NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?

Veröffentlicht am 11. Juli 2026 | Lesezeit: ca. 10 Minuten


Die NIS2-Richtlinie der EU ist seit ihrer Umsetzung in deutsches Recht durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) für tausende Unternehmen in Deutschland verpflichtend. Dennoch stellen sich viele Geschäftsführer und IT-Verantwortliche noch immer die grundlegende Frage: Bin ich überhaupt betroffen? Diese Unsicherheit ist gefährlich – denn wer die eigene Betroffenheit falsch einschätzt, riskiert empfindliche Bußgelder gemäß § 65 BSIG und einen erheblichen Reputationsverlust.

Dieser Artikel führt Sie Schritt für Schritt durch die NIS2-Betroffenheitsprüfung für Deutschland 2025 und 2026, erklärt die relevanten Sektoren, Schwellenwerte und Einrichtungsklassen – und zeigt, welche Konsequenzen drohen, wenn Sie die Compliance vernachlässigen.


Was ist die NIS2-Betroffenheitsprüfung und warum ist sie entscheidend?

Die NIS2-Betroffenheitsprüfung ist der erste und wichtigste Schritt auf dem Weg zur NIS2-Compliance. Sie bestimmt, ob Ihr Unternehmen unter den Anwendungsbereich des NIS2UmsuCG fällt und – falls ja – als wesentliche oder wichtige Einrichtung eingestuft wird. Von dieser Einstufung hängen direkt ab:

  • der Umfang der Sicherheitspflichten (§ 30 BSIG),
  • die Meldepflichten bei Sicherheitsvorfällen (§ 32 BSIG),
  • die Registrierungspflichten beim BSI (§ 33 BSIG),
  • und nicht zuletzt die Höhe möglicher Bußgelder (§ 65 BSIG).

Kurz gesagt: Wer diese Prüfung überspringt oder falsch durchführt, baut sein Sicherheitskonzept auf einem unsicheren Fundament auf – oder ignoriert die Verpflichtungen gänzlich.


Schritt 1: Fällt Ihr Sektor unter Anlage 1 oder Anlage 2?

Der Ausgangspunkt jeder NIS2-Betroffenheitsprüfung ist die Sektorzugehörigkeit. Das NIS2UmsuCG unterscheidet in Anlehnung an die europäische NIS2-Richtlinie (EU 2022/2555) zwei Anlagenlisten:

Anlage 1 – Sektoren mit hoher Kritikalität (für wesentliche Einrichtungen)

Diese Sektoren gelten als besonders kritisch für Gesellschaft und Wirtschaft:

Sektor Beispiele
Energie Strom, Gas, Fernwärme, Öl, Wasserstoff
Verkehr Luftfahrt, Bahn, Schifffahrt, Straßenverkehr
Bankwesen Kreditinstitute, Zahlungsdienstleister
Finanzmarktinfrastruktur Handelsplätze, Gegenparteien
Gesundheit Krankenhäuser, Labore, Pharmahersteller
Trinkwasser & Abwasser Wasserversorgung und -entsorgung
Digitale Infrastruktur DNS, TLD-Registries, Cloud-Dienste, Rechenzentren
IKT-Dienste (B2B) Managed Services Provider (MSP)
Öffentliche Verwaltung Bundes- und Landesbehörden
Weltraum Betreiber von Bodenanlagen

Anlage 2 – Sonstige kritische Sektoren (für wichtige Einrichtungen)

Sektor Beispiele
Post- und Kurierdienste Paketzustelldienste
Abfallbewirtschaftung Entsorgungsunternehmen
Chemie Herstellung und Handel mit Chemikalien
Lebensmittel Produktion und Großhandel
Verarbeitendes Gewerbe Medizinprodukte, Maschinen, Fahrzeuge, Elektronik
Digitale Dienste Online-Marktplätze, Suchmaschinen, soziale Netzwerke
Forschung Forschungseinrichtungen

Praxistipp: Prüfen Sie nicht nur Ihre Haupttätigkeit, sondern auch Nebenaktivitäten und Tochtergesellschaften. Wer beispielsweise als Maschinenbauer auch eigene Softwarelösungen für Dritte betreibt, könnte in mehrere Kategorien fallen.


Schritt 2: Erfüllen Sie die Größenkriterien gemäß § 3 NIS2UmsuCG?

Die Sektorzugehörigkeit allein reicht nicht aus. Grundsätzlich gilt: Mittelgroße und große Unternehmen sind betroffen. Die Schwellenwerte orientieren sich an der EU-Definition für KMU:

Die maßgeblichen Schwellenwerte im Überblick

Kriterium Schwellenwert
Mitarbeiterzahl ≥ 50 Beschäftigte
Jahresumsatz > 10 Mio. Euro
Jahresbilanzsumme > 10 Mio. Euro

Ein Unternehmen ist betroffen, wenn es mindestens einen der beiden Finanzschwellenwerte überschreitet und mindestens 50 Mitarbeitende beschäftigt.

Ausnahmen: Wann gilt die Größe nicht?

