NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?

Veröffentlicht am 08. Juli 2026 | Lesedauer: ca. 8 Minuten


Seit der Umsetzung der europäischen NIS2-Richtlinie in deutsches Recht durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) stehen tausende Unternehmen in Deutschland vor einer zentralen Frage: Bin ich überhaupt betroffen? Die Antwort darauf ist keine Kleinigkeit – denn wer irrtümlich davon ausgeht, nicht unter die Regelungen zu fallen, riskiert empfindliche Bußgelder nach § 65 BSIG von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.

Dieser Artikel führt Sie systematisch durch die NIS2-Betroffenheitsprüfung für Unternehmen in Deutschland 2025/2026 – mit konkreten Kriterien, einem Selbsttest und klaren Handlungsempfehlungen.


Was regelt §3 NIS2UmsuCG? Der gesetzliche Rahmen

Der Anwendungsbereich der deutschen NIS2-Umsetzung ist in § 3 NIS2UmsuCG definiert. Danach gilt das Gesetz für Einrichtungen, die bestimmten Sektoren angehören und bestimmte Größenkriterien erfüllen. Zusätzlich gibt es Einrichtungen, die unabhängig von ihrer Größe als betroffen gelten – dazu gleich mehr.

Das Gesetz unterscheidet grundlegend zwischen zwei Kategorien von Einrichtungen:

  • Wesentliche Einrichtungen (Essential Entities, EE)
  • Wichtige Einrichtungen (Important Entities, IE)

Diese Unterscheidung ist nicht nur akademisch: Sie bestimmt die Intensität der Aufsicht, die Pflichten und die Höhe möglicher Bußgelder.


Schritt 1: Gehört Ihr Unternehmen zu einem betroffenen Sektor?

Die NIS2-Richtlinie und ihre deutsche Umsetzung definieren zwei Listen besonders relevanter Sektoren:

Anlage 1: Sektoren mit hoher Kritikalität (Wesentliche Einrichtungen)

Einrichtungen aus diesen Sektoren werden – bei Erfüllung der Größenkriterien – in der Regel als wesentliche Einrichtungen eingestuft:

Sektor Beispiele
Energie Strom, Gas, Öl, Fernwärme, Wasserstoff
Verkehr Luftfahrt, Schiene, Schifffahrt, Straßenverkehr
Bankwesen Kreditinstitute
Finanzmarktinfrastruktur Handelsplätze, zentrale Gegenparteien
Gesundheitswesen Krankenhäuser, Labore, Pharmahersteller
Trinkwasser Wasserversorgungsunternehmen
Abwasser Abwasserentsorgung
Digitale Infrastruktur IXPs, DNS, TLD, Rechenzentren, Cloud, CDN
IKT-Dienstemanagement (B2B) Managed Service Provider, MSSP
Öffentliche Verwaltung Bundes- und Landesbehörden
Weltraum Betreiber von Bodeninfrastruktur

Anlage 2: Sonstige kritische Sektoren (Wichtige Einrichtungen)

Einrichtungen aus diesen Sektoren werden typischerweise als wichtige Einrichtungen eingestuft:

Sektor Beispiele
Post- und Kurierdienste Paketzusteller, Briefdienste
Abfallbewirtschaftung Entsorgungsunternehmen
Chemie Produktion, Handel gefährlicher Stoffe
Lebensmittel Großhandel, Lebensmittelproduktion
Verarbeitendes Gewerbe Medizinprodukte, Elektronik, Maschinenbau, Kfz
Digitale Dienste Online-Marktplätze, Suchmaschinen, soziale Netzwerke
Forschung Forschungseinrichtungen

Wichtig: Auch wenn Ihr Unternehmen nicht direkt einem dieser Sektoren angehört, kann eine Zulieferer- oder Dienstleistungsbeziehung zu betroffenen Unternehmen faktische Compliance-Anforderungen auslösen – insbesondere über Lieferkettenpflichten nach § 30 BSIG.


Schritt 2: Erfüllt Ihr Unternehmen die Größenschwellen?

Die NIS2-Betroffenheit knüpft in Deutschland an zwei kumulative Größenkriterien an:

Die Standardschwellen im Überblick

Kriterium Schwellenwert
Mitarbeiterzahl ≥ 50 Beschäftigte
Jahresumsatz oder Jahresbilanzsumme ≥ 10 Millionen Euro

Ein Unternehmen muss beide Kriterien gleichzeitig erfüllen, um in den Anwendungsbereich zu fallen – es sei denn, es gehört zu den sogenannten größenunabhängig betroffenen Einrichtungen.

Wer ist größenunabhängig betroffen?

