NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?
Veröffentlicht am 06. Juli 2026 | Lesezeit: ca. 8 Minuten
Die NIS2-Richtlinie hat die Cybersicherheitslandschaft in Deutschland grundlegend verändert. Seit dem Inkrafttreten des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) gilt für tausende Unternehmen in Deutschland ein deutlich verschärftes Regelwerk. Doch viele Geschäftsführer und IT-Verantwortliche stellen sich noch immer dieselbe zentrale Frage: Ist mein Unternehmen überhaupt betroffen?
Die Antwort ist nicht immer offensichtlich — und falsche Annahmen können teuer werden. Dieser Artikel gibt Ihnen eine strukturierte NIS2-Betroffenheitsprüfung an die Hand, erklärt die relevanten Schwellenwerte und zeigt, welche Konsequenzen eine Nichterfüllung der Pflichten hat.
Was regelt §3 NIS2UmsuCG?
Der Anwendungsbereich des deutschen NIS2-Gesetzes ist in §3 NIS2UmsuCG definiert. Danach gilt das Gesetz für Einrichtungen, die:
- einer bestimmten Sektor- oder Subsektorzugehörigkeit entsprechen (gelistet in den Anlagen 1 und 2 des Gesetzes),
- bestimmte Größenkriterien erfüllen (Mitarbeiterzahl und/oder Jahresumsatz bzw. Bilanzsumme),
- oder unabhängig von der Größe als kritisch oder systemrelevant eingestuft werden.
Wichtig: Das Gesetz unterscheidet zwischen wesentlichen Einrichtungen (Essential Entities, EE) und wichtigen Einrichtungen (Important Entities, IE). Diese Unterscheidung beeinflusst direkt den Umfang der Pflichten und die Höhe möglicher Bußgelder.
Die zwei Anlagen: Welche Sektoren sind betroffen?
Anlage 1 – Sektoren mit hoher Kritikalität
Einrichtungen aus Anlage 1 unterliegen den strengsten Anforderungen und gelten in der Regel als wesentliche Einrichtungen. Dazu zählen:
| Sektor | Beispiele für betroffene Einrichtungen |
|---|---|
| Energie | Stromerzeuger, Netzbetreiber, Gasversorger |
| Verkehr | Flughäfen, Bahnbetreiber, Schifffahrtsunternehmen |
| Bankwesen | Kreditinstitute, Zahlungsdienstleister |
| Finanzmarktinfrastrukturen | Börsenbetreiber, zentrale Gegenparteien |
| Gesundheit | Krankenhäuser, Laboratorien, Hersteller kritischer Medizinprodukte |
| Trinkwasser | Wasserversorgungsunternehmen |
| Abwasser | Abwasserentsorgungsunternehmen |
| Digitale Infrastruktur | IXPs, DNS-Anbieter, TLD-Registry-Betreiber, Rechenzentren |
| ICT-Dienste (B2B) | Managed Service Provider (MSP), Managed Security Service Provider (MSSP) |
| Weltraum | Betreiber von Bodeninfrastrukturen |
| Öffentliche Verwaltung | Bundesbehörden, Landesbehörden |
Anlage 2 – Sonstige kritische Sektoren
Einrichtungen aus Anlage 2 sind in der Regel als wichtige Einrichtungen eingestuft, unterliegen aber ebenfalls umfangreichen Sicherheitspflichten:
| Sektor | Beispiele |
|---|---|
| Post- und Kurierdienste | Paketdienstleister, Briefdienstleister |
| Abfallwirtschaft | Entsorgungsunternehmen |
| Chemie | Hersteller, Händler gefährlicher Chemikalien |
| Lebensmittel | Hersteller und Großhändler von Lebensmitteln |
| Verarbeitendes Gewerbe | Hersteller von Medizinprodukten, Maschinen, Fahrzeugen, Elektronik |
| Digitale Dienste | Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke |
| Forschung | Forschungseinrichtungen |
Die Größenkriterien: Ab wann ist ein Unternehmen betroffen?
Die bloße Zugehörigkeit zu einem der genannten Sektoren reicht nicht aus. Zusätzlich müssen in der Regel bestimmte Größenschwellen überschritten sein. Als Grundregel gilt:
Wesentliche Einrichtungen (Anlage 1)
- Großunternehmen: ≥ 250 Mitarbeiter oder ≥ 50 Mio. € Jahresumsatz und ≥ 43 Mio. € Jahresbilanzsumme
Wichtige Einrichtungen (Anlage 1 & 2)
- Mittlere Unternehmen: ≥ 50 Mitarbeiter oder ≥ 10 Mio. € Jahresumsatz und ≥ 10 Mio. € Jahresbilanzsumme
Ausnahme: Bestimmte Einrichtungen fallen unabhängig von ihrer Größe unter das Gesetz — etwa Betreiber kritischer Anlagen gemäß KRITIS-Dachgesetz, qualifizierte Vertrauensdiensteanbieter, TLD-Nameregistries und bestimmte öffentliche Verwaltungseinrichtungen.
