NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?

Veröffentlicht am 10. Juli 2026 | Lesezeit: ca. 10 Minuten


Die NIS2-Richtlinie ist seit ihrer Umsetzung durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) geltendes Recht in Deutschland – und dennoch herrscht in vielen Unternehmen noch immer Unsicherheit darüber, ob sie überhaupt betroffen sind. Diese Unsicherheit ist gefährlich: Wer die eigene Betroffenheit falsch einschätzt, riskiert empfindliche Bußgelder und gefährdet die Cybersicherheit des eigenen Unternehmens. Dieser Artikel führt Sie Schritt für Schritt durch die NIS2-Betroffenheitsprüfung für Unternehmen in Deutschland 2025 und liefert konkrete Handlungsempfehlungen.


Was ist die NIS2-Betroffenheitsprüfung und warum ist sie so wichtig?

Die NIS2-Richtlinie (EU 2022/2555) verpflichtet Unternehmen und Organisationen in bestimmten Sektoren dazu, Mindestanforderungen an die Cybersicherheit zu erfüllen. In Deutschland wurde diese Richtlinie durch das NIS2UmsuCG in nationales Recht überführt, das im Wesentlichen das BSI-Gesetz (BSIG) novelliert hat.

Die Betroffenheitsprüfung nach §3 NIS2UmsuCG ist der erste und entscheidende Schritt: Sie klärt, ob Ihr Unternehmen als wesentliche Einrichtung oder wichtige Einrichtung eingestuft wird – oder ob Sie außerhalb des Anwendungsbereichs liegen. Diese Einstufung bestimmt, welche Pflichten Sie erfüllen müssen und welchen Bußgeldrahmen Sie im Fall von Verstößen erwarten.

Ein häufiger Irrtum: Viele Unternehmen gehen davon aus, dass die NIS2-Richtlinie nur für Großkonzerne oder staatliche Einrichtungen gilt. Tatsächlich sind allein in Deutschland schätzungsweise 29.000 bis 40.000 Unternehmen betroffen – darunter zahlreiche mittelständische Betriebe.


Die zwei entscheidenden Kriterien: Sektor und Größe

Die NIS2-Betroffenheit ergibt sich aus dem Zusammenspiel zweier Faktoren: dem Sektor, in dem Ihr Unternehmen tätig ist, und der Unternehmensgröße.

Schritt 1: Gehört Ihr Unternehmen zu einem betroffenen Sektor?

Das NIS2UmsuCG unterscheidet zwei Kategorien von Sektoren, die in den Anlagen 1 und 2 des Gesetzes aufgelistet sind.

Anlage 1 – Sektoren mit hoher Kritikalität (wesentliche Einrichtungen):

  • Energie (Strom, Gas, Öl, Wärme, Wasserstoff)
  • Verkehr (Luft, Schiene, Schifffahrt, Straße)
  • Bankwesen und Finanzmarktinfrastrukturen
  • Gesundheitswesen (Krankenhäuser, Labore, Pharmaunternehmen)
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur (DNS, TLD, Cloud-Dienste, Rechenzentren)
  • Verwaltung von IKT-Diensten (B2B-Managed Services)
  • Weltraum

Anlage 2 – Sonstige kritische Sektoren (wichtige Einrichtungen):

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Chemische Industrie
  • Lebensmittelproduktion und -vertrieb
  • Verarbeitendes Gewerbe / Herstellung kritischer Produkte (z. B. Medizinprodukte, Maschinen, Kfz, Elektronik)
  • Digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Forschungseinrichtungen

Wichtiger Hinweis: Auch wenn Ihr Unternehmen selbst nicht in einem dieser Sektoren tätig ist, können Sie als Zulieferer oder Dienstleister für betroffene Unternehmen indirekt in die Pflicht genommen werden – insbesondere durch vertragliche Anforderungen an die Supply-Chain-Sicherheit (§30 BSIG).

Schritt 2: Erfüllen Sie die Größenkriterien?

Die bloße Zugehörigkeit zu einem betroffenen Sektor genügt nicht. Zusätzlich müssen Sie die Schwellenwerte für Unternehmensgröße überschreiten:

Kriterium Wichtige Einrichtung Wesentliche Einrichtung
Mitarbeiterzahl ≥ 50 Beschäftigte ≥ 250 Beschäftigte
Jahresumsatz ≥ 10 Mio. Euro ≥ 50 Mio. Euro
Jahresbilanzsumme ≥ 10 Mio. Euro ≥ 43 Mio. Euro
Sektorzugehörigkeit Anlage 1 oder 2 Anlage 1

Rechenregel: Es gilt das Prinzip der alternativen Erfüllung – d.h. die Umsatz- ODER die Bilanzschwelle muss überschritten sein, kombiniert mit der Mitarbeiterzahl. Mittelständler in Anlage-1-Sektoren mit 50 bis 249 Mitarbeitern und mehr als 10 Mio. Euro Umsatz werden damit regelmäßig zu wichtigen Einrichtungen.