Bestimmte Einrichtungen unterliegen NIS2 unabhängig von ihrer Größe. Dazu zählen laut NIS2UmsuCG unter anderem:

  • Betreiber kritischer Anlagen (KRITIS nach BSI-Gesetz)
  • Anbieter öffentlicher elektronischer Kommunikationsnetze oder -dienste
  • Vertrauensdiensteanbieter (qualifiziert und nicht qualifiziert)
  • Top-Level-Domain-Registries und DNS-Resolver
  • Einrichtungen, die als einziger Anbieter in einem Mitgliedstaat fungieren und deren Ausfall erhebliche gesellschaftliche Auswirkungen hätte

Schritt 3: Wesentliche vs. Wichtige Einrichtung – Was ist der Unterschied?

Die Einstufung als wesentliche oder wichtige Einrichtung hat erhebliche praktische Konsequenzen:

Wesentliche Einrichtungen (§ 28 BSIG)

  • Unterliegen der proaktiven Aufsicht durch das BSI
  • Das BSI kann jederzeit Audits und Inspektionen anordnen
  • Maximales Bußgeld: 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes
  • Geschäftsführer haften persönlich für die Umsetzung der Risikomanagementmaßnahmen

Wichtige Einrichtungen (§ 29 BSIG)

  • Unterliegen der reaktiven Aufsicht – das BSI wird primär tätig, wenn Hinweise auf Verstöße vorliegen
  • Maximales Bußgeld: 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes
  • Ebenfalls persönliche Geschäftsführerhaftung möglich

Interaktiver Selbsttest: Bin ich von NIS2 betroffen?

Beantworten Sie die folgenden Fragen der Reihe nach:

Frage 1: Ist Ihr Unternehmen in einem der Sektoren aus Anlage 1 oder Anlage 2 tätig?
- ❌ Nein → Sie sind voraussichtlich nicht direkt betroffen (Lieferkettenpflichten prüfen!)
- ✅ Ja → Weiter zu Frage 2

Frage 2: Beschäftigt Ihr Unternehmen 50 oder mehr Mitarbeitende?
- ❌ Nein → Weiter zu Frage 4 (Sonderregeln)
- ✅ Ja → Weiter zu Frage 3

Frage 3: Übersteigt Ihr Jahresumsatz oder Ihre Jahresbilanzsumme 10 Millionen Euro?
- ❌ Nein → Voraussichtlich nicht betroffen (Entwicklung beobachten)
- ✅ Ja → Weiter zu Frage 4

Frage 4: Gehören Sie zu den größenunabhängig betroffenen Einrichtungen (KRITIS, Telekommunikation, Vertrauensdienste)?
- ✅ Ja → Betroffen – unabhängig von Größe und Sektor
- ❌ Nein + Frage 3 mit Ja → Betroffen – Einstufung als wesentliche oder wichtige Einrichtung prüfen

Empfehlung: Die offizielle Registrierungspflicht für betroffene Einrichtungen besteht gegenüber dem BSI. Das BSI stellt unter bsi.bund.de entsprechende Informationen und perspektivisch ein Meldeportal zur Verfügung.


Welche Pflichten entstehen bei Betroffenheit?

Wenn Ihr Unternehmen unter NIS2 fällt, müssen Sie konkrete Maßnahmen umsetzen. Die wichtigsten Pflichten im Überblick:

Risikomanagement (§ 30 BSIG)

  • Implementierung eines Informationssicherheits-Managementsystems (ISMS)
  • Risikoanalysen und Sicherheitskonzepte
  • Maßnahmen zur Angriffserkennung, Backup-Management, Kryptografie
  • Sicherheit in der Lieferkette – Anforderungen an Zulieferer und Dienstleister

Meldepflichten (§ 32 BSIG)

  • Erhebliche Sicherheitsvorfälle müssen dem BSI gemeldet werden
  • Erstmeldung: innerhalb von 24 Stunden nach Kenntnisnahme
  • Folgemeldung: innerhalb von 72 Stunden
  • Abschlussbericht: innerhalb von einem Monat

Registrierungspflicht (§ 33 BSIG)

  • Betroffene Einrichtungen müssen sich beim BSI registrieren
  • Angaben zu Sektor, Größe, Kontaktdaten und verantwortlichen Personen

Geschäftsleiterhaftung (§ 38 BSIG)

  • Geschäftsführer und Vorstände müssen Cybersicherheitsmaßnahmen billigen und überwachen
  • Persönliche Haftung für Schäden durch Versäumnisse ist möglich
  • Schulungspflicht für die Geschäftsleitung

Konsequenzen bei Nichterfüllung: Bußgelder nach §65 BSIG

Die Sanktionen bei Verstößen gegen die NIS2-Pflichten sind erheblich und in § 65 BSIG geregelt:

