NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?
Veröffentlicht am 01. Juli 2026 | Lesedauer: ca. 8 Minuten
Viele Unternehmen in Deutschland stehen noch immer vor der gleichen Grundfrage: Sind wir überhaupt von der NIS2-Richtlinie betroffen? Die Antwort ist nicht immer offensichtlich – und Unwissenheit schützt nicht vor empfindlichen Bußgeldern. Mit diesem Artikel erhalten Sie eine strukturierte NIS2-Betroffenheitsprüfung für Ihr Unternehmen in Deutschland 2025/2026 – inklusive Selbsttest, Sektorenübersicht und konkreten Handlungsempfehlungen.
Was ist die NIS2-Richtlinie – und warum ist die Betroffenheitsprüfung so wichtig?
Die NIS2-Richtlinie (EU 2022/2555) ist die überarbeitete Fassung der ursprünglichen NIS-Richtlinie der Europäischen Union. In Deutschland wurde sie durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht überführt, das die relevanten Pflichten im Bundesgesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) verankert.
Gemäß § 3 NIS2UmsuCG gilt die Richtlinie für Einrichtungen, die bestimmte Größen- und Sektorzugehörigkeitskriterien erfüllen. Der Anwendungsbereich wurde gegenüber der Vorgängerrichtlinie erheblich ausgeweitet: Schätzungen des BSI zufolge fallen nun rund 30.000 bis 40.000 Unternehmen in Deutschland unter die neuen Regelungen – deutlich mehr als bisher.
Wer die eigene Betroffenheit nicht prüft, riskiert nicht nur regulatorische Konsequenzen, sondern auch ernsthafte Sicherheitslücken, die im Ernstfall existenzbedrohend sein können.
Die zwei zentralen Prüfkriterien: Sektor und Größe
Die NIS2-Betroffenheit ergibt sich aus dem Zusammenspiel zweier Kriterien: Branchenzugehörigkeit und Unternehmensgröße. Beide müssen gleichzeitig erfüllt sein – mit Ausnahmen für besonders kritische Einrichtungen.
Kriterium 1: Zugehörigkeit zu einem regulierten Sektor (Anlage 1 & 2 NIS2UmsuCG)
Das NIS2UmsuCG unterscheidet zwischen zwei Anlagen, die jeweils unterschiedliche Sektoren und Einrichtungstypen auflisten:
Anlage 1 – Sektoren mit hoher Kritikalität:
- Energie (Strom, Gas, Wärme, Öl, Wasserstoff)
- Verkehr (Straße, Schiene, Luft, Wasser)
- Bankwesen und Finanzmarktinfrastrukturen
- Gesundheitswesen (Krankenhäuser, Labore, Pharmaunternehmen)
- Trinkwasser und Abwasser
- Digitale Infrastruktur (DNS, TLD, Cloud-Anbieter, Rechenzentren)
- IKT-Dienstleistungsmanagement (B2B-Managed Services)
- Öffentliche Verwaltung
- Raumfahrt
Anlage 2 – Sonstige kritische Sektoren:
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Chemische Industrie
- Lebensmittelindustrie
- Verarbeitendes Gewerbe / Maschinenbau
- Digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
- Forschungseinrichtungen
Wichtig: Auch wenn Ihr Unternehmen nicht direkt in einem dieser Sektoren tätig ist, können Sie als Zulieferer oder Dienstleister indirekt in der Pflicht stehen – durch Anforderungen Ihrer Auftraggeber an die Lieferkettensicherheit (§ 30 BSIG).
Kriterium 2: Unternehmensgröße
Grundsätzlich gilt: Einrichtungen, die in einem der genannten Sektoren tätig sind und die folgenden Schwellenwerte überschreiten, fallen unter NIS2:
| Kategorie | Mitarbeiterzahl | Jahresumsatz ODER Jahresbilanzsumme |
|---|---|---|
| Mittleres Unternehmen (Mindestgröße) | ≥ 50 Mitarbeitende | ≥ 10 Mio. € |
| Großes Unternehmen | ≥ 250 Mitarbeitende | ≥ 50 Mio. € Umsatz oder ≥ 43 Mio. € Bilanzsumme |
Achtung Ausnahmen: Für bestimmte Einrichtungen – z. B. qualifizierte Vertrauensdiensteanbieter, TLD-Registrare und einige öffentliche Verwaltungen – gilt die Größenschwelle nicht. Sie sind unabhängig von ihrer Mitarbeiterzahl betroffen.
Wesentliche vs. wichtige Einrichtungen: Ein entscheidender Unterschied
§ 3 NIS2UmsuCG unterscheidet zwischen zwei Einrichtungsklassen, die unterschiedliche Pflichten und Aufsichtsregimes nach sich ziehen:
Wesentliche Einrichtungen (§ 3 Abs. 1 NIS2UmsuCG)
Hierunter fallen große Unternehmen aus Anlage-1-Sektoren sowie unabhängig von der Größe: qualifizierte Vertrauensdiensteanbieter, TLD-Registrare und DNS-Diensteanbieter. Diese Einrichtungen unterliegen einer proaktiven Aufsicht durch das BSI – das bedeutet, das BSI kann auch ohne konkreten Anlass Kontrollen durchführen.