Ausnahmen: Diese Unternehmen sind automatisch betroffen

Für bestimmte Einrichtungen gelten die Größenschwellen nicht. Sie sind unabhängig von ihrer Größe als wesentliche Einrichtungen eingestuft:

  • Anbieter öffentlicher elektronischer Kommunikationsnetze
  • Qualifizierte Vertrauensdiensteanbieter
  • TLD-Namenregister und DNS-Anbieter
  • Betreiber kritischer Anlagen im Sinne des KRITIS-Dachgesetzes
  • Einrichtungen der Bundesverwaltung

Wesentliche vs. wichtige Einrichtungen: Was ist der Unterschied?

Die Einstufung als wesentliche oder wichtige Einrichtung hat erhebliche praktische Konsequenzen:

Wesentliche Einrichtungen

  • Unterliegen proaktiven BSI-Aufsichtsmaßnahmen (regelmäßige Kontrollen auch ohne konkreten Anlass)
  • Müssen sich beim BSI registrieren und Ansprechpartner benennen
  • Unterliegen strengerem Bußgeldrahmen: bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (§65 Abs. 1 BSIG)
  • Nachweispflicht über die Umsetzung von Sicherheitsmaßnahmen auf Anfrage des BSI

Wichtige Einrichtungen

  • Unterliegen reaktiver Aufsicht (BSI wird nur bei Verdacht auf Verstoß tätig)
  • Ebenfalls Registrierungspflicht beim BSI
  • Bußgeldrahmen: bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes (§65 Abs. 2 BSIG)
  • Gleiche inhaltliche Sicherheitspflichten wie wesentliche Einrichtungen

Achtung: Der inhaltliche Pflichtenumfang – also die konkreten Cybersicherheitsmaßnahmen nach §30 BSIG – ist für beide Kategorien weitgehend identisch. Der Unterschied liegt primär in der Intensität der behördlichen Aufsicht und im Bußgeldrahmen.


Ihr Selbsttest: Bin ich als Unternehmen NIS2-pflichtig?

Nutzen Sie die folgende Checkliste für eine erste Einschätzung:

Checkliste NIS2-Betroffenheitsprüfung

Block A – Sektorzugehörigkeit
- [ ] Mein Unternehmen ist in einem der Sektoren aus Anlage 1 oder Anlage 2 des NIS2UmsuCG tätig
- [ ] Mein Unternehmen erbringt wesentliche Dienste für Einrichtungen aus Anlage 1 oder 2

Block B – Unternehmensgröße
- [ ] Mein Unternehmen beschäftigt 50 oder mehr Mitarbeiter (Vollzeitäquivalente)
- [ ] Mein Jahresumsatz beträgt 10 Millionen Euro oder mehr ODER meine Bilanzsumme liegt bei 10 Millionen Euro oder mehr

Block C – Automatische Betroffenheit (unabhängig von Größe)
- [ ] Mein Unternehmen betreibt öffentliche Kommunikationsnetze oder -dienste
- [ ] Mein Unternehmen ist ein qualifizierter Vertrauensdiensteanbieter
- [ ] Mein Unternehmen betreibt kritische Infrastrukturen im Sinne des KRITIS-Dachgesetzes

Auswertung:
- Block A + Block B (mind. ein Kriterium je Block): → NIS2-pflichtig (wichtige oder wesentliche Einrichtung)
- Block C (mind. ein Kriterium): → NIS2-pflichtig (wesentliche Einrichtung)
- Keine Kriterien erfüllt: → Aktuell kein direkter Anwendungsbereich, aber indirekte Pflichten durch Lieferkette möglich

Wichtig: Diese Checkliste ersetzt keine rechtliche Fachberatung. Bei Unsicherheiten empfiehlt sich die Konsultation eines auf IT-Recht spezialisierten Anwalts oder die Nutzung des offiziellen BSI-Selbstauskunftsverfahrens.


Welche Konsequenzen drohen bei Nichterfüllung?

