NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?

Veröffentlicht am 07. Juli 2026 | Lesezeit: ca. 9 Minuten


Die Uhr tickt: Mit der Umsetzung der NIS2-Richtlinie in deutsches Recht durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) sind tausende Unternehmen in Deutschland erstmals zur aktiven Cybersicherheits-Compliance verpflichtet – viele davon, ohne es zu wissen. Ob Sie betroffen sind, hängt von drei Faktoren ab: Ihrer Branchenzugehörigkeit, Ihrer Unternehmensgröße und der Art Ihrer Einrichtung. Dieser Artikel erklärt Ihnen Schritt für Schritt, wie Sie eine rechtssichere NIS2 Betroffenheitsprüfung für Ihr Unternehmen in Deutschland 2025 und darüber hinaus durchführen.


Was ist die NIS2-Betroffenheitsprüfung – und warum ist sie so wichtig?

Die NIS2-Richtlinie der EU (Richtlinie (EU) 2022/2555) verpflichtet Mitgliedsstaaten dazu, kritische und wichtige Einrichtungen zur Umsetzung von Mindeststandards in der Informationssicherheit zu zwingen. In Deutschland wurde dies durch das NIS2UmsuCG in nationales Recht überführt, das zentrale Pflichten im BSI-Gesetz (BSIG) verankert.

Gemäß §3 NIS2UmsuCG legt der deutsche Gesetzgeber fest, welche Einrichtungen unter die Regulierung fallen. Die Einordnung entscheidet darüber, welche Pflichten Sie erfüllen müssen – von Risikomanagement über Meldepflichten bis hin zur Registrierung beim BSI.

Die Konsequenzen einer falschen oder fehlenden Betroffenheitsprüfung sind erheblich: Unternehmen, die ihre NIS2-Pflichten ignorieren, riskieren Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (für wesentliche Einrichtungen) nach §65 BSIG. Für wichtige Einrichtungen beträgt die Obergrenze immerhin noch 7 Millionen Euro oder 1,4 % des Umsatzes.


Schritt 1: In welchem Sektor ist Ihr Unternehmen tätig?

Der erste Prüfschritt betrifft Ihre Branchenzugehörigkeit. Das NIS2UmsuCG unterscheidet zwischen zwei Anlagen mit unterschiedlicher Kritikalitätsstufe.

Anlage 1: Sektoren mit hoher Kritikalität (wesentliche Einrichtungen)

Diese elf Sektoren gelten als besonders kritisch für das gesellschaftliche und wirtschaftliche Funktionieren Deutschlands:

  1. Energie (Strom, Gas, Fernwärme, Öl, Wasserstoff)
  2. Verkehr (Luft, Schiene, Wasser, Straße)
  3. Bankwesen
  4. Finanzmarktinfrastrukturen
  5. Gesundheitswesen (Krankenhäuser, Labore, Pharmaunternehmen)
  6. Trinkwasser
  7. Abwasser
  8. Digitale Infrastruktur (Internet-Knoten, DNS, TLD-Registries, Rechenzentren, Cloud-Anbieter)
  9. Verwaltung von IKT-Diensten (B2B-Managed-Service-Provider)
  10. Öffentliche Verwaltung
  11. Weltraum

Anlage 2: Sonstige kritische Sektoren (wichtige Einrichtungen)

Diese sieben Sektoren unterliegen etwas geringeren Anforderungen, sind aber ebenfalls reguliert:

  1. Post- und Kurierdienste
  2. Abfallbewirtschaftung
  3. Chemikalien (Herstellung, Produktion, Handel)
  4. Lebensmittel (Produktion, Verarbeitung, Vertrieb)
  5. Verarbeitendes Gewerbe / Herstellung von Waren (u. a. Medizinprodukte, Maschinenbau, Kraftfahrzeuge, Elektronik)
  6. Digitale Dienste (Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke)
  7. Forschung

Tipp für die Praxis: Viele mittelständische Unternehmen im verarbeitenden Gewerbe oder in der Lebensmittelbranche sind überrascht, wenn sie feststellen, dass sie in Anlage 2 fallen. Prüfen Sie Ihre Haupttätigkeit und eventuelle Nebentätigkeiten sorgfältig anhand der NACE-Codes.


