NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?
Veröffentlicht am 09. Juli 2026 | Lesedauer: ca. 8 Minuten
Die NIS2-Richtlinie der Europäischen Union und ihre Umsetzung in deutsches Recht durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) stellen viele Unternehmen in Deutschland vor eine entscheidende Frage: Bin ich überhaupt betroffen? Die Antwort darauf ist komplexer als zunächst vermutet – und die Konsequenzen bei Unwissenheit können erheblich sein. Dieser Artikel führt Sie Schritt für Schritt durch die NIS2-Betroffenheitsprüfung für Unternehmen in Deutschland 2025 und 2026.
Was ist die NIS2-Betroffenheitsprüfung – und warum ist sie so wichtig?
Die Betroffenheitsprüfung nach § 3 NIS2UmsuCG ist der erste und entscheidende Schritt auf dem Weg zur NIS2-Compliance. Sie klärt, ob Ihr Unternehmen als wesentliche oder wichtige Einrichtung eingestuft wird und welche Pflichten daraus resultieren. Wer diese Prüfung versäumt, riskiert nicht nur Bußgelder in Millionenhöhe, sondern auch erhebliche Reputationsschäden und operative Risiken im Falle eines Cyberangriffs.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Anwendungsbereich der NIS2-Richtlinie gegenüber der Vorgängerversion deutlich ausgeweitet. Schätzungen zufolge sind in Deutschland nun mehr als 30.000 Unternehmen von den neuen Regelungen betroffen – eine Verzehnfachung gegenüber der alten NIS1-Richtlinie.
Schritt 1: Gehört Ihr Unternehmen zu einem betroffenen Sektor?
Der erste Prüfpunkt der NIS2-Betroffenheitsprüfung ist die Sektorzugehörigkeit. Das NIS2UmsuCG unterscheidet dabei zwischen zwei Anlagen:
Anlage 1: Sektoren mit hoher Kritikalität (wesentliche Einrichtungen)
Diese Sektoren unterliegen den strengsten Anforderungen:
- Energie (Strom, Gas, Öl, Wärme, Wasserstoff)
- Verkehr (Luft, Schienen, Wasser, Straße)
- Bankwesen und Finanzmarktinfrastrukturen
- Gesundheitswesen (Krankenhäuser, Labore, Pharmahersteller)
- Trinkwasser und Abwasser
- Digitale Infrastruktur (DNS-Anbieter, TLD-Registries, Rechenzentren, Cloud)
- IKT-Dienstleistungsmanagement (B2B)
- Öffentliche Verwaltung (auf Bundes- und Landesebene)
- Weltraum
Anlage 2: Sonstige kritische Sektoren (wichtige Einrichtungen)
Diese Sektoren unterliegen etwas weniger strengen, aber dennoch substanziellen Anforderungen:
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Chemische Industrie
- Lebensmittelproduktion und -vertrieb
- Verarbeitendes Gewerbe / Maschinenbau
- Digitale Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
- Forschung (öffentliche und private Forschungseinrichtungen)
Wichtig: Auch wenn Ihr Kerngeschäft nicht direkt in einem dieser Sektoren liegt, kann die Zulieferung zu kritischen Unternehmen eine Betroffenheit begründen. Lieferketten werden im NIS2-Kontext explizit mitbetrachtet.
Schritt 2: Erfüllt Ihr Unternehmen die Größenkriterien?
