NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?

Veröffentlicht am 19. Mai 2026 | Lesedauer: ca. 8 Minuten

Die NIS2-Richtlinie ist längst kein Zukunftsthema mehr – sie ist geltendes Recht in Deutschland. Mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) und den entsprechenden Änderungen am Bundesamt für Sicherheit in der Informationstechnik-Gesetz (BSIG) müssen tausende Unternehmen in Deutschland ihre Cybersicherheitsmaßnahmen grundlegend überdenken. Doch viele Geschäftsführer und IT-Verantwortliche stellen sich noch immer dieselbe Frage: Bin ich überhaupt betroffen?

Dieser Artikel liefert Ihnen eine strukturierte NIS2-Betroffenheitsprüfung für Ihr Unternehmen in Deutschland – mit klaren Kriterien, einem praktischen Selbsttest und konkreten nächsten Schritten für 2025 und 2026.

Was regelt §3 NIS2UmsuCG – und warum ist er entscheidend?

Der §3 NIS2UmsuCG definiert den Anwendungsbereich des Gesetzes und legt fest, welche Organisationen als „wesentliche Einrichtungen" oder „wichtige Einrichtungen" einzustufen sind. Die Norm unterscheidet dabei nach Sektorzugehörigkeit und Unternehmensgröße. Wer unter diese Definition fällt, unterliegt umfangreichen Pflichten – von der Registrierungspflicht beim BSI über technische Sicherheitsmaßnahmen bis hin zur Meldepflicht bei Sicherheitsvorfällen.

Ein häufiger Irrtum: Viele Unternehmen gehen davon aus, dass sie als mittelständisches Unternehmen nicht betroffen sind. Die Realität ist eine andere. Das BSI schätzt, dass allein in Deutschland über 29.000 Unternehmen in den Anwendungsbereich fallen – deutlich mehr als unter der Vorgängerregelung (KRITIS).

Schritt 1: Gehört Ihr Unternehmen zu einem betroffenen Sektor?

Die NIS2-Richtlinie unterscheidet zwei Kategorien von Sektoren, die in den Anlagen 1 und 2 des NIS2UmsuCG aufgelistet sind.

Anlage 1 – Sektoren mit hoher Kritikalität (potenziell „wesentliche Einrichtungen")

Anlage 2 – Sonstige kritische Sektoren (potenziell „wichtige Einrichtungen")

Wichtig: Allein die Sektorzugehörigkeit reicht nicht aus. Im zweiten Schritt müssen Sie die Größenkriterien prüfen.

Schritt 2: Erfüllt Ihr Unternehmen die Größenkriterien?

Gemäß §3 NIS2UmsuCG gelten für die meisten Sektoren folgende Schwellenwerte:

Größenklassen nach EU-Empfehlung 2003/361/EG

• Mittlere Unternehmen: 50 oder mehr Mitarbeitende UND Jahresumsatz oder Jahresbilanzsumme über 10 Millionen Euro
• Große Unternehmen: 250 oder mehr Mitarbeitende UND Jahresumsatz über 50 Millionen Euro oder Jahresbilanzsumme über 43 Millionen Euro

Faustregel: Ab 50 Mitarbeitenden und 10 Millionen Euro Umsatz in einem der genannten Sektoren sind Sie wahrscheinlich betroffen.

Ausnahmen: Wer fällt unabhängig von der Größe darunter?

In bestimmten Fällen greift die NIS2-Pflicht unabhängig von der Unternehmensgröße:

• Anbieter öffentlicher elektronischer Kommunikationsnetze oder -dienste
• Vertrauensdiensteanbieter (qualifiziert und nicht qualifiziert)
• Top-Level-Domain-Registries und DNS-Diensteanbieter
• Einrichtungen, die als einziger Anbieter eines Dienstes in einem Mitgliedstaat gelten
• Kritische Anlagen, die vom BSI als besonders bedeutsam eingestuft werden

Schritt 3: Wesentliche oder wichtige Einrichtung – was ist der Unterschied?

Die Einstufung hat erhebliche praktische Konsequenzen, insbesondere bei Aufsicht und Bußgeldhöhe.