Es gibt wichtige Ausnahmen, bei denen Unternehmen unabhängig von ihrer Größe als wesentliche oder wichtige Einrichtungen gelten:

  • Unternehmen, die alleiniger Anbieter eines kritischen Dienstes in einem Mitgliedsstaat sind,
  • Unternehmen, deren Ausfall erhebliche systemische Risiken verursachen würde (z. B. bestimmte DNS-Anbieter, TLD-Registries),
  • Betreiber kritischer Anlagen im Sinne des KRITIS-Dachgesetzes,
  • Einrichtungen der öffentlichen Verwaltung auf Bundes- und Landesebene.

Schritt 3: Wesentliche oder wichtige Einrichtung?

Sobald feststeht, dass Ihr Unternehmen betroffen ist, folgt die Klassifizierung. Diese hat direkte Auswirkungen auf Aufsicht und Sanktionen.

Wesentliche Einrichtungen (Essential Entities)

Wesentliche Einrichtungen unterliegen einer proaktiven Aufsicht durch das BSI. Das bedeutet: Das BSI kann anlassunabhängig Prüfungen durchführen und Nachweise einfordern.

Merkmale wesentlicher Einrichtungen:
- Tätigkeit in einem Sektor aus Anlage 1
- Großunternehmen: ≥ 250 Mitarbeitende oder > 50 Mio. Euro Umsatz oder > 43 Mio. Euro Bilanzsumme
- Bestimmte Einrichtungen unabhängig von der Größe (siehe oben)

Maximales Bußgeld bei Verstößen: 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes (der höhere Wert gilt, § 65 BSIG).

Wichtige Einrichtungen (Important Entities)

Wichtige Einrichtungen unterliegen einer reaktiven Aufsicht – das BSI wird in der Regel erst bei konkretem Anlass tätig.

Merkmale wichtiger Einrichtungen:
- Tätigkeit in einem Sektor aus Anlage 1 oder Anlage 2
- Mittelgroße Unternehmen: ≥ 50 und < 250 Mitarbeitende, Umsatz ≤ 50 Mio. Euro
- Oder: Großunternehmen aus Anlage-2-Sektoren

Maximales Bußgeld bei Verstößen: 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes (§ 65 BSIG).


Selbsttest: Bin ich betroffen? Eine praktische Checkliste

Gehen Sie die folgende Checkliste systematisch durch. Können Sie alle zutreffenden Felder abhaken, sind Sie mit hoher Wahrscheinlichkeit von der NIS2 betroffen:

Schritt 1 – Sektorzugehörigkeit:
- [ ] Mein Unternehmen ist in einem der Sektoren aus Anlage 1 oder Anlage 2 tätig.
- [ ] Dies gilt auch für Tochtergesellschaften oder wesentliche Geschäftsbereiche.

Schritt 2 – Größe:
- [ ] Mein Unternehmen beschäftigt 50 oder mehr Mitarbeitende.
- [ ] Mein Jahresumsatz oder meine Bilanzsumme übersteigt 10 Millionen Euro.

Schritt 3 – Ausnahmen prüfen:
- [ ] Ich bin kein Kleinstunternehmen (< 10 MA, < 2 Mio. € Umsatz/Bilanzsumme), das nicht explizit einbezogen wurde.
- [ ] Mein Unternehmen gehört nicht zu den ausdrücklich ausgenommenen Bereichen (z. B. Strafverfolgung, nationale Sicherheit, Justiz).

Schritt 4 – Einstufung:
- [ ] Ich habe geprüft, ob mein Unternehmen als wesentliche oder wichtige Einrichtung einzustufen ist.
- [ ] Ich habe die entsprechende Registrierung beim BSI veranlasst oder plane diese.

Ergebnis: Wenn Sie in Schritt 1 und 2 zustimmen konnten und keine Ausnahme in Schritt 3 greift, ist Ihr Unternehmen aller Wahrscheinlichkeit nach NIS2-pflichtig. Im Zweifel empfiehlt sich eine rechtliche oder fachliche Beratung.


Welche Konsequenzen drohen bei Nichterfüllung?

Die Frage ist nicht ob, sondern wann das BSI die Einhaltung der Pflichten überprüft. Die Behörde hat seit dem Inkrafttreten des NIS2UmsuCG deutlich erweiterte Aufsichtsbefugnisse erhalten.

Bußgelder nach § 65 BSIG

Die Sanktionsregelungen sind erheblich:

Einrichtungstyp Maximales Bußgeld
Wesentliche Einrichtung 10.000.000 € oder 2 % des weltweiten Jahresumsatzes
Wichtige Einrichtung 7.000.000 € oder 1,4 % des weltweiten Jahresumsatzes

Dabei gilt stets der höhere der beiden Beträge als Obergrenze. Bußgelder können gegen das Unternehmen und gegen Geschäftsführer persönlich verhängt werden – besonders dann, wenn Leitungsorgane ihren Aufsichtspflichten aus § 38 BSIG nicht nachgekommen sind.

