NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?
Veröffentlicht am 04. Juli 2026 | Lesezeit: ca. 10 Minuten
Die NIS2-Richtlinie der EU ist längst geltendes Recht – und viele Unternehmen in Deutschland stehen noch immer vor der entscheidenden Frage: Bin ich überhaupt betroffen? Mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) hat Deutschland den europäischen Rechtsrahmen in nationales Recht überführt. Grundlage für die Betroffenheitsprüfung ist insbesondere § 3 NIS2UmsuCG, der definiert, welche Einrichtungen unter die verschärften Anforderungen fallen.
Dieser Artikel führt Sie Schritt für Schritt durch die NIS2-Betroffenheitsprüfung, erklärt die relevanten Sektoren, Größenschwellen und Einrichtungstypen – und zeigt Ihnen, welche Konsequenzen drohen, wenn Sie die Pflichten ignorieren.
Was ist die NIS2-Richtlinie – und warum jetzt handeln?
Die Network and Information Security Directive 2 (NIS2, EU 2022/2555) ist die überarbeitete und deutlich schärfere Nachfolgeversion der ursprünglichen NIS-Richtlinie aus dem Jahr 2016. Sie erweitert den Anwendungsbereich erheblich: Waren in der ersten Fassung nur wenige hundert Unternehmen in Deutschland betroffen, schätzt das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Kreis der nun regulierten Einrichtungen auf potenziell 30.000 bis 40.000 Unternehmen allein in Deutschland.
Das NIS2UmsuCG setzt diese Vorgaben national um und enthält klare Regelungen zu:
- Registrierungspflichten beim BSI
- Meldepflichten bei Sicherheitsvorfällen
- Mindestanforderungen an technische und organisatorische Maßnahmen
- Haftung der Geschäftsführung
- Empfindliche Bußgelder bei Verstößen
Wer jetzt noch keine NIS2-Betroffenheitsprüfung durchgeführt hat, riskiert nicht nur hohe Bußgelder, sondern auch Haftungsrisiken für das Management persönlich.
Schritt 1: Fällt Ihr Sektor unter NIS2?
Der erste Schritt der NIS2-Betroffenheitsprüfung betrifft die sektorale Einordnung. Das NIS2UmsuCG unterscheidet zwischen zwei Gruppen von Sektoren, die in Anlage 1 (besonders kritische Sektoren) und Anlage 2 (weitere wichtige Sektoren) aufgeführt sind.
Anlage 1 – Sektoren mit hoher Kritikalität
Diese Sektoren gelten als besonders systemrelevant und unterliegen den strengsten Anforderungen:
| Sektor | Beispiele |
|---|---|
| Energie | Strom, Gas, Öl, Fernwärme, Wasserstoff |
| Verkehr | Luft-, Schienen-, Straßen- und Schifffahrt |
| Bankwesen | Kreditinstitute |
| Finanzmarktinfrastruktur | Handelsplätze, zentrale Gegenparteien |
| Gesundheit | Krankenhäuser, Labore, Pharmahersteller |
| Trinkwasser | Wasserversorger |
| Abwasser | Abwasserentsorgungsbetreiber |
| Digitale Infrastruktur | DNS-Anbieter, TLD-Registries, Cloud-Dienste, RZ-Betreiber |
| IKT-Servicemanagement (B2B) | Managed Service Provider, Managed Security Provider |
| Öffentliche Verwaltung | Bundes- und Landesbehörden |
| Weltraum | Betreiber von Bodeninfrastruktur |
Anlage 2 – Weitere wichtige Sektoren
Diese Sektoren sind ebenfalls reguliert, jedoch mit etwas weniger strengen Aufsichtsmechanismen:
| Sektor | Beispiele |
|---|---|
| Post- und Kurierdienste | Paketdienstleister, Briefdienste |
| Abfallbewirtschaftung | Entsorger, Recyclingunternehmen |
| Chemie | Produktion und Vertrieb gefährlicher Stoffe |
| Lebensmittel | Großhandel und industrielle Produktion |
| Verarbeitendes Gewerbe | Medizinprodukte, Maschinenbau, Kfz, Elektronik |
| Digitale Dienste | Online-Marktplätze, Suchmaschinen, soziale Netzwerke |
| Forschung | Forschungseinrichtungen |
Wichtig: Die bloße Zugehörigkeit zu einem dieser Sektoren reicht nicht aus. Es müssen zusätzlich die Größenkriterien erfüllt sein.
Schritt 2: Erfüllt Ihr Unternehmen die Größenkriterien?
