NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?
Veröffentlicht am 03. Juli 2026 | Lesedauer: ca. 8 Minuten
Seit dem Inkrafttreten des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) stehen tausende deutsche Unternehmen vor einer entscheidenden Frage: Bin ich betroffen – und wenn ja, was muss ich tun? Die Antwort ist nicht immer trivial, denn die Richtlinie unterscheidet nach Sektoren, Unternehmensgrößen und Kritikalitätsstufen. Wer die eigene Betroffenheit falsch einschätzt, riskiert empfindliche Bußgelder nach §65 BSIG. Dieser Artikel liefert Ihnen eine strukturierte Betroffenheitsprüfung – praxisnah, rechtssicher und direkt anwendbar.
Was ist die NIS2-Richtlinie und wen betrifft sie?
Die NIS2-Richtlinie (EU 2022/2555) ist die überarbeitete Fassung der ursprünglichen Netz- und Informationssicherheits-Richtlinie aus dem Jahr 2016. In Deutschland wurde sie durch das NIS2UmsuCG in nationales Recht überführt und im Wesentlichen im Bundesamt für Sicherheit in der Informationstechnik-Gesetz (BSIG) verankert. §3 NIS2UmsuCG definiert den Anwendungsbereich und legt fest, welche Einrichtungen als „wesentlich" oder „wichtig" eingestuft werden.
Im Vergleich zur Vorgängerregelung hat sich der Anwendungsbereich massiv ausgeweitet: Statt einiger hundert kritischer Betreiber fallen nun schätzungsweise über 30.000 Unternehmen in Deutschland unter die neuen Pflichten. Das BSI geht sogar von bis zu 40.000 betroffenen Einrichtungen aus.
Schritt 1: Prüfung der Sektorenzugehörigkeit
Der erste und wichtigste Prüfschritt ist die Zuordnung zu einem der regulierten Sektoren. Das NIS2UmsuCG unterscheidet dabei zwischen zwei Anlagen:
Anlage 1 – Sektoren hoher Kritikalität (wesentliche Einrichtungen)
Unternehmen in diesen Sektoren unterliegen den strengsten Anforderungen und werden als „wesentliche Einrichtungen" eingestuft:
- Energie (Strom, Gas, Fernwärme, Öl, Wasserstoff)
- Verkehr (Luft, Bahn, Schiff, Straße)
- Bankwesen und Finanzmarktinfrastrukturen
- Gesundheitswesen (Krankenhäuser, Labore, Pharmahersteller)
- Trinkwasser und Abwasser
- Digitale Infrastrukturen (DNS-Betreiber, TLD-Registrare, Rechenzentren)
- IKT-Dienstleistungsmanagement (B2B-Managed-Service-Provider)
- Weltraum (Betreiber von Bodeninfrastruktur)
- Öffentliche Verwaltung (Bundes- und Landesbehörden)
Anlage 2 – Sonstige kritische Sektoren (wichtige Einrichtungen)
Diese Einrichtungen unterliegen ebenfalls der NIS2, allerdings mit leicht reduzierten Aufsichtsintensitäten:
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Chemische Industrie (Herstellung und Handel)
- Lebensmittelproduktion und -vertrieb
- Verarbeitendes Gewerbe / Maschinenbau (inkl. Automobilindustrie)
- Digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
- Forschungseinrichtungen
Wichtiger Hinweis: Die Sektorzugehörigkeit allein reicht nicht aus. Im zweiten Schritt müssen die Größenkriterien erfüllt sein – mit einer wichtigen Ausnahme (siehe unten).
Schritt 2: Größenkriterien nach §3 NIS2UmsuCG
Der Gesetzgeber hat klare Schwellenwerte definiert, ab denen eine Einrichtung reguliert wird:
| Kriterium | Wesentliche Einrichtung | Wichtige Einrichtung |
|---|---|---|
| Mitarbeiterzahl | ≥ 250 Mitarbeitende | ≥ 50 Mitarbeitende |
| Jahresumsatz | > 50 Mio. Euro | > 10 Mio. Euro |
| Jahresbilanzsumme | > 43 Mio. Euro | > 10 Mio. Euro |
| Sektorzugehörigkeit | Anlage 1 | Anlage 1 oder 2 |
Für die Einstufung als wichtige Einrichtung genügt es, wenn entweder der Umsatz oder die Bilanzsumme den Schwellenwert von 10 Millionen Euro übersteigt – und das Unternehmen mindestens 50 Mitarbeitende beschäftigt.
Ausnahmen: Wann gelten die Größenschwellen nicht?