Schritt 2: Erfüllt Ihr Unternehmen die Größenkriterien?

Nur weil Sie in einem der genannten Sektoren tätig sind, bedeutet das nicht automatisch, dass Sie betroffen sind. Die Unternehmensgröße ist das zweite zentrale Kriterium.

Die NIS2-Größenschwellen im Überblick

Kategorie Mitarbeiter Jahresumsatz oder Jahresbilanzsumme NIS2-Klassifizierung
Großunternehmen (Anlage 1) ≥ 250 > 50 Mio. € oder > 43 Mio. € Wesentliche Einrichtung
Mittleres Unternehmen (Anlage 1) ≥ 50 > 10 Mio. € oder > 10 Mio. € Wesentliche Einrichtung
Großunternehmen (Anlage 2) ≥ 250 > 50 Mio. € oder > 43 Mio. € Wichtige Einrichtung
Mittleres Unternehmen (Anlage 2) ≥ 50 > 10 Mio. € oder > 10 Mio. € Wichtige Einrichtung
Kleinst-/Kleinunternehmen < 50 ≤ 10 Mio. € In der Regel nicht betroffen*

*Ausnahmen gelten für bestimmte Anbieter – z. B. TLD-Registries, DNS-Dienstleister oder Anbieter öffentlicher elektronischer Kommunikationsnetze, die unabhängig von der Größe reguliert werden können.

Wichtig: Verbundene Unternehmen werden konsolidiert

Konzernstrukturen und Beteiligungen sind bei der Größenberechnung zu berücksichtigen. Gemäß der EU-Empfehlung 2003/361/EG zur KMU-Definition werden Partnerunternehmen und verbundene Unternehmen in die Mitarbeiterzahl und Umsatzschwellen einbezogen. Ein Tochterunternehmen eines Konzerns mit 300 Mitarbeitern gilt also nicht als kleines Unternehmen, selbst wenn es nur 40 eigene Mitarbeiter hat.


Schritt 3: Wesentliche oder wichtige Einrichtung – was ist der Unterschied?

Die Einordnung als wesentliche oder wichtige Einrichtung bestimmt den Umfang Ihrer Pflichten und die Intensität der behördlichen Aufsicht durch das BSI.

Wesentliche Einrichtungen (§28 Abs. 1 BSIG)

  • Stammen aus Anlage 1 und sind Groß- oder Mittelunternehmen
  • Unterliegen der proaktiven Aufsicht durch das BSI
  • Das BSI kann jederzeit Audits anordnen und Nachweise verlangen
  • Bußgelder: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes

Wichtige Einrichtungen (§28 Abs. 2 BSIG)

  • Stammen aus Anlage 1 als Kleinunternehmen (mit Ausnahmen) oder aus Anlage 2 als Mittel- oder Großunternehmen
  • Unterliegen der reaktiven Aufsicht – das BSI wird nur tätig, wenn es Hinweise auf Verstöße gibt
  • Bußgelder: bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes

Interaktiver Selbsttest: Bin ich von NIS2 betroffen?

Nutzen Sie diese kompakte Checkliste für Ihre erste Einschätzung:

NIS2-Betroffenheits-Checkliste

  • [ ] Sektor-Check: Ist mein Unternehmen in einem der Sektoren aus Anlage 1 oder Anlage 2 tätig?
  • [ ] Mitarbeiter-Check: Beschäftigt mein Unternehmen (inkl. verbundene Unternehmen) 50 oder mehr Mitarbeiter?
  • [ ] Umsatz-Check: Erzielt mein Unternehmen mehr als 10 Millionen Euro Jahresumsatz oder weist es mehr als 10 Millionen Euro Jahresbilanzsumme aus?
  • [ ] Ausnahme-Check: Falle ich unter eine der Sonderregelungen (z. B. als DNS-Anbieter, TLD-Registry oder öffentliche Verwaltung)?
  • [ ] Konsolidierungs-Check: Habe ich verbundene oder Partnerunternehmen berücksichtigt?

Auswertung:
- Alle ersten drei Fragen mit Ja beantwortet? → Sie sind sehr wahrscheinlich NIS2-pflichtig.
- Nur Sektor-Check positiv, aber Größe nicht erreicht? → Prüfen Sie die Sonderregelungen und konsultieren Sie einen Rechtsberater.
- Kein passender Sektor? → Aktuell nicht direkt betroffen (aber: Lieferkettenpflichten Ihrer Kunden könnten Sie indirekt berühren).

Hinweis: Dieser Selbsttest ersetzt keine rechtliche Beratung. Gerade in Grenzfällen empfiehlt sich eine Abstimmung mit dem BSI oder einem auf NIS2 spezialisierten Rechtsanwalt.


Was droht bei Nichterfüllung? Die Sanktionen nach §65 BSIG

Viele Unternehmen unterschätzen die Ernsthaftigkeit der NIS2-Sanktionen. Der Gesetzgeber hat mit §65 BSIG ein scharfes Sanktionsinstrument geschaffen:

Bußgeldrahmen im Detail

Für wesentliche Einrichtungen:
- Bis zu 10.000.000 Euro oder
- Bis zu 2 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres – je nachdem, welcher Betrag höher ist

Für wichtige Einrichtungen:
- Bis zu 7.000.000 Euro oder
- Bis zu 1,4 % des gesamten weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist

Besonders kritisch: Das BSI kann nach §61 BSIG auch die persönliche Haftung von Geschäftsführern und Vorständen geltend machen, wenn diese ihren Aufsichts- und Steuerungspflichten im Bereich Cybersicherheit nicht nachgekommen sind. NIS2 ist damit nicht nur ein IT-Thema – es ist Chefsache.

Weitere Konsequenzen bei Verstößen

  • Vorübergehende Untersagung von Managementfunktionen bei wiederholten schwerwiegenden Verstößen
  • Öffentliche Bekanntmachung von Verstößen durch das BSI (Naming and Shaming)
  • Betriebsuntersagungen in besonders schweren Fällen
  • Reputationsschäden gegenüber Kunden, Partnern und Investoren

Konkrete Handlungsempfehlungen: So gehen Sie jetzt vor

Wenn Sie nach der Betroffenheitsprüfung festgestellt haben, dass Ihr Unternehmen unter NIS2 fällt, sollten Sie folgende Schritte unmittelbar einleiten:

  1. Betroffenheit dokumentieren: Halten Sie Ihre Einschätzung schriftlich fest – inklusive der zugrunde liegenden Daten zu Mitarbeiterzahl, Umsatz und Sektor. Diese Dokumentation ist im Falle einer BSI-Prüfung wichtig.

  2. Beim BSI registrieren: Betroffene Einrichtungen sind verpflichtet, sich im BSI-Portal zu registrieren. Halten Sie dafür Kontaktdaten des Ansprechpartners für Informationssicherheit bereit.

  3. Gap-Analyse durchführen: Vergleichen Sie Ihre bestehenden Sicherheitsmaßnahmen mit den Anforderungen aus §30 BSIG (Risikomanagement). Typische Lücken finden sich bei Incident-Response-Prozessen, Supply-Chain-Sicherheit und Datensicherung.

  4. Geschäftsleitung einbinden: Gemäß §38 BSIG müssen Geschäftsführer die Cybersicherheitsmaßnahmen billigen und deren Umsetzung überwachen. Schulen Sie Ihre Führungskräfte zu NIS2-Pflichten.

  5. Meldeprozesse etablieren: Sicherheitsvorfälle müssen nach §32 BSIG innerhalb von 24 Stunden (Erstmeldung) und 72 Stunden (Detailmeldung) gemeldet werden. Stellen Sie sicher, dass Ihre Incident-Response-Prozesse das leisten können.