Wer seine NIS2-Pflichten ignoriert, riskiert erhebliche Sanktionen. Der Bußgeldrahmen ist im §65 BSIG geregelt und orientiert sich an den DSGVO-Maßstäben:

Bußgelder nach §65 BSIG

Für wesentliche Einrichtungen:
- Bis zu 10 Millionen Euro oder
- 2 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres
- Der jeweils höhere Betrag gilt

Für wichtige Einrichtungen:
- Bis zu 7 Millionen Euro oder
- 1,4 % des gesamten weltweiten Jahresumsatzes
- Der jeweils höhere Betrag gilt

Neben Bußgeldern können folgende Konsequenzen eintreten:

  • Persönliche Haftung der Geschäftsleitung: Gemäß §38 BSIG haften Geschäftsführer und Vorstände persönlich für die Umsetzung der Cybersicherheitsmaßnahmen
  • Öffentliche Bekanntmachung von Verstößen durch das BSI (Naming and Shaming)
  • Untersagung der Geschäftstätigkeit bei schwerwiegenden und anhaltenden Verstößen
  • Reputationsschäden und Vertrauensverlust bei Kunden und Partnern
  • Vertragliche Konsequenzen durch Verletzung von Lieferantenverträgen, die NIS2-Compliance voraussetzen

7 konkrete Handlungsempfehlungen für Ihr Unternehmen

  1. Betroffenheit rechtssicher feststellen: Führen Sie eine formale Betroffenheitsprüfung durch und dokumentieren Sie das Ergebnis nachvollziehbar. Auch eine Nicht-Betroffenheit sollte begründet festgehalten werden.

  2. Beim BSI registrieren: Betroffene Unternehmen sind verpflichtet, sich über das BSI-Portal zu registrieren und einen Ansprechpartner für Cybersicherheit zu benennen. Die Registrierungspflicht besteht unabhängig vom Stand der Umsetzung.

  3. Risikoanalyse durchführen: Gemäß §30 Abs. 1 BSIG müssen Sie geeignete technische und organisatorische Maßnahmen auf Basis einer Risikoanalyse umsetzen. Starten Sie mit einer Bestandsaufnahme Ihrer IT-Landschaft.

  4. ISMS aufbauen oder anpassen: Implementieren Sie ein Informationssicherheits-Managementsystem (ISMS) – idealerweise nach ISO 27001 oder dem BSI IT-Grundschutz. Bestehende Systeme sollten auf NIS2-Konformität überprüft werden.

  5. Meldewege für Sicherheitsvorfälle einrichten: §32 BSIG schreibt vor, erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden an das BSI zu melden (Frühwarnung) und innerhalb von 72 Stunden einen detaillierten Bericht zu übermitteln.

  6. Lieferkette prüfen: Evaluieren Sie die Cybersicherheit Ihrer wesentlichen Dienstleister und Zulieferer. Fordern Sie Nachweise (z. B. Zertifizierungen, Selbstauskünfte) ein und verankern Sie NIS2-Anforderungen in neuen Verträgen.

  7. Schulungen durchführen: Sensibilisieren Sie Ihre Mitarbeiter regelmäßig für Cybersicherheitsrisiken. Die menschliche Komponente bleibt das häufigste Einfallstor für Cyberangriffe.


Fazit: Jetzt handeln, nicht abwarten

Die NIS2-Betroffenheitsprüfung ist kein bürokratischer Selbstzweck – sie ist der Ausgangspunkt für eine belastbare Cybersicherheitsstrategie. Angesichts der steigenden Bedrohungslage durch Ransomware, staatlich gesponserte Angriffe und Schwachstellen in der Lieferkette können es sich Unternehmen schlicht nicht leisten, die eigene Betroffenheit zu ignorieren.

Die wichtigsten nächsten Schritte im Überblick:

  1. ✅ Betroffenheitsprüfung anhand der Sektoren (Anlage 1 & 2) und Größenkriterien durchführen
  2. ✅ Ergebnis dokumentieren und ggf. Rechtsberatung einholen
  3. ✅ Registrierung beim BSI vornehmen
  4. ✅ Risikoanalyse starten und Maßnahmenplan ableiten
  5. ✅ ISMS aufbauen und Meldeprozesse etablieren

Das BSI stellt unter bsi.bund.de aktuelle Leitfäden und das Selbstauskunftsportal zur Verfügung – eine erste und kostenlose Anlaufstelle für jedes Unternehmen.


Nächster Schritt: Compliance strukturiert angehen

Die NIS2-Compliance umfasst zahlreiche Dokumente, Prozesse und Nachweispflichten – von der Risikoanalyse über das Asset-Inventar bis hin zu Meldeverfahren und Lieferantenaudits. Spezialisierte NIS2-Compliance-Softwarelösungen können dabei helfen, den Überblick zu behalten, Aufgaben zu delegieren, Fristen zu überwachen und auditfähige Nachweise automatisch zu generieren. Wenn Sie noch am Anfang stehen: Viele dieser Tools bieten strukturierte Betroffenheitschecks und geführte Implementierungspfade – ein sinnvoller Einstieg, bevor Sie externe Berater beauftragen.


Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für eine verbindliche Einschätzung Ihrer NIS2-Betroffenheit wenden Sie sich an einen auf IT-Recht spezialisierten Rechtsanwalt oder an das BSI.