Die Sektorzugehörigkeit allein reicht nicht aus. Es gelten zusätzlich Schwellenwerte, die sich an der Unternehmensgröße orientieren. Grundsätzlich gilt die Faustregel der EU-Kommission:
Standardschwellenwerte nach § 3 NIS2UmsuCG
| Kategorie | Mitarbeiterzahl | Jahresumsatz ODER Jahresbilanzsumme |
|---|---|---|
| Mittleres Unternehmen (mindestens) | ≥ 50 Mitarbeiter | ≥ 10 Mio. Euro |
| Großes Unternehmen | ≥ 250 Mitarbeiter | ≥ 50 Mio. Euro Umsatz oder ≥ 43 Mio. Euro Bilanz |
| Wesentliche Einrichtung (Anlage 1) | ≥ 250 Mitarbeiter | ≥ 50 Mio. Euro Umsatz |
| Wichtige Einrichtung (Anlage 2 oder kleinere Anlage-1-Unternehmen) | ≥ 50 Mitarbeiter | ≥ 10 Mio. Euro |
Wichtige Ausnahme: Für bestimmte Einrichtungen gelten die Größenschwellen nicht. Folgende Unternehmen fallen unabhängig von ihrer Größe unter NIS2:
- Anbieter öffentlicher elektronischer Kommunikationsnetze
- Qualifizierte Vertrauensdiensteanbieter
- TLD-Namenregistrierungsstellen und DNS-Dienstanbieter
- Unternehmen, die als einzige Anbieter eines kritischen Dienstes in einem EU-Mitgliedstaat agieren
- Unternehmen, bei denen eine Störung erhebliche Auswirkungen auf die öffentliche Sicherheit hätte
Schritt 3: Wesentliche vs. wichtige Einrichtung – Was ist der Unterschied?
Die Unterscheidung zwischen wesentlichen Einrichtungen (Essential Entities, EE) und wichtigen Einrichtungen (Important Entities, IE) ist entscheidend für den Umfang der Pflichten und die Höhe möglicher Bußgelder.
Wesentliche Einrichtungen (§ 28 Abs. 1 NIS2UmsuCG)
- Großunternehmen aus Anlage-1-Sektoren
- Unterliegen proaktiver Aufsicht durch das BSI
- BSI kann jederzeit Kontrollen durchführen
- Maximales Bußgeld: 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes (§ 65 BSIG)
Wichtige Einrichtungen (§ 28 Abs. 2 NIS2UmsuCG)
- Mittlere Unternehmen aus Anlage-1-Sektoren oder Unternehmen aus Anlage-2-Sektoren
- Unterliegen reaktiver Aufsicht – das BSI wird primär bei konkreten Verdachtsmomenten tätig
- Maximales Bußgeld: 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes (§ 65 BSIG)
Interaktiver Selbsttest: Ist Ihr Unternehmen von NIS2 betroffen?
Nutzen Sie die folgende Checkliste zur schnellen Ersteinschätzung Ihrer NIS2-Betroffenheit. Beantworten Sie jede Frage mit Ja oder Nein:
NIS2-Betroffenheits-Checkliste
- [ ] Frage 1: Ist mein Unternehmen in einem der Sektoren aus Anlage 1 oder Anlage 2 des NIS2UmsuCG tätig?
- [ ] Frage 2: Beschäftigt mein Unternehmen 50 oder mehr Mitarbeiter (Vollzeitäquivalente)?
- [ ] Frage 3: Erzielt mein Unternehmen einen Jahresumsatz von mindestens 10 Mio. Euro oder weist eine Jahresbilanzsumme von mindestens 10 Mio. Euro auf?
- [ ] Frage 4: Handelt es sich um eine öffentliche Verwaltungseinrichtung auf Bundes- oder Landesebene?
- [ ] Frage 5: Ist mein Unternehmen ein qualifizierter Vertrauensdiensteanbieter, ein DNS-Anbieter oder Betreiber kritischer digitaler Infrastruktur (unabhängig von der Größe)?
- [ ] Frage 6: Liefert mein Unternehmen wesentliche Komponenten oder Dienstleistungen an Unternehmen in Anlage-1-Sektoren (Lieferkettenbetroffenheit)?
Auswertung:
- Fragen 1–3 alle mit Ja beantwortet → Ihre Betroffenheit ist sehr wahrscheinlich. Führen Sie eine detaillierte Prüfung durch.
- Frage 4 oder 5 mit Ja beantwortet → Betroffenheit unabhängig von Größenkriterien sehr wahrscheinlich.