  6. Lieferkette prüfen: Analysieren Sie, welche Ihrer Dienstleister und Lieferanten sicherheitsrelevante Rollen spielen, und fordern Sie entsprechende Nachweise ein (§30 Abs. 2 Nr. 4 BSIG).

  7. ISMS aufbauen oder zertifizieren: Ein nach ISO/IEC 27001 zertifiziertes Informationssicherheits-Managementsystem (ISMS) gilt als starkes Indiz für NIS2-Compliance und erleichtert BSI-Prüfungen erheblich.

  8. Regelmäßige Überprüfung sicherstellen: NIS2-Compliance ist kein einmaliges Projekt. Etablieren Sie Prozesse zur jährlichen Überprüfung – insbesondere wenn sich Unternehmensstruktur, Umsatz oder Dienstleistungsangebot ändern.


Sonderfall: Indirekte Betroffenheit durch die Lieferkette

Auch wenn Ihr Unternehmen selbst nicht unter NIS2 fällt, kann es sein, dass Ihre Kunden Sie als Teil ihrer Lieferkette betrachten und entsprechende Nachweise einfordern. Große Unternehmen und Konzerne, die selbst NIS2-pflichtig sind, werden zunehmend vertragliche Cybersicherheits-Anforderungen an Lieferanten weitergeben.

Praktische Konsequenz: Selbst Kleinunternehmen sollten NIS2 auf dem Radar haben, wenn sie für regulierte Branchen tätig sind – etwa als IT-Dienstleister für Krankenhäuser, als Zulieferer für die Energiewirtschaft oder als Softwareanbieter für Finanzinstitute.


Fazit: Jetzt handeln, bevor das BSI anklopft

Die NIS2-Betroffenheitsprüfung ist der unverzichtbare erste Schritt auf dem Weg zur Compliance. Wer jetzt noch nicht geprüft hat, ob sein Unternehmen unter §3 NIS2UmsuCG fällt, spielt mit dem Feuer – denn das BSI hat seine Aufsichtstätigkeit deutlich intensiviert.

Ihre nächsten Schritte auf einen Blick:

  1. ✅ Sektor-Zugehörigkeit anhand der Anlagen 1 und 2 prüfen
  2. ✅ Mitarbeiterzahl und Umsatz inklusive verbundener Unternehmen ermitteln
  3. ✅ Einordnung als wesentliche oder wichtige Einrichtung vornehmen
  4. ✅ Beim BSI registrieren (Pflicht!)
  5. ✅ Gap-Analyse starten und ISMS-Dokumentation aufbauen

Die gute Nachricht: Wer strukturiert vorgeht, kann NIS2-Compliance in überschaubaren Schritten erreichen – ohne sein gesamtes IT-Budget umzuwerfen.


Nächster Schritt: NIS2-Compliance digital abbilden

Um den Überblick über Ihre NIS2-Pflichten zu behalten, empfehlen Experten den Einsatz einer spezialisierten ISMS- oder NIS2-Compliance-Software. Solche Tools helfen Ihnen, Ihre Betroffenheit zu dokumentieren, Maßnahmen zu tracken, Meldeprozesse abzubilden und Nachweise für BSI-Prüfungen strukturiert bereitzuhalten. Viele Lösungen bieten zudem vorgefertigte NIS2-Maßnahmenkataloge, die sich an den Anforderungen des §30 BSIG orientieren – das spart Zeit und reduziert das Risiko, wichtige Pflichten zu übersehen. Prüfen Sie, welche Lösung zu Ihrer Unternehmensgröße und Ihrer bestehenden IT-Infrastruktur passt.


Haben Sie Fragen zur NIS2-Betroffenheitsprüfung für Ihr Unternehmen? Die offiziellen Orientierungshilfen des BSI sowie das NIS2UmsuCG im Volltext stehen auf der Website des Bundesamts für Sicherheit in der Informationstechnik (bsi.bund.de) kostenlos zur Verfügung.