Anforderungen nach §§ 30–38 BSIG ausgerichtet sind. Wenn Sie noch kein geeignetes Werkzeug einsetzen, lohnt sich ein Vergleich verfügbarer Lösungen – idealerweise solcher, die auch eine Integration mit bestehenden IT-Sicherheits- und GRC-Systemen ermöglichen.
Dieser Artikel dient der allgemeinen Information und ersetzt keine individuelle Rechts- oder Fachberatung. Für eine verbindliche Einschätzung Ihrer NIS2-Betroffenheit empfehlen wir die Konsultation eines auf IT-Recht und Cybersicherheit spezialisierten Beraters sowie die offiziellen Informationsangebote des BSI unter bsi.bund.de.