Weitere Konsequenzen

Neben Bußgeldern drohen:

  • Öffentliche Bekanntmachung von Verstößen durch das BSI (§ 66 BSIG) – mit unmittelbarem Reputationsschaden,
  • Vorübergehende Betriebsuntersagungen oder Einschränkungen der Zertifizierungen,
  • Zivilrechtliche Haftung gegenüber Kunden und Partnern bei Sicherheitsvorfällen, die auf mangelhafte Absicherung zurückzuführen sind,
  • Verlust von Aufträgen, da immer mehr Ausschreibungen und Lieferantenaudits NIS2-Compliance voraussetzen.

Konkrete Handlungsempfehlungen in 7 Schritten

Wenn Sie nach dieser Prüfung zu dem Schluss kommen, betroffen zu sein, empfehlen wir folgendes Vorgehen:

  1. Betroffenheit dokumentieren: Halten Sie Ihre Prüfung schriftlich fest – Sektorzugehörigkeit, Mitarbeiterzahl, Umsatzzahlen. Dies dient als Nachweis gegenüber dem BSI.

  2. Einstufung bestätigen lassen: Ziehen Sie im Zweifel einen auf NIS2 spezialisierten Rechtsanwalt oder IT-Sicherheitsberater hinzu. Die Kosten einer Fehleinschätzung überwiegen die Beratungskosten bei weitem.

  3. Registrierung beim BSI vornehmen: Wesentliche und wichtige Einrichtungen sind zur Registrierung auf der BSI-Plattform verpflichtet (§ 33 NIS2UmsuCG). Holen Sie dies umgehend nach, falls noch nicht geschehen.

  4. Gap-Analyse durchführen: Vergleichen Sie Ihren aktuellen Sicherheitsstatus mit den Anforderungen aus § 30 BSIG (technische und organisatorische Maßnahmen). Identifizieren Sie Lücken systematisch.

  5. ISMS aufbauen oder anpassen: Implementieren Sie ein Informationssicherheits-Managementsystem – idealerweise nach ISO/IEC 27001. Dieses bildet die strukturelle Grundlage für die NIS2-Anforderungen.

  6. Meldeprozesse etablieren: Richten Sie interne Prozesse zur Erkennung und Meldung erheblicher Sicherheitsvorfälle ein. Die Fristen sind streng: 24 Stunden für eine Erstmeldung, 72 Stunden für einen Folgebericht (§ 32 BSIG).

  7. Lieferkette prüfen: NIS2 schreibt explizit die Absicherung der Supply Chain vor (§ 30 Abs. 2 Nr. 4 BSIG). Überprüfen Sie Ihre Lieferanten und Dienstleister auf deren Sicherheitsniveau.


Fazit: Jetzt handeln, bevor die Aufsicht kommt

Die NIS2-Betroffenheitsprüfung ist kein bürokratischer Selbstzweck, sondern der unverzichtbare erste Schritt zu echtem Schutz Ihrer digitalen Infrastruktur. Die Regulierung schafft einen klaren Rahmen – aber die Umsetzung liegt in Ihrer Verantwortung.

Ihre nächsten Schritte zusammengefasst:

  1. Prüfen Sie jetzt Ihre Sektorzugehörigkeit anhand der Anlagen 1 und 2.
  2. Verifizieren Sie Ihre Unternehmensgröße gegen die gesetzlichen Schwellenwerte.
  3. Bestimmen Sie Ihre Einstufung als wesentliche oder wichtige Einrichtung.
  4. Leiten Sie die Registrierung beim BSI in die Wege.
  5. Starten Sie mit einer Gap-Analyse und dem Aufbau eines ISMS.

Die Zeit drängt: Das BSI intensiviert seine Aufsichtstätigkeit, und Unwissenheit schützt vor Strafe nicht. Jedes Quartal ohne aktive Compliance ist ein kalkuliertes Risiko.


💡 Nützlicher Hinweis für Ihren nächsten Schritt

Die Betroffenheitsprüfung ist erst der Anfang. Für die eigentliche NIS2-Umsetzung – von der Risikoanalyse über Sicherheitsrichtlinien bis hin zur Vorfallsdokumentation – bieten sich spezialisierte NIS2-Compliance-Softwarelösungen an. Diese helfen Ihnen, die erforderlichen ISMS-Dokumente strukturiert zu erstellen, Ihre Registrierungspflichten zu verwalten und den Compliance-Status jederzeit transparent nachzuweisen. Achten Sie bei der Auswahl auf eine BSI-orientierte Vorlagestruktur, DSGVO-Kompatibilität und die Möglichkeit zur Durchführung interner Audits – das spart Zeit und reduziert das Risiko, bei einer BSI-Prüfung unvorbereitet zu sein.


Quellen und Referenzen: NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), BSI-Gesetz (BSIG) in der aktuellen Fassung, EU-Richtlinie 2022/2555 (NIS2), ENISA-Leitfaden zur NIS2-Implementierung, Bundesamt für Sicherheit in der Informationstechnik (BSI) – www.bsi.bund.de