NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?

Stand: 12. Juli 2026 | Lesezeit: ca. 8 Minuten


Die NIS2-Richtlinie der Europäischen Union ist seit ihrer nationalen Umsetzung durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) verbindlich geltendes Recht in Deutschland. Für tausende Unternehmen stellt sich seitdem eine entscheidende Frage: Bin ich überhaupt betroffen? Wer diese Frage falsch beantwortet – oder gar nicht stellt – riskiert empfindliche Bußgelder und haftet im Ernstfall persönlich als Geschäftsführer.

Dieser Artikel führt Sie strukturiert durch die NIS2-Betroffenheitsprüfung für Unternehmen in Deutschland, erklärt die relevanten Sektoren, Größenkriterien und Einrichtungsklassen und gibt Ihnen konkrete Handlungsempfehlungen an die Hand.


Was ist die NIS2-Betroffenheitsprüfung – und warum ist sie so wichtig?

Die NIS2-Richtlinie (EU 2022/2555) verpflichtet Mitgliedstaaten, Unternehmen ab einer bestimmten Größe und aus bestimmten Sektoren zu regulieren. In Deutschland erfolgt dies über das NIS2UmsuCG, das die Anforderungen im novellierten BSI-Gesetz (BSIG) verankert. Zuständig für die Aufsicht ist das Bundesamt für Sicherheit in der Informationstechnik (BSI).

§ 3 NIS2UmsuCG definiert den Anwendungsbereich: Betroffene Einrichtungen müssen Risikomanagementmaßnahmen umsetzen, Sicherheitsvorfälle melden und ihre IT-Systeme nach dem Stand der Technik absichern. Die Pflicht zur Selbstregistrierung beim BSI ist dabei einer der ersten formalen Schritte.

Das zentrale Problem in der Praxis: Viele Unternehmen gehen davon aus, dass die NIS2-Richtlinie nur Großkonzerne oder kritische Infrastruktur betrifft. Diese Annahme ist gefährlich falsch. Allein in Deutschland schätzt das BSI, dass über 30.000 Unternehmen unter die Richtlinie fallen – darunter viele mittelständische Betriebe, die bislang keinerlei regulatorische Cybersicherheitspflichten kannten.


Schritt 1: Gehört Ihr Unternehmen zu einem betroffenen Sektor?

Der erste Prüfschritt ist die Sektorzugehörigkeit. Das NIS2UmsuCG unterscheidet zwischen zwei Anlagenlisten, die sich an den Anhängen I und II der EU-Richtlinie orientieren.

Anlage 1: Sektoren mit hoher Kritikalität

Unternehmen in diesen Sektoren unterliegen den strengsten Anforderungen und werden in der Regel als wesentliche Einrichtungen eingestuft:

  • Energie (Strom, Gas, Öl, Wasserstoff, Fernwärme)
  • Verkehr (Luft, Schiene, See, Straße)
  • Bankwesen und Finanzmarktinfrastrukturen
  • Gesundheitswesen (Krankenhäuser, Labore, Pharmahersteller)
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur (DNS, TLD-Register, Rechenzentren, Cloud-Dienste)
  • IKT-Dienstleistungsmanagement (B2B-Managed Services)
  • Öffentliche Verwaltung (Bundes- und Landesebene)
  • Weltraum (Betreiber von Bodeninfrastruktur)

Anlage 2: Sonstige kritische Sektoren

Diese Sektoren sind ebenfalls reguliert, jedoch mit etwas weniger strengen Anforderungen. Unternehmen werden hier häufig als wichtige Einrichtungen eingestuft:

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Chemische Industrie (Herstellung und Handel)
  • Lebensmittelindustrie (Produktion und Vertrieb)
  • Verarbeitendes Gewerbe / Maschinenbau
  • Digitale Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Forschungseinrichtungen

Praxis-Hinweis: Auch Zulieferer und Dienstleister, die für Unternehmen aus Anlage 1 tätig sind, sollten ihre Betroffenheit sorgfältig prüfen – selbst wenn sie formal einem anderen Sektor angehören.


Schritt 2: Erfüllt Ihr Unternehmen die Größenkriterien?

Die bloße Zugehörigkeit zu einem Sektor reicht nicht aus. Zusätzlich müssen Schwellenwerte für Unternehmensgröße überschritten werden. Das NIS2UmsuCG orientiert sich dabei an der EU-Definition für mittlere und große Unternehmen:

Unternehmenskategorie Mitarbeiterzahl Jahresumsatz ODER Jahresbilanzsumme
Kleinstunternehmen < 10 MA < 2 Mio. €
Kleinunternehmen 10–49 MA 2–10 Mio. €
Mittleres Unternehmen 50–249 MA ≥ 10 Mio. €
Großes Unternehmen ≥ 250 MA ≥ 50 Mio.