- Nur Frage 6 mit Ja beantwortet → Keine direkte gesetzliche Pflicht, aber starker Handlungsdruck durch Vertragsbeziehungen und Lieferkettensicherheitsanforderungen Ihrer Kunden.
- Alle Fragen mit Nein → Aktuell wahrscheinlich nicht direkt betroffen, aber regelmäßige Überprüfung empfohlen.
Hinweis: Dieser Selbsttest ersetzt keine rechtliche oder fachliche Beratung. Für eine verbindliche Einschätzung empfiehlt das BSI die Nutzung des offiziellen Registrierungsportals sowie die Hinzuziehung eines qualifizierten Beraters.
Was passiert, wenn Sie betroffen sind und nichts unternehmen?
Die Konsequenzen einer Nichterfüllung der NIS2-Anforderungen sind erheblich. § 65 BSIG regelt den Bußgeldrahmen detailliert:
Mögliche Sanktionen nach § 65 BSIG
Für wesentliche Einrichtungen:
- Bis zu 10.000.000 Euro oder 2 % des gesamten weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist
- Bei schwerwiegenden Verstößen kann das BSI den Geschäftsbetrieb vorübergehend untersagen
- Persönliche Haftung der Geschäftsführung bei Pflichtverletzungen (§ 38 NIS2UmsuCG)
Für wichtige Einrichtungen:
- Bis zu 7.000.000 Euro oder 1,4 % des weltweiten Jahresumsatzes
Weitere Konsequenzen jenseits des Bußgelds:
- Reputationsverlust durch Veröffentlichungspflichten bei schwerwiegenden Vorfällen
- Haftungsrisiken gegenüber betroffenen Kunden und Partnern
- Vertragliche Konsequenzen bei Verstößen gegen Lieferkettenanforderungen
- Ausschluss von öffentlichen Aufträgen
Konkrete Handlungsempfehlungen: So gehen Sie jetzt vor
Wenn Sie nach der Betroffenheitsprüfung festgestellt haben, dass NIS2 für Ihr Unternehmen gilt, empfehlen wir folgende Schritte:
-
Registrierung beim BSI-Portal: Betroffene Einrichtungen sind verpflichtet, sich beim BSI zu registrieren. Nutzen Sie dafür das offizielle MELDP-Portal des BSI und halten Sie alle relevanten Unternehmensdaten bereit.
-
Gap-Analyse durchführen: Vergleichen Sie Ihren aktuellen Sicherheitsstatus mit den Anforderungen der §§ 30–38 NIS2UmsuCG. Besonderes Augenmerk gilt Risikoanalyse, Incident Response, Business Continuity und Supply-Chain-Sicherheit.
-
Verantwortlichkeiten im Management klären: Die Geschäftsführung trägt nach § 38 NIS2UmsuCG die persönliche Verantwortung für die Umsetzung der Cybersicherheitsmaßnahmen. Eine klare interne Zuständigkeitsregelung ist unerlässlich.
-
ISMS aufbauen oder anpassen: Implementieren oder zertifizieren Sie ein Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001. Dies deckt den Großteil der NIS2-Technischen Anforderungen ab.
-
Meldewege für Sicherheitsvorfälle einrichten: NIS2 schreibt strenge Meldefristen vor: Erstmeldung innerhalb von 24 Stunden, detaillierter Bericht innerhalb von 72 Stunden nach Kenntnisnahme eines erheblichen Vorfalls.
-
Lieferanten und Dienstleister prüfen: Überprüfen Sie bestehende Verträge mit IT-Dienstleistern und kritischen Zulieferern auf NIS2-konforme Sicherheitsanforderungen und passen Sie diese an.
-
Schulungen für Mitarbeiter und Management: § 38 NIS2UmsuCG verpflichtet Leitungsorgane zur regelmäßigen Teilnahme an Cybersicherheitsschulungen. Etablieren Sie ein kontinuierliches Security-Awareness-Programm.