Gemäß § 3 NIS2UmsuCG in Verbindung mit der EU-Empfehlung 2003/361/EG gelten folgende Schwellenwerte:
Größenklassen im Überblick
| Einrichtungstyp | Mitarbeiter | Jahresumsatz ODER Jahresbilanzsumme |
|---|---|---|
| Wesentliche Einrichtung (groß) | ≥ 250 MA | ≥ 50 Mio. € Umsatz oder ≥ 43 Mio. € Bilanz |
| Wichtige Einrichtung (mittel) | ≥ 50 MA | ≥ 10 Mio. € Umsatz oder ≥ 10 Mio. € Bilanz |
| Ausnahme: Unabhängig von der Größe | Keine Mindestgröße | Keine Mindestgröße |
Wann gilt die Größe nicht? – Ausnahmen nach § 3 NIS2UmsuCG
Es gibt Einrichtungstypen, bei denen die Größenkriterien nicht ausschlaggebend sind. Betroffen sind beispielsweise:
- Kritische Anlagen im Sinne des KRITIS-Dachgesetzes
- Vertrauensdiensteanbieter (qualifiziert und nicht qualifiziert)
- Top-Level-Domain-Registries und DNS-Dienstleister
- Öffentliche Verwaltung auf Bundes- und Landesebene
- Einrichtungen, die alleiniger Anbieter eines systemrelevanten Dienstes in einem Mitgliedsstaat sind
- Einrichtungen, bei denen ein Ausfall erhebliche Auswirkungen auf die öffentliche Sicherheit hätte
Praxistipp: Auch Unternehmen, die eigentlich unter den Schwellenwerten liegen, können durch ihre Funktion als kritischer Lieferant oder Betreiber essenzieller Infrastruktur in den Anwendungsbereich fallen. Eine Betroffenheitsprüfung sollte daher immer individuell und ganzheitlich erfolgen.
Schritt 3: Wesentliche oder wichtige Einrichtung?
Das NIS2UmsuCG unterscheidet zwei Kategorien regulierter Einrichtungen, die sich in Aufsichtsintensität und Bußgeldrahmen unterscheiden:
Wesentliche Einrichtungen (Essential Entities)
- Unternehmen aus Anlage 1 mit ≥ 250 Mitarbeitern oder ≥ 50 Mio. € Umsatz
- Unterliegen der proaktiven Aufsicht durch das BSI (anlassunabhängige Prüfungen möglich)
- Bußgeldrahmen: bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes (§ 65 BSIG), je nachdem, welcher Betrag höher ist
Wichtige Einrichtungen (Important Entities)
- Unternehmen aus Anlage 1 (mittlere Größe) oder Anlage 2 (mittlere und große Unternehmen)
- Unterliegen der reaktiven Aufsicht (BSI prüft bei Vorfällen oder Hinweisen)
- Bußgeldrahmen: bis zu 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes (§ 65 BSIG)
Selbsttest: Bin ich NIS2-pflichtig?
Nutzen Sie diese kompakte Checkliste für eine erste Einschätzung Ihrer Betroffenheit:
Schnell-Checkliste zur NIS2-Betroffenheitsprüfung
- [ ] Schritt 1 – Sektorcheck: Ist mein Unternehmen in einem Sektor aus Anlage 1 oder Anlage 2 tätig?
- [ ] Schritt 2 – Größencheck: Hat mein Unternehmen mindestens 50 Mitarbeiter und/oder einen Jahresumsatz von mindestens 10 Mio. €?
- [ ] Schritt 3 – Ausnahmeprüfung: Fällt mein Unternehmen unter eine der sektorunabhängigen Ausnahmen (z. B. kritische Anlage, alleiniger Anbieter)?
- [ ] Schritt 4 – Lieferkette: Bin ich als Zulieferer oder Dienstleister für eine regulierte Einrichtung tätig und muss ich deshalb deren Anforderungen erfüllen?
- [ ] Schritt 5 – Registrierung: Habe ich mein Unternehmen beim BSI registriert (Registrierungspflicht laut § 33 NIS2UmsuCG)?
Tipp: Wenn Sie auch nur eine dieser Fragen mit „Ja" beantworten, sollten Sie umgehend eine vollständige NIS2-Betroffenheitsanalyse durchführen und einen Compliance-Fahrplan aufsetzen.
Was droht bei Nichterfüllung? Bußgelder nach § 65 BSIG
Das NIS2UmsuCG enthält klare Sanktionsmechanismen, die in § 65 BSIG geregelt sind. Die Bußgelder orientieren sich am weltweiten Jahresumsatz und können erhebliche Ausmaße annehmen:
| Verstoß | Wesentliche Einrichtung | Wichtige Einrichtung |
|---|---|---|
| Schwerwiegende Pflichtverletzung | Bis 10 Mio. € oder 2 % Umsatz | Bis 7 Mio. € oder 1,4 % Umsatz |
| Nicht-Registrierung beim BSI | Bußgeld möglich | Bußgeld möglich |
| Verspätete Meldung von Vorfällen | Bußgeld möglich | Bußgeld möglich |
| Fehlende Risikomanaßnahmen | Bußgeld möglich | Bußgeld möglich |
Persönliche Haftung der Geschäftsführung
Besonders brisant: Das NIS2UmsuCG sieht eine persönliche Haftung von Geschäftsführern und Vorständen vor. Gemäß § 38 NIS2UmsuCG müssen Leitungsorgane die Umsetzung von Cybersicherheitsmaßnahmen aktiv überwachen – und können bei grober Fahrlässigkeit persönlich in Regress genommen werden. Eine D&O-Versicherung schützt hier nur bedingt, wenn grundlegende Compliance-Pflichten dauerhaft ignoriert wurden.