Wesentliche Einrichtungen (§28 Abs. 1 BSIG)

• Große Unternehmen aus Anlage-1-Sektoren
• Mittlere Unternehmen aus bestimmten Anlage-1-Sektoren (z. B. Digitale Infrastruktur)
• Öffentliche Verwaltung auf Bundes- und Landesebene
• Proaktive Aufsicht durch das BSI (ex-ante)
• Höhere Bußgelder bei Verstößen

Wichtige Einrichtungen (§28 Abs. 2 BSIG)

• Mittlere und große Unternehmen aus Anlage-2-Sektoren
• Mittlere Unternehmen aus Anlage-1-Sektoren (sofern nicht wesentlich)
• Reaktive Aufsicht durch das BSI (ex-post, nach Hinweisen oder Vorfällen)
• Geringere, aber dennoch erhebliche Bußgelder

Selbsttest: NIS2-Betroffenheitsprüfung in 5 Fragen

Beantworten Sie die folgenden Fragen, um eine erste Einschätzung zu erhalten:

Frage 1: Ist Ihr Unternehmen in einem der Sektoren aus Anlage 1 oder Anlage 2 des NIS2UmsuCG tätig?
→ Nein: Sie sind voraussichtlich nicht betroffen. Prüfen Sie dennoch, ob Lieferkettenpflichten relevant sind.
→ Ja: Weiter zu Frage 2.

Frage 2: Beschäftigt Ihr Unternehmen 50 oder mehr Mitarbeitende?
→ Nein: Prüfen Sie die Sonderregelungen (z. B. Vertrauensdiensteanbieter). Ansonsten voraussichtlich nicht betroffen.
→ Ja: Weiter zu Frage 3.

Frage 3: Liegt Ihr Jahresumsatz oder Ihre Jahresbilanzsumme über 10 Millionen Euro?
→ Nein: Voraussichtlich nicht betroffen (Ausnahmen prüfen).
→ Ja: Sie fallen wahrscheinlich unter NIS2. Weiter zu Frage 4.

Frage 4: Gehören Sie zu einem Sektor der Anlage 1 und haben Sie 250+ Mitarbeitende oder >50 Mio. € Umsatz?
→ Ja: Sie sind wahrscheinlich eine wesentliche Einrichtung.
→ Nein: Sie sind wahrscheinlich eine wichtige Einrichtung.

Frage 5: Sind Sie Anbieter kritischer Dienste ohne Alternative im deutschen Markt?
→ Ja: Besondere Prüfung durch das BSI empfohlen – unabhängig von Größenkriterien.

Konsequenzen bei Nichterfüllung: §65 BSIG lässt keine Spielräume

Wer die NIS2-Pflichten ignoriert, riskiert empfindliche Sanktionen. Der §65 BSIG regelt die Bußgeldtatbestände:

• Wesentliche Einrichtungen: Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (der höhere Betrag gilt)
• Wichtige Einrichtungen: Bußgelder bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes

Zusätzlich kann das BSI:
- Die persönliche Haftung der Geschäftsleitung geltend machen (§38 BSIG)
- Betriebseinschränkungen anordnen
- Zertifizierungen aussetzen oder entziehen
- Unternehmen öffentlich benennen (sogenanntes „Naming and Shaming")

Besonders relevant: Die Haftung der Geschäftsleitung nach §38 BSIG ist neu und unterscheidet NIS2 fundamental von früheren Regelungen. Geschäftsführer und Vorstände können persönlich für Verstöße haftbar gemacht werden, wenn sie die Umsetzung von Cybersicherheitsmaßnahmen nicht ausreichend überwacht haben.

Konkrete Handlungsempfehlungen: 7 Schritte zur NIS2-Compliance

Wenn Sie festgestellt haben, dass Ihr Unternehmen betroffen ist, empfehlen wir folgende strukturierte Vorgehensweise:

1. Betroffenheit formell bestätigen lassen: Beauftragen Sie einen internen oder externen Compliance-Spezialisten mit der rechtssicheren Einstufung gemäß §3 NIS2UmsuCG – Selbsteinschätzungen reichen nicht immer aus.

2. Beim BSI registrieren: Betroffene Einrichtungen müssen sich beim BSI registrieren. Nutzen Sie das BSI-Meldeportal (MELDP) und halten Sie Kontaktdaten und Sektorangaben aktuell.

3. Risikoanalyse und ISMS aufbauen: Gemäß §30 BSIG müssen Sie geeignete technische und organisatorische Maßnahmen (TOM) implementieren. Ein ISMS nach ISO/IEC 27001 bildet hierfür die ideale Grundlage.

