NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?

Veröffentlicht am 05. Juli 2026 | Lesedauer: ca. 8 Minuten


Die NIS2-Richtlinie ist seit Oktober 2024 in deutsches Recht überführt – und trotzdem kämpfen viele Unternehmen noch immer mit einer grundlegenden Frage: Bin ich überhaupt betroffen? Die Antwort darauf ist keine Kleinigkeit. Wer fälschlicherweise annimmt, nicht unter das NIS2-Umsetzungsgesetz (NIS2UmsuCG) zu fallen, riskiert empfindliche Bußgelder nach §65 BSIG – und schlimmstenfalls persönliche Haftung der Geschäftsführung. Dieser Artikel führt Sie Schritt für Schritt durch die NIS2-Betroffenheitsprüfung für Unternehmen in Deutschland und gibt Ihnen konkrete Handlungsempfehlungen für 2025 und darüber hinaus.


Was regelt §3 NIS2UmsuCG genau?

§3 des NIS2-Umsetzungsgesetzes definiert den persönlichen Anwendungsbereich der Richtlinie. Er bestimmt, welche Einrichtungen als „wesentlich" oder „wichtig" eingestuft werden und damit den umfangreichen Pflichtenkatalog des Gesetzes erfüllen müssen. Die Norm setzt die europäische NIS2-Richtlinie (EU 2022/2555) in nationales Recht um und verweist dabei auf zwei Anlagenlisten, die die betroffenen Sektoren abschließend benennen.

Entscheidend ist: Die Betroffenheit ergibt sich nicht aus einer behördlichen Einstufung, sondern aus einer Selbsteinschätzung des Unternehmens – kombiniert mit einer Registrierungspflicht beim Bundesamt für Sicherheit in der Informationstechnik (BSI).


Welche Sektoren sind betroffen? Anlage 1 und Anlage 2 im Überblick

Das NIS2UmsuCG unterscheidet zwischen zwei Anlagenlisten, die den Geltungsbereich definieren:

Anlage 1 – Sektoren mit hoher Kritikalität (wesentliche Einrichtungen)

Diese Sektoren gelten als besonders sicherheitskritisch und umfassen:

  • Energie (Strom, Gas, Öl, Fernwärme, Wasserstoff)
  • Verkehr (Luft, Bahn, Schiff, Straße)
  • Bankwesen und Finanzmarktinfrastrukturen
  • Gesundheit (Krankenhäuser, Labore, Pharmahersteller)
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur (DNS, TLD-Registries, Rechenzentren, Cloud)
  • IKT-Dienstleistungsmanagement (Managed Services, Managed Security Services)
  • Öffentliche Verwaltung
  • Weltraum

Anlage 2 – Sonstige kritische Sektoren (wichtige Einrichtungen)

Hier sind Branchen gelistet, die ebenfalls erhebliche gesellschaftliche Relevanz besitzen:

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Chemische Erzeugnisse (Herstellung und Handel)
  • Lebensmittel (Herstellung, Verarbeitung, Vertrieb)
  • Verarbeitendes Gewerbe/Herstellung (Medizinprodukte, Elektronik, Maschinenbau, Fahrzeuge)
  • Digitale Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Forschungseinrichtungen

Wichtige Faustregel: Wenn Ihre Branche in einer der beiden Anlagen auftaucht, ist die Größenprüfung der nächste Schritt – nicht das Ende der Analyse.


Die Größenkriterien: Ab wann bin ich betroffen?

Neben der Sektorzugehörigkeit gelten klare Größenschwellen, die über die Betroffenheit entscheiden. Diese orientieren sich an der EU-Definition für mittlere Unternehmen:

Kriterium Schwellenwert
Mitarbeiterzahl ≥ 50 Beschäftigte
Jahresumsatz ≥ 10 Millionen Euro
Jahresbilanzsumme ≥ 10 Millionen Euro

Ein Unternehmen ist betroffen, wenn es in einem der gelisteten Sektoren tätig ist und dabei entweder die Mitarbeiterzahl oder einen der Finanzschwellenwerte überschreitet.