Grundregel: NIS2 gilt ab einer Unternehmensgröße von mindestens 50 Mitarbeitern oder einem Jahresumsatz bzw. einer Jahresbilanzsumme von mindestens 10 Millionen Euro – sofern das Unternehmen einem der betroffenen Sektoren angehört.

Wichtige Ausnahmen: Wer ist unabhängig von der Größe betroffen?

Für bestimmte Einrichtungen gelten die Größenschwellen nicht. Sie fallen unabhängig von Mitarbeiterzahl und Umsatz unter NIS2:

  • Anbieter öffentlicher elektronischer Kommunikationsnetze
  • Qualifizierte Vertrauensdiensteanbieter
  • TLD-Registrierungsstellen und DNS-Dienstanbieter
  • Betreiber kritischer Anlagen im Sinne des § 28 BSIG (ehem. KRITIS)
  • Einrichtungen der öffentlichen Verwaltung auf Bundes- und Landesebene

Schritt 3: Wesentliche oder wichtige Einrichtung – was ist der Unterschied?

Nicht alle betroffenen Unternehmen sind gleich reguliert. Das NIS2UmsuCG unterscheidet zwischen zwei Kategorien mit unterschiedlichen Pflichten und Aufsichtsintensitäten.

Wesentliche Einrichtungen (Essential Entities)

  • Unternehmen aus Anlage 1 mit ≥ 250 Mitarbeitern oder ≥ 50 Mio. € Umsatz
  • Unterliegen der aktiven, proaktiven Aufsicht durch das BSI
  • Höchste Bußgeldrahmen: bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes
  • Strengste Berichtspflichten und Nachweisanforderungen

Wichtige Einrichtungen (Important Entities)

  • Unternehmen aus Anlage 1 oder 2 mit 50–249 Mitarbeitern oder 10–49 Mio. € Umsatz
  • Unterliegen der reaktiven Aufsicht (BSI prüft bei konkreten Anlässen)
  • Bußgeldrahmen: bis zu 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes
  • Etwas geringere, aber noch erhebliche Compliance-Anforderungen

Interaktiver Selbsttest: Bin ich von NIS2 betroffen?

Beantworten Sie die folgenden Fragen, um eine erste Einschätzung zu erhalten:

Frage 1: Ist mein Unternehmen in einem der Sektoren aus Anlage 1 oder Anlage 2 tätig?
- ☐ Ja → weiter mit Frage 2
- ☐ Nein → wahrscheinlich nicht direkt betroffen (aber: Lieferkettenpflichten prüfen!)

Frage 2: Hat mein Unternehmen mindestens 50 Mitarbeiter ODER einen Jahresumsatz/Jahresbilanzsumme von mindestens 10 Mio. €?
- ☐ Ja → weiter mit Frage 3
- ☐ Nein → wahrscheinlich nicht betroffen (Ausnahmen beachten)

Frage 3: Hat mein Unternehmen mindestens 250 Mitarbeiter ODER einen Jahresumsatz von mindestens 50 Mio. €?
- ☐ Ja → Wesentliche Einrichtung (höchste Anforderungen)
- ☐ Nein → Wichtige Einrichtung (erhebliche Anforderungen)

Frage 4 (Sonderfall): Bin ich Anbieter öffentlicher Kommunikationsnetze, qualifizierter Vertrauensdiensteanbieter oder betreibe ich kritische Anlagen nach § 28 BSIG?
- ☐ Ja → NIS2 gilt unabhängig von der Unternehmensgröße

Hinweis: Dieser Selbsttest ersetzt keine rechtliche Beratung. Für eine rechtssichere Einstufung empfehlen wir die Konsultation eines spezialisierten Rechtsanwalts oder IT-Sicherheitsberaters.


Welche Konsequenzen drohen bei Nichterfüllung?

Die Frage "Was passiert, wenn ich nichts tue?" ist für viele Geschäftsführer besonders relevant. Die Antwort ist eindeutig: Die Konsequenzen sind erheblich.

Bußgelder nach § 65 BSIG

§ 65 BSIG sieht gestaffelte Bußgelder vor:

  • Wesentliche Einrichtungen: bis zu 10.000.000 Euro oder 2 % des gesamten weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist
  • Wichtige Einrichtungen: bis zu 7.000.000 Euro oder 1,4 % des gesamten weltweiten Jahresumsatzes

Persönliche Haftung der Geschäftsführung

Ein oft unterschätzter Aspekt: Das NIS2UmsuCG verankert die persönliche Haftung von Geschäftsführern und Vorständen. Sie müssen Risikomanagementmaßnahmen nicht nur anordnen, sondern deren Umsetzung aktiv überwachen und müssen zu diesem Zweck regelmäßig an Schulungen teilnehmen. Bei grob fahrlässigen Verstößen drohen persönliche Bußgelder.