Es gibt Konstellationen, in denen Unternehmen unabhängig von ihrer Größe unter NIS2 fallen:
- Qualifizierte Vertrauensdiensteanbieter und DNS-Dienste-Anbieter werden stets als wesentliche Einrichtungen eingestuft
- TLD-Namenregister unterliegen der Richtlinie ohne Größenbeschränkung
- Unternehmen, die als einziger Anbieter eines Dienstleistungssektors in einem Mitgliedstaat tätig sind
- Betreiber, bei denen ein Ausfall erhebliche Auswirkungen auf die öffentliche Sicherheit oder auf andere regulierte Einrichtungen hätte
Das BSI kann zudem nach §3 Abs. 3 NIS2UmsuCG einzelne Einrichtungen durch Verwaltungsakt als wesentlich oder wichtig klassifizieren, wenn besondere Umstände dies rechtfertigen.
Schritt 3: Interaktiver Selbsttest – Bin ich betroffen?
Nutzen Sie den folgenden Schnelltest, um Ihre vorläufige Betroffenheit einzuschätzen:
Checkliste zur NIS2-Betroffenheitsprüfung
Block A – Sektorzugehörigkeit
- [ ] Mein Unternehmen ist in einem der Sektoren aus Anlage 1 tätig (Energie, Verkehr, Gesundheit, etc.)
- [ ] Mein Unternehmen ist in einem der Sektoren aus Anlage 2 tätig (Lebensmittel, Chemie, Maschinenbau, etc.)
Block B – Unternehmensgröße
- [ ] Wir beschäftigen 250 oder mehr Mitarbeitende und erzielen einen Jahresumsatz von über 50 Mio. Euro → Prüfung auf wesentliche Einrichtung
- [ ] Wir beschäftigen 50 oder mehr Mitarbeitende und erzielen einen Jahresumsatz von über 10 Mio. Euro → Prüfung auf wichtige Einrichtung
Block C – Automatische Betroffenheit (größenunabhängig)
- [ ] Wir sind qualifizierter Vertrauensdiensteanbieter
- [ ] Wir betreiben kritische DNS-Dienste oder TLD-Register
- [ ] Wir sind der einzige Anbieter unserer Art in Deutschland
- [ ] Das BSI hat uns schriftlich als regulierte Einrichtung eingestuft
Auswertung:
- Block A + Block B (obere Zeile): Sie sind voraussichtlich eine wesentliche Einrichtung
- Block A + Block B (untere Zeile): Sie sind voraussichtlich eine wichtige Einrichtung
- Block C (mindestens ein Haken): Sie sind reguliert, unabhängig von Größe oder Sektor
- Keine Haken: Sie fallen wahrscheinlich nicht unter NIS2 – lassen Sie es dennoch juristisch verifizieren
Wesentliche vs. wichtige Einrichtungen: Die Unterschiede im Überblick
Die Unterscheidung ist nicht nur akademisch – sie hat direkte Auswirkungen auf Aufsichtsintensität, Meldepflichten und Bußgeldrahmen:
| Merkmal | Wesentliche Einrichtung | Wichtige Einrichtung |
|---|---|---|
| Aufsicht | Proaktiv (ex-ante) durch BSI | Reaktiv (ex-post), anlassbezogen |
| Sicherheitsanforderungen | Vollumfänglich nach §30 BSIG | Vollumfänglich nach §30 BSIG |
| Meldepflichten | Vollumfänglich nach §32 BSIG | Vollumfänglich nach §32 BSIG |
| Registrierungspflicht | Ja, beim BSI | Ja, beim BSI |
| Max. Bußgeld | 10 Mio. € oder 2 % des weltweiten Jahresumsatzes | 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes |
| Geschäftsführerhaftung | Ja, §38 BSIG | Ja, §38 BSIG |
Was sind die konkreten Pflichten bei Betroffenheit?
Wer unter NIS2 fällt, muss eine Reihe von Maßnahmen umsetzen. Die Kernanforderungen nach §30 BSIG umfassen:
- Risikoanalyse und Sicherheitskonzept: Systematische Bewertung von Cyberrisiken für alle informationsverarbeitenden Systeme
- Incident Response: Dokumentierte Pläne zur Behandlung von Sicherheitsvorfällen
- Business Continuity Management (BCM): Backup-Strategien, Notfallpläne, Krisenmanagement
- Supply-Chain-Sicherheit: Überprüfung und vertragliche Absicherung von Lieferanten und Dienstleistern
- Sicherheit in der Softwareentwicklung: Secure-by-Design-Prinzipien bei eigens entwickelter Software
- Schulungen und Awareness: Regelmäßige Trainings für Mitarbeitende und Management
- Kryptografie und Verschlüsselung: Einsatz angemessener kryptografischer Verfahren
- Multi-Faktor-Authentifizierung (MFA): Verpflichtend für privilegierte Zugänge
Die Registrierungspflicht beim BSI (§33 BSIG) muss innerhalb von drei Monaten nach Feststellung der Betroffenheit erfüllt werden.