-
Dokumentation sicherstellen: Alle Maßnahmen, Risikoanalysen und Vorfallberichte müssen lückenlos dokumentiert sein. Im Falle einer BSI-Prüfung sind diese Unterlagen vorzulegen.
Häufige Irrtümer bei der NIS2-Betroffenheitsprüfung
Irrtum 1: „Wir sind zu klein für NIS2."
Viele Unternehmen unterschätzen ihre eigene Größe oder übersehen, dass Unternehmensgruppen konsolidiert betrachtet werden. Die Mitarbeiterzahl einer Muttergesellschaft kann relevant sein.
Irrtum 2: „Wir sind nicht in einem kritischen Sektor tätig."
Zulieferer und IT-Dienstleister für kritische Sektoren stehen zunehmend im Fokus. Auch wenn keine direkte gesetzliche Pflicht besteht, werden Kunden aus Pflichtbranchen NIS2-konforme Sicherheitsnachweise einfordern.
Irrtum 3: „NIS2 betrifft nur IT-Unternehmen."
NIS2 gilt ausdrücklich auch für produzierende Unternehmen, Lebensmittelhersteller, Logistiker und viele weitere Branchen.
Irrtum 4: „Wir warten auf weitere Klarstellungen des Gesetzgebers."
Die Pflichten gelten. Das BSI hat angekündigt, die Aufsicht ab 2026 deutlich aktiver wahrzunehmen. Zuwarten ist keine Strategie.
Fazit: Nächste Schritte für Ihr Unternehmen
Die NIS2-Betroffenheitsprüfung ist kein bürokratischer Formalismus, sondern der notwendige erste Schritt zu einem ernsthaften Cybersicherheitsstandard in Ihrem Unternehmen. Folgende nächste Schritte sind jetzt entscheidend:
- Führen Sie noch heute die Selbstprüfung anhand der obigen Checkliste durch.
- Konsultieren Sie einen NIS2-Experten oder nutzen Sie die offiziellen BSI-Ressourcen für eine verbindliche Einschätzung.
- Registrieren Sie sich beim BSI, wenn Ihre Betroffenheit wahrscheinlich ist – Verspätungen bei der Registrierung können bereits Sanktionen auslösen.
- Starten Sie Ihre Gap-Analyse und priorisieren Sie Maßnahmen nach Risiko und gesetzlicher Anforderung.
Die gute Nachricht: Unternehmen, die NIS2-Compliance strukturiert angehen, stärken gleichzeitig ihre operative Resilienz, gewinnen das Vertrauen ihrer Kunden und reduzieren das Risiko kostspieliger Cyberangriffe.
Tools und Software für Ihre NIS2-Compliance
Die Dokumentation aller NIS2-relevanten Maßnahmen, Risikoanalysen und ISMS-Prozesse ist aufwändig – muss aber nicht zwingend manuell erfolgen. Spezialisierte NIS2-Compliance-Softwarelösungen helfen Ihnen dabei, Betroffenheitsprüfungen zu strukturieren, Maßnahmenpläne zu verwalten, Vorfälle zu dokumentieren und Meldepflichten fristgerecht einzuhalten. Viele Lösungen bieten integrierte Checklisten auf Basis des BSI IT-Grundschutzes und der ISO/IEC 27001, sodass Sie Doppelarbeit vermeiden. Ein strukturiertes ISMS-Tool kann den Aufwand für die NIS2-Umsetzung erheblich reduzieren und Ihnen im Falle einer BSI-Prüfung eine belastbare Dokumentationsbasis liefern. Vergleichen Sie verschiedene Anbieter und achten Sie dabei auf Datenschutzkonformität, deutsche Serverstandorte und BSI-orientierte Vorlagen.
Quellen: BSI-Grundschutz, NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), BSIG in der aktuellen Fassung, ENISA Threat Landscape Report 2025, Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates.