NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?
Veröffentlicht am 05. Juli 2026 | Lesedauer: ca. 8 Minuten
Die NIS2-Richtlinie ist seit Oktober 2024 in deutsches Recht überführt – und trotzdem kämpfen viele Unternehmen noch immer mit einer grundlegenden Frage: Bin ich überhaupt betroffen? Die Antwort darauf ist keine Kleinigkeit. Wer fälschlicherweise annimmt, nicht unter das NIS2-Umsetzungsgesetz (NIS2UmsuCG) zu fallen, riskiert empfindliche Bußgelder nach §65 BSIG – und schlimmstenfalls persönliche Haftung der Geschäftsführung. Dieser Artikel führt Sie Schritt für Schritt durch die NIS2-Betroffenheitsprüfung für Unternehmen in Deutschland und gibt Ihnen konkrete Handlungsempfehlungen für 2025 und darüber hinaus.
Was regelt §3 NIS2UmsuCG genau?
§3 des NIS2-Umsetzungsgesetzes definiert den persönlichen Anwendungsbereich der Richtlinie. Er bestimmt, welche Einrichtungen als „wesentlich" oder „wichtig" eingestuft werden und damit den umfangreichen Pflichtenkatalog des Gesetzes erfüllen müssen. Die Norm setzt die europäische NIS2-Richtlinie (EU 2022/2555) in nationales Recht um und verweist dabei auf zwei Anlagenlisten, die die betroffenen Sektoren abschließend benennen.
Entscheidend ist: Die Betroffenheit ergibt sich nicht aus einer behördlichen Einstufung, sondern aus einer Selbsteinschätzung des Unternehmens – kombiniert mit einer Registrierungspflicht beim Bundesamt für Sicherheit in der Informationstechnik (BSI).
Welche Sektoren sind betroffen? Anlage 1 und Anlage 2 im Überblick
Das NIS2UmsuCG unterscheidet zwischen zwei Anlagenlisten, die den Geltungsbereich definieren:
Anlage 1 – Sektoren mit hoher Kritikalität (wesentliche Einrichtungen)
Diese Sektoren gelten als besonders sicherheitskritisch und umfassen:
- Energie (Strom, Gas, Öl, Fernwärme, Wasserstoff)
- Verkehr (Luft, Bahn, Schiff, Straße)
- Bankwesen und Finanzmarktinfrastrukturen
- Gesundheit (Krankenhäuser, Labore, Pharmahersteller)
- Trinkwasser und Abwasser
- Digitale Infrastruktur (DNS, TLD-Registries, Rechenzentren, Cloud)
- IKT-Dienstleistungsmanagement (Managed Services, Managed Security Services)
- Öffentliche Verwaltung
- Weltraum
Anlage 2 – Sonstige kritische Sektoren (wichtige Einrichtungen)
Hier sind Branchen gelistet, die ebenfalls erhebliche gesellschaftliche Relevanz besitzen:
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Chemische Erzeugnisse (Herstellung und Handel)
- Lebensmittel (Herstellung, Verarbeitung, Vertrieb)
- Verarbeitendes Gewerbe/Herstellung (Medizinprodukte, Elektronik, Maschinenbau, Fahrzeuge)
- Digitale Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
- Forschungseinrichtungen
Wichtige Faustregel: Wenn Ihre Branche in einer der beiden Anlagen auftaucht, ist die Größenprüfung der nächste Schritt – nicht das Ende der Analyse.
Die Größenkriterien: Ab wann bin ich betroffen?
Neben der Sektorzugehörigkeit gelten klare Größenschwellen, die über die Betroffenheit entscheiden. Diese orientieren sich an der EU-Definition für mittlere Unternehmen:
| Kriterium | Schwellenwert |
|---|---|
| Mitarbeiterzahl | ≥ 50 Beschäftigte |
| Jahresumsatz | ≥ 10 Millionen Euro |
| Jahresbilanzsumme | ≥ 10 Millionen Euro |
Ein Unternehmen ist betroffen, wenn es in einem der gelisteten Sektoren tätig ist und dabei entweder die Mitarbeiterzahl oder einen der Finanzschwellenwerte überschreitet.
Ausnahmen und Sonderfälle
Es gibt Konstellationen, in denen die Größenschwellen nicht gelten:
- Kritische Anlagen nach KRITIS-Dachgesetz: Betreiber, die ohnehin als KRITIS eingestuft sind, fallen unabhängig von der Unternehmensgröße unter NIS2.
- Qualifizierte Vertrauensdiensteanbieter und TLD-Registries: Ebenfalls größenunabhängig betroffen.
- Öffentliche Verwaltung auf Bundes- und Landesebene: Gesonderte Regelungen, größenunabhängig.
- Kleinstunternehmen mit Alleinstellungsmerkmal: Wenn ein Kleinstunternehmen als einziger Anbieter eines kritischen Dienstes in einer Region gilt, kann das BSI es dennoch einbeziehen.
Wesentliche vs. wichtige Einrichtungen: Der entscheidende Unterschied
Die Einstufung als wesentliche oder wichtige Einrichtung hat erhebliche praktische Konsequenzen:
| Merkmal | Wesentliche Einrichtung | Wichtige Einrichtung |
|---|---|---|
| Sektoren | Anlage 1 | Anlage 2 (und mittlere Anlage-1-Unternehmen) |
| Unternehmensgröße | Groß (≥ 250 MA oder > 50 Mio. € Umsatz) | Mittel (50–249 MA, 10–50 Mio. €) |
| BSI-Aufsicht | Proaktiv, anlassunabhängig | Reaktiv, anlassbezogen |
| Bußgeldrahmen | Bis 10 Mio. € oder 2 % des Jahresumsatzes | Bis 7 Mio. € oder 1,4 % des Jahresumsatzes |
| Prüfpflichten | Regelmäßige Audits und Zertifizierungen | Nachweispflicht auf Anforderung |
Für beide Kategorien gelten jedoch dieselben technischen und organisatorischen Mindestanforderungen nach §30 NIS2UmsuCG, darunter Risikomanagement, Incident Response, Supply-Chain-Sicherheit und Business Continuity.
Interaktiver Selbsttest: Fällt Ihr Unternehmen unter NIS2?
Gehen Sie die folgenden Fragen der Reihe nach durch. Beantworten Sie jede Frage ehrlich – im Zweifel sollten Sie eine Fachkraft oder das BSI hinzuziehen.
Schritt 1: Sektorcheck
Ist Ihr Unternehmen in einem der in Anlage 1 oder Anlage 2 des NIS2UmsuCG genannten Sektoren tätig?
- ☐ Ja → weiter mit Schritt 2
- ☐ Nein → Sie sind nach aktuellem Stand nicht direkt betroffen (aber prüfen Sie Lieferkettenpflichten!)
- ☐ Unsicher → Prüfen Sie die vollständige Sektorliste im Gesetzestext oder konsultieren Sie einen NIS2-Berater
Schritt 2: Größencheck
Beschäftigt Ihr Unternehmen 50 oder mehr Mitarbeiter ODER erzielt es einen Jahresumsatz bzw. eine Bilanzsumme von mindestens 10 Millionen Euro?
- ☐ Ja → weiter mit Schritt 3
- ☐ Nein → Prüfen Sie Sonderfälle (KRITIS, Alleinanbieterstatus), sonst voraussichtlich nicht betroffen
Schritt 3: Einstufungscheck
Ist Ihr Unternehmen in Anlage 1 tätig UND beschäftigt mehr als 250 Mitarbeiter oder erzielt über 50 Millionen Euro Umsatz?
- ☐ Ja → Sie sind eine wesentliche Einrichtung
- ☐ Nein → Sie sind eine wichtige Einrichtung
Ergebnis
Wenn Sie als wesentliche oder wichtige Einrichtung eingestuft sind, gilt: Registrierungspflicht beim BSI beachten und unverzüglich mit dem Aufbau eines ISMS beginnen.
Konsequenzen bei Nichterfüllung: §65 BSIG lässt keine Spielräume
Wer die NIS2-Pflichten ignoriert, dem drohen empfindliche Sanktionen. §65 BSIG regelt den Bußgeldrahmen und die behördlichen Durchsetzungsbefugnisse:
- Wesentliche Einrichtungen: Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (der höhere Wert gilt)
- Wichtige Einrichtungen: Bußgelder bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes
Besonders gravierend: §65 BSIG ermöglicht dem BSI auch die persönliche Haftung von Geschäftsführern und Vorständen, wenn Pflichtverletzungen auf mangelnde Aufsicht zurückzuführen sind. Die Organhaftung ist dabei keine theoretische Drohkulisse – das BSI hat angekündigt, diese Befugnis aktiv zu nutzen.