Handlungsempfehlungen: Was jetzt zu tun ist
Wenn Ihre Betroffenheitsprüfung ergibt, dass Ihr Unternehmen unter NIS2 fällt, empfehlen wir folgende Schritte:
-
Betroffenheit formal dokumentieren: Halten Sie schriftlich fest, auf welcher Grundlage (Sektor, Größe, Ausnahme) Ihre Einrichtung als wesentlich oder wichtig eingestuft wird. Dies ist auch für spätere Audits relevant.
-
BSI-Registrierung durchführen: Gemäß § 33 NIS2UmsuCG sind betroffene Einrichtungen verpflichtet, sich beim BSI zu registrieren. Nutzen Sie dafür das offizielle BSI-Meldeportal.
-
Gap-Analyse durchführen: Vergleichen Sie Ihren aktuellen Cybersicherheitsstand mit den Anforderungen aus § 30 NIS2UmsuCG (Risikomanagement). Identifizieren Sie Lücken in den Bereichen Incident Response, Backup, Lieferkettensicherheit und Kryptographie.
-
ISMS aufbauen oder anpassen: Viele der NIS2-Anforderungen lassen sich effizient über ein Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001 abdecken. Nutzen Sie bestehende Frameworks, um Doppelarbeit zu vermeiden.
-
Meldeprozesse implementieren: NIS2 schreibt eine 24-Stunden-Erstmeldung bei erheblichen Sicherheitsvorfällen vor (§ 32 NIS2UmsuCG), gefolgt von einem Zwischenbericht nach 72 Stunden und einem Abschlussbericht nach einem Monat.
-
Lieferkette prüfen: Überprüfen Sie, ob kritische Zulieferer und Dienstleister ihrerseits NIS2-konform sind. Die Sorgfaltspflicht in der Lieferkette ist explizit Teil des Risikomanagements nach § 30 NIS2UmsuCG.
-
Schulungen und Awareness: Sensibilisieren Sie Mitarbeiter und – besonders wichtig – die Leitungsebene für Cybersicherheitsrisiken. Die Geschäftsführung muss laut § 38 NIS2UmsuCG nachweisbar geschult sein.
-
Regelmäßige Überprüfung planen: NIS2-Compliance ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Planen Sie jährliche interne Audits und ggf. externe Zertifizierungen ein.
Fazit: Jetzt handeln – nicht warten
Die NIS2-Betroffenheitsprüfung ist der unverzichtbare erste Schritt auf dem Weg zur Compliance. Wer seinen Sektor kennt, die Größenkriterien geprüft hat und die richtige Einrichtungskategorie bestimmt, kann gezielt und effizient handeln – statt auf Verdacht Ressourcen zu verschwenden oder im schlimmsten Fall hohe Bußgelder zu riskieren.
Die wichtigsten nächsten Schritte zusammengefasst:
- Sektorale Zuordnung prüfen (Anlage 1 oder 2)
- Mitarbeiterzahl und Umsatzschwellen analysieren
- Einrichtungstyp bestimmen (wesentlich oder wichtig)
- BSI-Registrierung vornehmen
- ISMS und Risikomanagement aufbauen
- Meldeprozesse etablieren
Die Zeit des Abwartens ist vorbei. Betroffene Unternehmen, die noch nicht gehandelt haben, sollten spätestens jetzt konkrete Maßnahmen ergreifen.
Tools und Software für Ihre NIS2-Compliance
Die NIS2-Betroffenheitsprüfung und die anschließende Umsetzung der Compliance-Maßnahmen sind komplex – aber mit den richtigen Werkzeugen deutlich leichter zu bewältigen. Spezialisierte ISMS- und Compliance-Management-Plattformen unterstützen Sie dabei, Ihre Betroffenheit strukturiert zu dokumentieren, Risiken zu bewerten, Maßnahmen zu verwalten und Nachweise revisionssicher zu speichern. Viele dieser Lösungen bieten integrierte NIS2-Frameworks, vorausgefüllte Richtlinienvorlagen und automatisierte Erinnerungen für Meldepflichten – und sparen damit erheblich Zeit und Kosten gegenüber einer rein manuellen Umsetzung in Excel-Tabellen. Eine Investition in geeignete Compliance-Software zahlt sich erfahrungsgemäß schon nach wenigen Monaten aus.
Quellen und Referenzen: NIS2UmsuCG (BGBl. 2024 I Nr. 1), EU-Richtlinie 2022/2555 (NIS2), BSI-Gesetz (BSIG), ENISA Threat Landscape 2025, BSI Lagebericht IT-Sicherheit 2025