Sanktionen: Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (der höhere Betrag gilt), gemäß § 65 BSIG.
Wichtige Einrichtungen (§ 3 Abs. 2 NIS2UmsuCG)
Hierunter fallen mittlere Unternehmen aus Anlage-1-Sektoren sowie mittlere und große Unternehmen aus Anlage-2-Sektoren. Diese Einrichtungen unterliegen einer reaktiven Aufsicht – Kontrollen erfolgen in der Regel nur bei konkreten Hinweisen auf Verstöße.
Sanktionen: Bußgelder bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes (der höhere Betrag gilt), gemäß § 65 BSIG.
NIS2-Selbsttest: Fällt Ihr Unternehmen unter die Richtlinie?
Beantworten Sie die folgenden Fragen, um eine erste Einschätzung zu erhalten:
Schritt 1: Sektorzugehörigkeit prüfen
- [ ] Ist mein Unternehmen in einem der Sektoren aus Anlage 1 oder Anlage 2 des NIS2UmsuCG tätig?
- [ ] Erbringt mein Unternehmen wesentliche Dienste für Einrichtungen in diesen Sektoren (Lieferkette)?
- [ ] Gilt eine Sonderregelung, die Größenschwellen irrelevant macht (z. B. qualifizierter Vertrauensdienst)?
Schritt 2: Größenschwelle prüfen
- [ ] Beschäftigt mein Unternehmen 50 oder mehr Mitarbeitende?
- [ ] Liegt der Jahresumsatz bei mindestens 10 Millionen Euro oder die Jahresbilanzsumme entsprechend?
- [ ] Werden diese Schwellen auf Konzernebene inklusive verbundener Unternehmen überschritten?
Schritt 3: Einrichtungsklasse bestimmen
- [ ] Handle ich als wesentliche Einrichtung (Anlage 1, großes Unternehmen)?
- [ ] Handle ich als wichtige Einrichtung (Anlage 1 mittelgroß oder Anlage 2 mittelgroß/groß)?
Ergebnis: Wenn Sie in Schritt 1 mindestens eine Frage mit „Ja" beantwortet haben und in Schritt 2 die Größenschwellen erfüllen, sind Sie mit hoher Wahrscheinlichkeit von der NIS2-Richtlinie betroffen. Eine rechtssichere Beurteilung sollte jedoch durch einen Fachberater oder mit einer spezialisierten Compliance-Software erfolgen.
Konsequenzen bei Nichterfüllung: Was droht bei Verstößen?
Die Zeiten, in denen IT-Sicherheitspflichten ohne nennenswerte Konsequenzen ignoriert werden konnten, sind vorbei. § 65 BSIG definiert klare Bußgeldtatbestände:
Bußgelder nach § 65 BSIG
| Verstoß | Wesentliche Einrichtung | Wichtige Einrichtung |
|---|---|---|
| Fehlende Risikomanagementmaßnahmen (§ 30 BSIG) | bis 10 Mio. € / 2 % Umsatz | bis 7 Mio. € / 1,4 % Umsatz |
| Meldepflichtverletzung (§ 32 BSIG) | bis 10 Mio. € / 2 % Umsatz | bis 7 Mio. € / 1,4 % Umsatz |
| Registrierungspflichtverletzung (§ 33 BSIG) | bis 500.000 € | bis 500.000 € |
| Auskunftsverweigerung gegenüber BSI | bis 500.000 € | bis 500.000 € |
Persönliche Haftung von Geschäftsführern
Besonders gravierend: Gemäß § 38 BSIG können Geschäftsführer und Vorstandsmitglieder persönlich für Pflichtverletzungen haftbar gemacht werden. Das BSI kann zudem die vorübergehende Amtsenthebung von Leitungspersonen fordern, wenn schwerwiegende Verstöße vorliegen. Diese persönliche Haftung ist ein wesentlicher Unterschied zur bisherigen Regulierung und sollte Führungskräfte zu unmittelbarem Handeln veranlassen.
Konkrete Handlungsempfehlungen: So gehen Sie jetzt vor
Wenn Ihre Betroffenheitsprüfung ergibt, dass Sie unter NIS2 fallen – oder wenn noch Unklarheit besteht – empfehlen wir folgende Schritte:
-
Formale Betroffenheitsanalyse dokumentieren: Erstellen Sie ein schriftliches Dokument, das Ihre Sektorzugehörigkeit, Unternehmensgröße und die resultierende Einrichtungsklasse festhält. Dies ist bereits Teil Ihrer Compliance-Nachweispflicht.