Darüber hinaus kann das BSI bei schwerwiegenden Verstößen:
- Den Betrieb von Diensten temporär untersagen
- Die Öffentlichkeit informieren (Naming and Shaming)
- Sofortige Sicherheitsaudits anordnen
7 konkrete Handlungsempfehlungen für betroffene Unternehmen
Wenn Ihre Betroffenheitsprüfung ergibt, dass Sie unter NIS2 fallen, sollten Sie folgende Schritte priorisieren:
-
Registrierung beim BSI durchführen: Die Pflicht zur Registrierung ist eine der ersten formalen Anforderungen. Nutzen Sie das BSI-Meldeportal und halten Sie Unternehmensdaten, Sektorzuordnung und Ansprechpartner bereit.
-
Gap-Analyse nach §30 NIS2UmsuCG: Vergleichen Sie Ihren aktuellen Sicherheitsstatus mit den gesetzlichen Mindestanforderungen – von Risikomanagement über Kryptografie bis zur Lieferkettenabsicherung.
-
ISMS aufbauen oder zertifizieren: Ein Informationssicherheits-Managementsystem nach ISO/IEC 27001 oder BSI IT-Grundschutz bildet die ideale Grundlage für NIS2-Compliance.
-
Incident-Response-Plan etablieren: NIS2 fordert klare Meldeprozesse für Sicherheitsvorfälle. Erhebliche Vorfälle müssen dem BSI innerhalb von 24 Stunden gemeldet werden (Erstmeldung), ein detaillierter Bericht folgt nach 72 Stunden.
-
Supply-Chain-Risiken bewerten: Prüfen Sie Ihre Dienstleister und Lieferanten systematisch auf Sicherheitsstandards. Vertragliche Sicherheitsklauseln sind Pflicht.
-
Schulungen für Führungskräfte und Mitarbeiter: §38 NIS2UmsuCG verpflichtet Geschäftsführungen, Kenntnisse im Bereich Cybersicherheit nachzuweisen und regelmäßig zu trainieren.
-
Dokumentation lückenlos führen: Das BSI kann jederzeit Nachweise anfordern. Halten Sie Risikoanalysen, Sicherheitskonzepte, Schulungsnachweise und Vorfallsdokumentationen dauerhaft aktuell.
Fazit und nächste Schritte
Die NIS2-Betroffenheitsprüfung ist keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess. Unternehmen, die heute noch unsicher sind, ob sie unter die Richtlinie fallen, sollten jetzt handeln – denn das BSI hat seine Aufsichtstätigkeit deutlich intensiviert und erste Bußgeldverfahren laufen bereits.
Ihre nächsten drei Schritte zusammengefasst:
- Sektorcheck: Prüfen Sie anhand von Anlage 1 und 2, ob Ihre Branche gelistet ist
- Größencheck: Gleichen Sie Mitarbeiterzahl und Umsatz gegen die Schwellenwerte ab
- Registrierung und Gap-Analyse: Melden Sie sich beim BSI an und starten Sie Ihre Compliance-Roadmap
Die gute Nachricht: Wer strukturiert vorgeht, kann NIS2-Compliance auch als strategischen Mehrwert nutzen – für mehr Resilienz, stärkeres Kundenvertrauen und einen klaren Wettbewerbsvorteil.
Ihr nächster Schritt: NIS2-Compliance digital verwalten
Für IT-Verantwortliche und Compliance-Teams empfiehlt sich der Einsatz einer spezialisierten NIS2-Compliance-Software, die Betroffenheitsprüfungen, Gap-Analysen, ISMS-Dokumentation und Meldeprozesse in einer zentralen Plattform abbildet. Moderne Tools unterstützen Sie dabei, Pflichten nach §30 NIS2UmsuCG strukturiert zu erfüllen, Audits vorzubereiten und die gesetzlich geforderte Dokumentation revisionssicher zu führen – ohne dass Ihr Team im Paragraphendschungel versinkt. Eine solche Lösung zahlt sich nicht nur in Zeitersparnis aus, sondern schützt Sie auch vor kostspieligen Compliance-Lücken.
Quellen und weiterführende Informationen: BSI-Grundschutz-Kompendium, NIS2-Umsetzungsgesetz (NIS2UmsuCG), ENISA NIS2 Guidance, EU-Richtlinie 2022/2555