Wesentliche vs. wichtige Einrichtungen: Was ist der Unterschied?
Die Unterscheidung zwischen wesentlichen und wichtigen Einrichtungen ist praxisrelevant, denn sie bestimmt:
- Art und Intensität der Aufsicht: Wesentliche Einrichtungen unterliegen einer proaktiven Überwachung durch das BSI, wichtige Einrichtungen einer reaktiven Aufsicht (meist anlassbezogen).
- Höhe der Bußgelder: Gemäß §65 BSIG drohen bei wesentlichen Einrichtungen Bußgelder von bis zu 10 Mio. Euro oder 2 % des globalen Jahresumsatzes, bei wichtigen Einrichtungen bis zu 7 Mio. Euro oder 1,4 % des globalen Jahresumsatzes.
- Registrierungspflichten: Beide Kategorien müssen sich beim BSI registrieren lassen, jedoch gelten unterschiedliche Fristen und Nachweispflichten.
NIS2-Betroffenheitsprüfung: Selbsttest für Ihr Unternehmen
Der folgende Selbsttest hilft Ihnen, die Betroffenheit Ihres Unternehmens strukturiert einzuschätzen. Beantworten Sie die Fragen der Reihe nach:
Schritt 1: Sektorzugehörigkeit prüfen
- [ ] Ist Ihr Unternehmen in einem der Sektoren aus Anlage 1 tätig?
- [ ] Ist Ihr Unternehmen in einem der Sektoren aus Anlage 2 tätig?
- [ ] Erbringt Ihr Unternehmen Dienstleistungen für Unternehmen in Anlage 1 oder 2 (z. B. als IT-Dienstleister, MSP)?
➡️ Wenn Sie eine dieser Fragen mit „Ja" beantworten, fahren Sie mit Schritt 2 fort.
Schritt 2: Größenkriterien prüfen
- [ ] Beschäftigt Ihr Unternehmen 50 oder mehr Mitarbeiter (Vollzeitäquivalente)?
- [ ] Erzielt Ihr Unternehmen einen Jahresumsatz von mehr als 10 Mio. Euro?
- [ ] Liegt die Jahresbilanzsumme über 10 Mio. Euro?
➡️ Wenn Sie mindestens eine dieser Fragen mit „Ja" beantworten, sind Sie voraussichtlich als wichtige Einrichtung einzustufen.
Schritt 3: Sonderregelungen prüfen
- [ ] Sind Sie Betreiber einer kritischen Anlage nach KRITIS-Dachgesetz?
- [ ] Sind Sie qualifizierter Vertrauensdiensteanbieter?
- [ ] Betreiben Sie digitale Infrastruktur auf nationaler Ebene?
➡️ Wenn ja, gilt NIS2 für Sie unabhängig von Ihrer Unternehmensgröße.
Konsequenzen bei Nichterfüllung: Was droht bei Verstößen?
Viele Unternehmen unterschätzen die Konsequenzen, die mit der NIS2-Pflicht verbunden sind. Das Gesetz sieht in §65 BSIG empfindliche Sanktionen vor:
Bußgelder nach §65 BSIG
| Einrichtungstyp | Maximales Bußgeld |
|---|---|
| Wesentliche Einrichtung | 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (der höhere Betrag gilt) |
| Wichtige Einrichtung | 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes |
Persönliche Haftung der Geschäftsführung
Besonders gravierend: Nach §38 BSIG können Geschäftsführer und Vorstandsmitglieder persönlich haftbar gemacht werden, wenn sie die Umsetzung von Risikomanagementmaßnahmen nicht angemessen überwacht haben. Die Enthaftung durch Delegation an die IT-Abteilung ist damit ausdrücklich ausgeschlossen.
Betriebsunterbrechungen und Reputationsschäden
Neben den direkten Bußgeldern drohen bei schwerwiegenden Vorfällen:
- Anordnung von Sofortmaßnahmen durch das BSI
- Veröffentlichung von Verstößen (Name-and-Shame-Prinzip)
- Entzug von Zertifizierungen und Betriebsgenehmigungen
- Erhebliche Reputationsschäden bei Kunden und Partnern
Handlungsempfehlungen: So gehen Sie jetzt vor
Wenn Sie durch den Selbsttest festgestellt haben, dass Ihr Unternehmen unter NIS2 fällt, sollten Sie folgende Schritte einleiten:
-
Betroffenheit dokumentieren: Halten Sie schriftlich fest, auf welcher Grundlage (Sektor, Größe) Ihr Unternehmen als wesentliche oder wichtige Einrichtung eingestuft wird. Das bildet die Basis für alle weiteren Schritte.
-
Beim BSI registrieren: Gemäß §33 BSIG sind betroffene Einrichtungen verpflichtet, sich in der BSI-Registrierungsdatenbank zu registrieren. Nutzen Sie dafür das MELDSP-Portal des BSI.
-
Gap-Analyse durchführen: Gleichen Sie Ihre bestehenden Sicherheitsmaßnahmen mit den Anforderungen aus §30 BSIG (Risikomanagementmaßnahmen) ab. Identifizieren Sie Lücken in Bereichen wie Zugriffskontrolle, Verschlüsselung, Incident Response und Business Continuity.
-
ISMS aufbauen oder anpassen: Implementieren Sie ein Informationssicherheits-Managementsystem (ISMS) — idealerweise auf Basis von ISO 27001 oder BSI IT-Grundschutz. Dies erleichtert den Nachweis der Compliance erheblich.
-
Meldeprozesse etablieren: Richten Sie interne Prozesse ein, die sicherstellen, dass erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden (Erstmeldung) und 72 Stunden (vollständiger Bericht) an das BSI gemeldet werden können (§32 BSIG).
-
Lieferkette prüfen: Überprüfen Sie Ihre kritischen Lieferanten und Dienstleister auf deren Sicherheitsniveau. NIS2 verpflichtet ausdrücklich zur Steuerung von Sicherheitsrisiken in der Lieferkette.
-
Schulungen durchführen: Sensibilisieren Sie Mitarbeiter und Führungskräfte für NIS2-relevante Themen. Die Geschäftsführung muss gemäß §38 BSIG nachweislich über ausreichendes Cybersicherheitswissen verfügen.
-
Rechtliche Beratung einholen: Beauftragen Sie einen auf IT-Recht und Datenschutz spezialisierten Rechtsanwalt, um Haftungsrisiken individuell zu bewerten.
Häufige Irrtümer bei der Betroffenheitsprüfung
Irrtum 1: „Wir sind zu klein für NIS2."
Viele Unternehmen mit 50 bis 249 Mitarbeitern unterschätzen, dass sie als wichtige Einrichtungen vollumfänglich reguliert werden können — sofern sie im richtigen Sektor tätig sind.
Irrtum 2: „Unsere Muttergesellschaft kümmert sich darum."
NIS2 knüpft an die einzelne rechtliche Einheit an, nicht an Konzernstrukturen. Jede Tochtergesellschaft muss ihre Betroffenheit eigenständig prüfen.
Irrtum 3: „Wir sind Zulieferer, kein direkter Dienstleister."
Gerade Managed Service Provider, Cloud-Anbieter und IT-Dienstleister fallen häufig direkt unter Anlage 1 — unabhängig davon, ob sie selbst im KRITIS-Bereich tätig sind.
Irrtum 4: „NIS2 gilt nur für die IT-Abteilung."
NIS2 ist ein Governance-Thema, das die gesamte Unternehmensführung betrifft. Die Geschäftsführung trägt die rechtliche Verantwortung.
Fazit: Jetzt handeln, nicht warten
Die NIS2-Betroffenheitsprüfung ist kein bürokratischer Selbstzweck — sie ist der erste und wichtigste Schritt auf dem Weg zur Compliance. Wer jetzt noch nicht geprüft hat, ob sein Unternehmen unter die Richtlinie fällt, riskiert nicht nur empfindliche Bußgelder nach §65 BSIG, sondern auch die persönliche Haftung der Unternehmensleitung.
Ihre nächsten Schritte zusammengefasst:
- ✅ Sektorzugehörigkeit anhand der Anlagen 1 und 2 prüfen
- ✅ Größenkriterien (50+ MA, 10 Mio. € Umsatz) verifizieren
- ✅ Einrichtungstyp (wesentlich/wichtig) festlegen
- ✅ BSI-Registrierung einleiten
- ✅ Gap-Analyse und ISMS-Aufbau starten
Nächster Schritt: Betroffenheit digital prüfen und dokumentieren
Die Betroffenheitsprüfung manuell durchzuführen und zu dokumentieren ist fehleranfällig und zeitaufwändig. Spezialisierte NIS2-Compliance-Software kann diesen Prozess erheblich vereinfachen: Sie führt Sie systematisch durch die Kriterien des §3 NIS2UmsuCG, hilft bei der Erstellung rechtssicherer Dokumente (ISMS-Richtlinien, Risikoanalysen, Meldeprozesse) und ermöglicht eine lückenlose Nachverfolgung des Compliance-Status.
Wenn Sie Ihre NIS2-Betroffenheitsprüfung strukturiert angehen und alle erforderlichen ISMS-Dokumente rechtssicher erstellen möchten, empfiehlt es sich, auf digitale Werkzeuge zu setzen, die speziell für die Anforderungen des BSIG und der NIS2-Richtlinie entwickelt wurden — und Ihnen im Fall einer BSI-Prüfung eine belastbare Dokumentation liefern.
Hinweis: Dieser Artikel stellt keine Rechtsberatung dar. Bei konkreten Fragen zur NIS2-Betroffenheit Ihres Unternehmens wenden Sie sich bitte an einen qualifizierten Rechtsanwalt oder IT-Sicherheitsberater.