Ausnahmen und Sonderfälle

Es gibt Konstellationen, in denen die Größenschwellen nicht gelten:

  • Kritische Anlagen nach KRITIS-Dachgesetz: Betreiber, die ohnehin als KRITIS eingestuft sind, fallen unabhängig von der Unternehmensgröße unter NIS2.
  • Qualifizierte Vertrauensdiensteanbieter und TLD-Registries: Ebenfalls größenunabhängig betroffen.
  • Öffentliche Verwaltung auf Bundes- und Landesebene: Gesonderte Regelungen, größenunabhängig.
  • Kleinstunternehmen mit Alleinstellungsmerkmal: Wenn ein Kleinstunternehmen als einziger Anbieter eines kritischen Dienstes in einer Region gilt, kann das BSI es dennoch einbeziehen.

Wesentliche vs. wichtige Einrichtungen: Der entscheidende Unterschied

Die Einstufung als wesentliche oder wichtige Einrichtung hat erhebliche praktische Konsequenzen:

Merkmal Wesentliche Einrichtung Wichtige Einrichtung
Sektoren Anlage 1 Anlage 2 (und mittlere Anlage-1-Unternehmen)
Unternehmensgröße Groß (≥ 250 MA oder > 50 Mio. € Umsatz) Mittel (50–249 MA, 10–50 Mio. €)
BSI-Aufsicht Proaktiv, anlassunabhängig Reaktiv, anlassbezogen
Bußgeldrahmen Bis 10 Mio. € oder 2 % des Jahresumsatzes Bis 7 Mio. € oder 1,4 % des Jahresumsatzes
Prüfpflichten Regelmäßige Audits und Zertifizierungen Nachweispflicht auf Anforderung

Für beide Kategorien gelten jedoch dieselben technischen und organisatorischen Mindestanforderungen nach §30 NIS2UmsuCG, darunter Risikomanagement, Incident Response, Supply-Chain-Sicherheit und Business Continuity.


Interaktiver Selbsttest: Fällt Ihr Unternehmen unter NIS2?

Gehen Sie die folgenden Fragen der Reihe nach durch. Beantworten Sie jede Frage ehrlich – im Zweifel sollten Sie eine Fachkraft oder das BSI hinzuziehen.

Schritt 1: Sektorcheck

Ist Ihr Unternehmen in einem der in Anlage 1 oder Anlage 2 des NIS2UmsuCG genannten Sektoren tätig?

  • ☐ Ja → weiter mit Schritt 2
  • ☐ Nein → Sie sind nach aktuellem Stand nicht direkt betroffen (aber prüfen Sie Lieferkettenpflichten!)
  • ☐ Unsicher → Prüfen Sie die vollständige Sektorliste im Gesetzestext oder konsultieren Sie einen NIS2-Berater

Schritt 2: Größencheck

Beschäftigt Ihr Unternehmen 50 oder mehr Mitarbeiter ODER erzielt es einen Jahresumsatz bzw. eine Bilanzsumme von mindestens 10 Millionen Euro?

  • ☐ Ja → weiter mit Schritt 3
  • ☐ Nein → Prüfen Sie Sonderfälle (KRITIS, Alleinanbieterstatus), sonst voraussichtlich nicht betroffen

Schritt 3: Einstufungscheck

Ist Ihr Unternehmen in Anlage 1 tätig UND beschäftigt mehr als 250 Mitarbeiter oder erzielt über 50 Millionen Euro Umsatz?

  • ☐ Ja → Sie sind eine wesentliche Einrichtung
  • ☐ Nein → Sie sind eine wichtige Einrichtung

Ergebnis

Wenn Sie als wesentliche oder wichtige Einrichtung eingestuft sind, gilt: Registrierungspflicht beim BSI beachten und unverzüglich mit dem Aufbau eines ISMS beginnen.


Konsequenzen bei Nichterfüllung: §65 BSIG lässt keine Spielräume

Wer die NIS2-Pflichten ignoriert, dem drohen empfindliche Sanktionen. §65 BSIG regelt den Bußgeldrahmen und die behördlichen Durchsetzungsbefugnisse:

  • Wesentliche Einrichtungen: Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (der höhere Wert gilt)
  • Wichtige Einrichtungen: Bußgelder bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes

Besonders gravierend: §65 BSIG ermöglicht dem BSI auch die persönliche Haftung von Geschäftsführern und Vorständen, wenn Pflichtverletzungen auf mangelnde Aufsicht zurückzuführen sind. Die Organhaftung ist dabei keine theoretische Drohkulisse – das BSI hat angekündigt, diese Befugnis aktiv zu nutzen.