Meldepflichten und Eskalation

Bei erheblichen Sicherheitsvorfällen greift eine dreistufige Meldepflicht gegenüber dem BSI:

  1. Frühwarnung innerhalb von 24 Stunden nach Kenntnis
  2. Erster Bericht innerhalb von 72 Stunden
  3. Abschlussbericht innerhalb von einem Monat

Verstöße gegen Meldepflichten sind eigenständige Bußgeldtatbestände.


Konkrete Handlungsempfehlungen: Was jetzt zu tun ist

Wenn Sie festgestellt haben, dass Ihr Unternehmen unter NIS2 fällt, empfehlen wir folgende priorisierte Schritte:

  1. Betroffenheit dokumentieren: Halten Sie schriftlich fest, aufgrund welcher Kriterien (Sektor, Größe, Einrichtungsklasse) Ihr Unternehmen als wesentliche oder wichtige Einrichtung einzustufen ist.

  2. Registrierung beim BSI vornehmen: Betroffene Einrichtungen sind zur Selbstregistrierung verpflichtet. Nutzen Sie das BSI-Portal (MELDP) und halten Sie dabei Unternehmens- und Kontaktdaten bereit.

  3. Gap-Analyse durchführen: Vergleichen Sie Ihre aktuellen Sicherheitsmaßnahmen mit den Anforderungen aus § 30 BSIG (Risikomanagement). Typische Maßnahmen umfassen Risikoanalysen, Incident-Response-Pläne, Zugangskontrollen und Kryptografie.

  4. ISMS aufbauen oder anpassen: Ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 bietet eine anerkannte Grundlage zur NIS2-Compliance. Bestehende Systeme sollten auf NIS2-Konformität geprüft werden.

  5. Lieferkette prüfen: Gemäß § 30 Abs. 2 Nr. 4 BSIG müssen betroffene Einrichtungen auch die Cybersicherheit ihrer wesentlichen Dienstleister und Zulieferer berücksichtigen.

  6. Schulungen der Geschäftsführung organisieren: Die Pflicht zur Teilnahme an Cybersicherheitsschulungen gilt explizit für die Leitungsebene – nicht delegierbar.

  7. Meldeprozesse etablieren: Definieren Sie intern klare Verantwortlichkeiten und Prozesse, damit im Ernstfall die 24-Stunden-Frist für die BSI-Frühwarnung eingehalten werden kann.

  8. Rechtliche Beratung einholen: Beauftragen Sie einen auf IT-Recht und Cybersicherheit spezialisierten Rechtsanwalt für eine verbindliche Einschätzung Ihrer Pflichten.


Fazit: Handeln Sie jetzt – die Zeit läuft

Die NIS2-Betroffenheitsprüfung ist kein optionaler Prozess, sondern ein rechtlicher Imperativ. Unternehmen, die in einem der regulierten Sektoren tätig sind und die Größenkriterien erfüllen, sind bereits heute zur Compliance verpflichtet. Das BSI hat seine Aufsichtstätigkeit deutlich ausgeweitet und prüft aktiv, ob betroffene Einrichtungen ihren Pflichten nachkommen.

Ihre nächsten Schritte auf einen Blick:

  • ✅ Sektorzugehörigkeit anhand Anlage 1 / Anlage 2 prüfen
  • ✅ Größenkriterien (50+ MA, 10 Mio. € Umsatz/Bilanzsumme) verifizieren
  • ✅ Einrichtungsklasse (wesentlich oder wichtig) bestimmen
  • ✅ Beim BSI registrieren
  • ✅ Gap-Analyse und ISMS-Aufbau starten

Werkzeuge für Ihre NIS2-Compliance

Die manuelle Verwaltung von Risikoanalysen, Richtliniendokumenten, Schulungsnachweisen und Meldeprozessen ist aufwendig und fehleranfällig. Spezialisierte NIS2-Compliance-Software kann diesen Prozess erheblich erleichtern: Sie unterstützt Sie bei der strukturierten Betroffenheitsprüfung, führt Sie durch die erforderlichen Maßnahmen nach § 30 BSIG, generiert revisionssichere Dokumentation und erinnert automatisch an Fristen und Registrierungspflichten.

Wenn Sie gerade am Anfang stehen, lohnt sich ein Blick auf dedizierte ISMS-Plattformen, die NIS2-spezifische Vorlagen und Checklisten mitbringen – das spart Zeit und reduziert das Risiko, wichtige Anforderungen zu übersehen.


Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für eine verbindliche Einschätzung Ihrer NIS2-Pflichten wenden Sie sich an einen qualifizierten Rechtsbeistand oder IT-Sicherheitsberater.

Quellen: NIS2UmsuCG, BSIG n.F., EU-Richtlinie 2022/2555, BSI-Leitfäden zur NIS2-Umsetzung, ENISA NIS2-Implementierungsleitfaden 2024