-
Registrierung beim BSI vornehmen: Gemäß § 33 BSIG sind betroffene Einrichtungen verpflichtet, sich beim BSI zu registrieren. Nutzen Sie dafür das offizielle BSI-Portal (MELDIS).
-
Gap-Analyse durchführen: Vergleichen Sie Ihre bestehenden Informationssicherheitsmaßnahmen mit den Anforderungen aus § 30 BSIG (Risikomanagement, Zugriffskontrolle, Verschlüsselung, Business Continuity, Lieferkettenmanagement etc.).
-
ISMS aufbauen oder anpassen: Implementieren Sie ein Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001 oder dem BSI IT-Grundschutz als strukturierte Basis für Ihre NIS2-Compliance.
-
Meldeprozesse etablieren: Richten Sie interne Prozesse ein, um erhebliche Sicherheitsvorfälle fristgerecht zu melden: Erstmeldung innerhalb von 24 Stunden, Folgemeldung innerhalb von 72 Stunden, Abschlussbericht innerhalb von einem Monat (§ 32 BSIG).
-
Lieferkettenrisiken prüfen: Identifizieren Sie kritische Dienstleister und Zulieferer und bewerten Sie deren Sicherheitsniveau. Passen Sie Verträge entsprechend an (§ 30 Abs. 2 Nr. 4 BSIG).
-
Schulungen für Führungskräfte planen: § 38 BSIG verpflichtet Leitungsorgane ausdrücklich, an Schulungen zur Cybersicherheit teilzunehmen und Maßnahmen aktiv zu überwachen.
-
Rechtliche Beratung einholen: Insbesondere bei Unsicherheit über die Sektorzugehörigkeit oder Einrichtungsklasse empfiehlt sich die Einbindung eines auf IT-Recht spezialisierten Rechtsanwalts.
Häufige Missverständnisse bei der NIS2-Betroffenheitsprüfung
„Wir sind zu klein." Viele Unternehmen unterschätzen, dass bereits 50 Mitarbeitende und 10 Millionen Euro Jahresumsatz ausreichen, um in regulierten Sektoren betroffen zu sein.
„Wir sind kein IT-Unternehmen." NIS2 erfasst klassische Industrieunternehmen, Lebensmittelproduzenten, Krankenhäuser und sogar Abfallentsorger – nicht nur Technologiefirmen.
„Wir haben noch Zeit." Die Umsetzungsfrist ist längst abgelaufen. Das BSI hat die Aufsichtstätigkeit aufgenommen, und erste Verfahren wurden bereits eingeleitet. Zuwarten erhöht das Risiko erheblich.
„Unser Dienstleister ist zuständig." Die Verantwortung für die NIS2-Compliance liegt beim Leitungsorgan des betroffenen Unternehmens – nicht beim externen IT-Dienstleister (§ 38 BSIG).
Fazit: Jetzt handeln statt abwarten
Die NIS2-Betroffenheitsprüfung ist der unabdingbare erste Schritt auf dem Weg zur Compliance. Unternehmen in Deutschland, die in regulierten Sektoren tätig sind und die Größenschwellen von 50 Mitarbeitenden und 10 Millionen Euro Umsatz überschreiten, sollten ihre Betroffenheit nicht länger aufschieben – die Aufsichtsbehörden sind aktiv, und die Bußgeldrahmen sind erheblich.
Ihre nächsten Schritte auf einen Blick:
- ✅ Sektorzugehörigkeit anhand von Anlage 1 & 2 NIS2UmsuCG prüfen
- ✅ Unternehmensgröße verifizieren (inkl. verbundene Unternehmen)
- ✅ Einrichtungsklasse (wesentlich vs. wichtig) bestimmen
- ✅ Registrierung beim BSI veranlassen (§ 33 BSIG)
- ✅ Gap-Analyse und ISMS-Aufbau starten
- ✅ Melde- und Notfallprozesse einrichten
Werkzeuge für Ihre NIS2-Compliance
Die Betroffenheitsprüfung ist nur der Anfang. Wer NIS2-konform werden und bleiben will, benötigt strukturierte Prozesse, lückenlose Dokumentation und automatisierte Überwachung. Spezialisierte ISMS- und NIS2-Compliance-Softwarelösungen unterstützen Sie dabei, die Betroffenheitsanalyse rechtssicher zu dokumentieren, erforderliche Richtlinien und Nachweise automatisch zu generieren, Meldeprozesse workflow-gestützt abzubilden und Lieferkettenrisiken systematisch zu verwalten. Ein strukturierter Software-gestützter Ansatz spart nicht nur Zeit, sondern reduziert auch das Risiko, wichtige Anforderungen zu übersehen – ein entscheidender Vorteil angesichts der persönlichen Haftung von Geschäftsführern nach § 38 BSIG.
Quellen: BSI (bsi.bund.de), NIS2UmsuCG (BGBl. 2024), BSIG in der Fassung 2024, ENISA NIS2 Implementation Guidance 2024, EU-Richtlinie 2022/2555.