Konsequenzen bei Nichterfüllung: §65 BSIG und Geschäftsführerhaftung
Die finanziellen Risiken sind erheblich. Nach §65 BSIG können folgende Sanktionen verhängt werden:
- Wesentliche Einrichtungen: bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (der höhere Wert gilt)
- Wichtige Einrichtungen: bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes
Besonders gravierend: Nach §38 BSIG können Geschäftsführer und Vorstände persönlich haftbar gemacht werden, wenn sie die Umsetzung von Sicherheitsmaßnahmen schuldhaft vernachlässigt haben. Eine Enthaftung durch D&O-Versicherung ist in diesem Kontext begrenzt wirksam, da Vorsatz und grobe Fahrlässigkeit nicht versicherbar sind.
Das BSI hat zudem die Möglichkeit, bei wesentlichen Einrichtungen die Zulassung zur Ausübung der Managementtätigkeit temporär zu untersagen – ein Instrument, das in der Praxis erheblichen Druck erzeugt.
7 konkrete Handlungsempfehlungen für betroffene Unternehmen
-
Betroffenheit offiziell dokumentieren: Erstellen Sie ein internes Dokument, das Ihre Sektorzugehörigkeit, Mitarbeiterzahl und Umsatzdaten belegt und die Einstufung als wesentliche oder wichtige Einrichtung begründet.
-
Beim BSI registrieren: Nutzen Sie das Online-Registrierungsportal des BSI und erfüllen Sie die Meldepflicht aus §33 BSIG fristgerecht. Prüfen Sie, ob Ihre Registrierung noch aktuell ist.
-
Gap-Analyse durchführen: Vergleichen Sie Ihren aktuellen Sicherheitsstatus mit den Anforderungen des §30 BSIG. Das BSI-Grundschutz-Kompendium und ISO/IEC 27001 bieten geeignete Referenzrahmen.
-
ISMS einführen oder anpassen: Ein Information Security Management System (ISMS) nach ISO 27001 bildet das strukturelle Rückgrat für NIS2-Compliance. Falls vorhanden, überprüfen Sie die Aktualität aller Richtlinien und Prozesse.
-
Lieferkette prüfen: Inventarisieren Sie alle kritischen Drittanbieter und fordern Sie Nachweise zu deren Sicherheitsmaßnahmen ein. Verankern Sie NIS2-Anforderungen in neuen Verträgen.
-
Meldeprozesse etablieren: Implementieren Sie einen Prozess für die 24-Stunden-Erstmeldung und 72-Stunden-Folgemeldung bei erheblichen Sicherheitsvorfällen gemäß §32 BSIG.
-
Geschäftsleitung sensibilisieren: Organisieren Sie eine dedizierte Schulung für Geschäftsführung und Vorstand zum Thema NIS2-Haftung. Das persönliche Haftungsrisiko nach §38 BSIG ist ein starkes Argument für proaktives Handeln.
Fazit: Jetzt handeln, bevor das BSI es tut
Die NIS2-Betroffenheitsprüfung ist kein einmaliger Akt, sondern ein kontinuierlicher Prozess – denn Unternehmen können durch Wachstum, Akquisitionen oder Sektorveränderungen nachträglich in den Geltungsbereich fallen. §3 NIS2UmsuCG definiert die Kriterien klar, doch die korrekte Anwendung auf den eigenen Unternehmenskontext erfordert sorgfältige Analyse.
Ihre nächsten Schritte auf einen Blick:
1. Sektorzugehörigkeit anhand der Anlagen 1 und 2 prüfen
2. Mitarbeiterzahl und Umsatz mit den Schwellenwerten abgleichen
3. Betroffenheit intern dokumentieren und rechtlich absichern lassen
4. BSI-Registrierung vornehmen oder aktualisieren
5. Gap-Analyse starten und ISMS-Projekt aufsetzen
Nächster Schritt: Betroffenheitsprüfung digital und revisionssicher dokumentieren
Wenn Sie Ihre NIS2-Betroffenheit professionell und nachweisbar dokumentieren möchten, empfiehlt sich der Einsatz einer spezialisierten NIS2-Compliance-Software. Moderne ISMS-Plattformen bieten integrierte Betroffenheitsprüfungen, automatisch generierte Richtlinien-Dokumente und strukturierte Workflows für Meldepflichten und Risikoanalysen. So erfüllen Sie nicht nur die formalen Anforderungen des BSI, sondern schaffen auch intern eine auditfähige Dokumentationsgrundlage – ein entscheidender Vorteil bei BSI-Prüfungen oder im Schadensfall. Informieren Sie sich über Tools, die speziell auf die Anforderungen des NIS2UmsuCG und das BSIG ausgerichtet sind und eine lückenlose Nachweisführung ermöglichen.
Dieser Artikel wurde auf Basis des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG), des BSIG sowie der ENISA-Leitlinien zur NIS2-Implementierung erstellt. Er dient der allgemeinen Information und ersetzt keine individuelle Rechts- oder Compliance-Beratung.