Verstoß Wesentliche Einrichtung Wichtige Einrichtung
Verletzung der Risikomanagementpflichten Bis zu 10 Mio. € oder 2 % Jahresumsatz Bis zu 7 Mio. € oder 1,4 % Jahresumsatz
Verletzung der Meldepflichten Bis zu 10 Mio. € oder 2 % Jahresumsatz Bis zu 7 Mio. € oder 1,4 % Jahresumsatz
Verletzung der Registrierungspflicht Bis zu 500.000 € Bis zu 500.000 €

Zusätzlich kann das BSI bei wesentlichen Einrichtungen die vorübergehende Untersagung der Leitungstätigkeit für Geschäftsführer anordnen – ein in der deutschen Rechtsgeschichte bislang beispielloser Eingriff.


7 konkrete Handlungsempfehlungen für betroffene Unternehmen

  1. Betroffenheit formell feststellen: Dokumentieren Sie schriftlich, ob und warum Ihr Unternehmen unter NIS2 fällt. Dies ist bereits Teil Ihrer Compliance-Pflicht und schützt im Zweifel vor Vorwürfen der Fahrlässigkeit.

  2. Sektor und Einrichtungstyp klassifizieren: Legen Sie fest, ob Sie als wesentliche oder wichtige Einrichtung gelten. Holen Sie bei Unklarheit rechtliche Beratung ein.

  3. Beim BSI registrieren: Sofern noch nicht geschehen, registrieren Sie Ihr Unternehmen über das BSI-Meldeportal. Die Registrierungspflicht besteht unmittelbar.

  4. Gap-Analyse durchführen: Vergleichen Sie Ihre bestehende IT-Sicherheitsstrategie mit den Anforderungen des § 30 BSIG. Identifizieren Sie Lücken systematisch.

  5. ISMS aufbauen oder zertifizieren: Implementieren Sie ein Informationssicherheits-Managementsystem, idealerweise nach ISO/IEC 27001. Das BSI akzeptiert die ISO 27001-Zertifizierung als starkes Indiz für ausreichende Maßnahmen.

  6. Meldeprozesse etablieren: Definieren Sie intern klare Eskalationsprozesse, damit Sicherheitsvorfälle innerhalb von 24 Stunden erkannt und gemeldet werden können.

  7. Geschäftsführung schulen: Führen Sie nachweisbare Schulungen für Ihre Leitungsebene durch. Dies ist gesetzlich vorgeschrieben und schützt vor persönlicher Haftung.


Fazit: Jetzt handeln, nicht abwarten

Die NIS2-Betroffenheitsprüfung ist kein einmaliger Verwaltungsakt, sondern ein kontinuierlicher Prozess – denn Unternehmen wachsen, Sektoren ändern sich, und der Gesetzgeber passt Regelungen an. Wer jetzt noch zögert, riskiert nicht nur Bußgelder nach § 65 BSIG, sondern auch Reputationsschäden und operative Risiken bei Cyberangriffen ohne angemessene Schutzmaßnahmen.

Ihre nächsten Schritte im Überblick:
- ✅ Betroffenheit nach §3 NIS2UmsuCG prüfen
- ✅ Einrichtungstyp (wesentlich/wichtig) festlegen
- ✅ Beim BSI registrieren
- ✅ Gap-Analyse und ISMS-Aufbau starten
- ✅ Melde- und Eskalationsprozesse dokumentieren


💡 Nützlicher Tipp: NIS2-Compliance mit digitaler Unterstützung

Die Umsetzung der NIS2-Anforderungen erzeugt erheblichen Dokumentationsaufwand – von der Risikoanalyse über Richtlinien bis hin zu Nachweisen für das BSI. Spezialisierte ISMS- und NIS2-Compliance-Softwarelösungen helfen Ihnen dabei, Ihre Betroffenheit zu dokumentieren, Maßnahmen zu planen, Vorfälle zu tracken und Audit-Nachweise strukturiert bereitzustellen. Viele Tools bieten inzwischen vorgefertigte NIS2-Frameworks, die sich an den BSI-Grundschutz und ISO 27001 anlehnen – ein erheblicher Zeitvorteil gegenüber manuellen Prozessen in Excel und Word. Fragen Sie Ihren IT-Dienstleister oder recherchieren Sie am Markt nach Lösungen, die speziell für mittelständische Unternehmen in Deutschland konzipiert wurden.


Quellen und weiterführende Informationen: BSI-Grundschutz-Kompendium, NIS2UmsuCG (BGBl. 2024), ENISA NIS2-Leitfaden, BSIG in der Fassung 2024, EU-Richtlinie 2022/2555 (NIS2)