Darüber hinaus kann das BSI bei schwerwiegenden Verstößen:

  • Den Betrieb von Diensten temporär untersagen
  • Die Öffentlichkeit informieren (Naming and Shaming)
  • Sofortige Sicherheitsaudits anordnen

7 konkrete Handlungsempfehlungen für betroffene Unternehmen

Wenn Ihre Betroffenheitsprüfung ergibt, dass Sie unter NIS2 fallen, sollten Sie folgende Schritte priorisieren:

  1. Registrierung beim BSI durchführen: Die Pflicht zur Registrierung ist eine der ersten formalen Anforderungen. Nutzen Sie das BSI-Meldeportal und halten Sie Unternehmensdaten, Sektorzuordnung und Ansprechpartner bereit.

  2. Gap-Analyse nach §30 NIS2UmsuCG: Vergleichen Sie Ihren aktuellen Sicherheitsstatus mit den gesetzlichen Mindestanforderungen – von Risikomanagement über Kryptografie bis zur Lieferkettenabsicherung.

  3. ISMS aufbauen oder zertifizieren: Ein Informationssicherheits-Managementsystem nach ISO/IEC 27001 oder BSI IT-Grundschutz bildet die ideale Grundlage für NIS2-Compliance.

  4. Incident-Response-Plan etablieren: NIS2 fordert klare Meldeprozesse für Sicherheitsvorfälle. Erhebliche Vorfälle müssen dem BSI innerhalb von 24 Stunden gemeldet werden (Erstmeldung), ein detaillierter Bericht folgt nach 72 Stunden.

  5. Supply-Chain-Risiken bewerten: Prüfen Sie Ihre Dienstleister und Lieferanten systematisch auf Sicherheitsstandards. Vertragliche Sicherheitsklauseln sind Pflicht.

  6. Schulungen für Führungskräfte und Mitarbeiter: §38 NIS2UmsuCG verpflichtet Geschäftsführungen, Kenntnisse im Bereich Cybersicherheit nachzuweisen und regelmäßig zu trainieren.

  7. Dokumentation lückenlos führen: Das BSI kann jederzeit Nachweise anfordern. Halten Sie Risikoanalysen, Sicherheitskonzepte, Schulungsnachweise und Vorfallsdokumentationen dauerhaft aktuell.


Fazit und nächste Schritte

Die NIS2-Betroffenheitsprüfung ist keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess. Unternehmen, die heute noch unsicher sind, ob sie unter die Richtlinie fallen, sollten jetzt handeln – denn das BSI hat seine Aufsichtstätigkeit deutlich intensiviert und erste Bußgeldverfahren laufen bereits.

Ihre nächsten drei Schritte zusammengefasst:

  1. Sektorcheck: Prüfen Sie anhand von Anlage 1 und 2, ob Ihre Branche gelistet ist
  2. Größencheck: Gleichen Sie Mitarbeiterzahl und Umsatz gegen die Schwellenwerte ab
  3. Registrierung und Gap-Analyse: Melden Sie sich beim BSI an und starten Sie Ihre Compliance-Roadmap

Die gute Nachricht: Wer strukturiert vorgeht, kann NIS2-Compliance auch als strategischen Mehrwert nutzen – für mehr Resilienz, stärkeres Kundenvertrauen und einen klaren Wettbewerbsvorteil.


Ihr nächster Schritt: NIS2-Compliance digital verwalten

Für IT-Verantwortliche und Compliance-Teams empfiehlt sich der Einsatz einer spezialisierten NIS2-Compliance-Software, die Betroffenheitsprüfungen, Gap-Analysen, ISMS-Dokumentation und Meldeprozesse in einer zentralen Plattform abbildet. Moderne Tools unterstützen Sie dabei, Pflichten nach §30 NIS2UmsuCG strukturiert zu erfüllen, Audits vorzubereiten und die gesetzlich geforderte Dokumentation revisionssicher zu führen – ohne dass Ihr Team im Paragraphendschungel versinkt. Eine solche Lösung zahlt sich nicht nur in Zeitersparnis aus, sondern schützt Sie auch vor kostspieligen Compliance-Lücken.


Quellen und weiterführende Informationen: BSI-Grundschutz-Kompendium, NIS2-Umsetzungsgesetz (NIS2UmsuCG), ENISA NIS2 Guidance, EU-Richtlinie 2022/2555