4. Incident-Response-Prozesse etablieren: NIS2 schreibt klare Meldepflichten vor: erste Meldung innerhalb von 24 Stunden, detaillierter Bericht innerhalb von 72 Stunden, Abschlussbericht nach einem Monat (§32 BSIG).

5. Lieferkette prüfen: Auch Ihre Zulieferer und Dienstleister können Ihre NIS2-Pflichten beeinflussen. §30 Abs. 2 BSIG verlangt Sicherheitsanforderungen in der Lieferkette.

6. Mitarbeiterschulungen durchführen: Die Geschäftsleitung muss gemäß §38 BSIG Cybersicherheitsschulungen absolvieren und sicherstellen, dass das gesamte Unternehmen sensibilisiert ist.

7. Dokumentation lückenlos führen: Alle Maßnahmen, Risikoanalysen, Schulungen und Vorfälle müssen nachweisbar dokumentiert sein – als Grundlage für behördliche Prüfungen.

Häufige Missverständnisse zur NIS2-Betroffenheit

„Wir sind kein KRITIS-Betreiber, also gilt NIS2 nicht für uns."
Falsch. NIS2 geht deutlich über den bisherigen KRITIS-Rahmen hinaus. Viele mittelständische Unternehmen in der Fertigungs- oder Chemieindustrie fallen erstmals in den Anwendungsbereich.

„Als GmbH mit 60 Mitarbeitenden sind wir zu klein."
Das kommt auf den Sektor an. In der digitalen Infrastruktur oder im Gesundheitswesen können auch Unternehmen ab 50 Mitarbeitenden bereits als wesentliche Einrichtungen gelten.

„Unsere ISO-27001-Zertifizierung reicht aus."
ISO 27001 ist ein exzellentes Fundament, aber keine vollständige NIS2-Compliance. Spezifische Anforderungen wie die BSI-Registrierung, gesetzliche Meldepflichten oder die Lieferkettenprüfung gehen darüber hinaus.

Fazit: Jetzt handeln, bevor das BSI anklopft

Die NIS2-Betroffenheitsprüfung ist der erste und wichtigste Schritt auf dem Weg zur Compliance. Viele Unternehmen unterschätzen dabei, wie weit der Anwendungsbereich des NIS2UmsuCG reicht – und wie konkret die Haftungsrisiken für Geschäftsführer und Vorstände nach §38 BSIG geworden sind.

Ihre nächsten Schritte zusammengefasst:

• ✅ Sektorzugehörigkeit anhand Anlage 1 und 2 prüfen
• ✅ Größenkriterien (50+ MA, 10 Mio. € Umsatz) verifizieren
• ✅ Einrichtungstyp (wesentlich vs. wichtig) bestimmen
• ✅ BSI-Registrierung einleiten
• ✅ Lückenanalyse (Gap-Analysis) gegenüber §30 BSIG durchführen
• ✅ ISMS und Incident-Response-Prozesse dokumentieren

Nächster Schritt: Betroffenheit digital prüfen und ISMS-Dokumentation aufbauen

Wenn Sie die Betroffenheitsprüfung strukturiert angehen möchten, empfiehlt sich der Einsatz einer spezialisierten NIS2-Compliance-Software. Moderne Tools unterstützen Sie dabei, Ihre Sektorzugehörigkeit automatisiert zu prüfen, eine Risikoanalyse nach §30 BSIG zu erstellen, ISMS-Dokumente gesetzeskonform zu generieren und Meldepflichten fristgerecht zu verwalten. Anbieter wie Compliance-Management-Plattformen mit NIS2-Modulen helfen IT-Verantwortlichen, den Überblick zu behalten – und im Falle einer BSI-Prüfung lückenlos dokumentiert zu sein. Eine gezielte Suche nach „NIS2 Compliance Software Deutschland" liefert Ihnen aktuelle Anbietervergleiche.

Rechtlicher Hinweis: Dieser Artikel dient der allgemeinen Information und ersetzt keine individuelle Rechts- oder Compliance-Beratung. Für eine verbindliche Einstufung Ihres Unternehmens empfehlen wir die Konsultation eines auf IT-Recht spezialisierten Anwalts oder zertifizierten NIS2-Beraters.