NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?
Veröffentlicht am 20. Mai 2026 | Lesezeit: ca. 10 Minuten
Seit der Umsetzung der europäischen NIS2-Richtlinie in deutsches Recht durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) stehen Tausende von Unternehmen vor einer zentralen Frage: Bin ich überhaupt betroffen? Die Antwort darauf ist keineswegs trivial – und die Konsequenzen einer falschen Einschätzung können erheblich sein. Dieser Artikel führt Sie systematisch durch die NIS2-Betroffenheitsprüfung für Unternehmen in Deutschland 2025 und gibt Ihnen konkrete Werkzeuge an die Hand, um Ihre Pflichten rechtssicher zu bestimmen.
Was ist die NIS2-Betroffenheitsprüfung und warum ist sie so wichtig?
Die NIS2-Richtlinie (EU 2022/2555) verpflichtet Mitgliedstaaten, bestimmte Unternehmen zu erhöhten Cybersicherheitsmaßnahmen zu verpflichten. In Deutschland wurde diese Richtlinie durch das NIS2UmsuCG in nationales Recht überführt, das maßgebliche Änderungen am Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) mit sich brachte.
Der entscheidende Paragraph für die Betroffenheitsprüfung ist §3 NIS2UmsuCG in Verbindung mit den novellierten Bestimmungen des BSIG. Er definiert, welche Einrichtungen als „wesentlich" oder „wichtig" eingestuft werden – und damit, welche Pflichten gelten.
Die Betroffenheitsprüfung ist aus drei Gründen kritisch:
- Rechtssicherheit: Nur wer weiß, ob er betroffen ist, kann aktiv Maßnahmen ergreifen und Bußgelder vermeiden.
- Ressourcenplanung: NIS2-Compliance erfordert erhebliche Investitionen in Personal, Technik und Prozesse.
- Haftungsrisiken: Geschäftsführer und Vorstandsmitglieder haften nach §38 BSIG n.F. persönlich für die Umsetzung der Sicherheitsmaßnahmen.
Schritt 1: Gehört Ihr Unternehmen zu einem betroffenen Sektor?
NIS2 erfasst keine beliebigen Unternehmen, sondern ausschließlich solche, die in definierten kritischen Sektoren tätig sind. Diese sind in zwei Anlagen des NIS2UmsuCG bzw. des novellierten BSIG aufgeführt.
Anlage 1: Sektoren mit hoher Kritikalität (wesentliche Einrichtungen)
Diese Sektoren gelten als besonders kritisch für die gesellschaftliche und wirtschaftliche Infrastruktur:
| Sektor | Beispiele |
|---|---|
| Energie | Strom, Gas, Fernwärme, Öl, Wasserstoff |
| Transport und Verkehr | Luftfahrt, Schiene, Schifffahrt, Straßenverkehr |
| Bankwesen | Kreditinstitute, Zahlungsdienstleister |
| Finanzmarktinfrastrukturen | Handelsplätze, zentrale Gegenparteien |
| Gesundheitswesen | Krankenhäuser, Labore, Pharmaunternehmen |
| Trinkwasser | Wasserversorgungsunternehmen |
| Abwasser | Abwasserentsorgung |
| Digitale Infrastruktur | IXPs, DNS-Anbieter, TLD-Registries, Cloud-Dienste |
| ICT-Servicemanagement | Managed Service Provider (B2B) |
| Öffentliche Verwaltung | Bundes- und Landesbehörden |
| Weltraum | Betreiber von Bodeninfrastruktur |
Anlage 2: Sonstige kritische Sektoren (wichtige Einrichtungen)
Diese Sektoren unterliegen ebenfalls NIS2, jedoch mit etwas abgestuften Aufsichtsmechanismen:
| Sektor | Beispiele |
|---|---|
| Post- und Kurierdienste | Paketdienstleister, Briefzustellung |
| Abfallbewirtschaftung | Entsorgungsunternehmen |
| Chemikalien | Herstellung, Handel mit gefährlichen Stoffen |
| Lebensmittel | Produktion, Verarbeitung, Vertrieb |
| Verarbeitendes Gewerbe | Medizinprodukte, Elektronik, Maschinenbau, Fahrzeuge |
| Digitale Dienste | Online-Marktplätze, Suchmaschinen, soziale Netzwerke |
| Forschungseinrichtungen | Universitäten, Forschungsinstitute |
Wichtig: Auch wenn Ihr Unternehmen indirekt in einem dieser Sektoren tätig ist – etwa als Subunternehmer, Zulieferer oder IT-Dienstleister für einen betroffenen Sektor – sollten Sie Ihre Betroffenheit sorgfältig prüfen. Lieferkettensicherheit ist ein zentrales Thema der NIS2.
Schritt 2: Erfüllt Ihr Unternehmen die Größenkriterien?
Allein die Sektorzugehörigkeit reicht nicht aus. Das NIS2UmsuCG definiert auch Größenschwellenwerte, die ein Unternehmen überschreiten muss, um unter die Richtlinie zu fallen. Grundlage ist die EU-Definition für kleine, mittlere und große Unternehmen.
Die Größenschwellen im Überblick
| Kategorie | Mitarbeiter | Jahresumsatz ODER Jahresbilanzsumme |
|---|---|---|
| Wesentliche Einrichtung (Anlage 1, groß) | ≥ 250 | ≥ 50 Mio. € Umsatz oder ≥ 43 Mio. € Bilanz |
| Wesentliche Einrichtung (Anlage 1, mittel – Sonderregel) | ≥ 50 | ≥ 10 Mio. € Umsatz oder ≥ 10 Mio. € Bilanz |
| Wichtige Einrichtung (Anlage 1 oder 2, mittel) | ≥ 50 | ≥ 10 Mio. € Umsatz oder ≥ 10 Mio. € Bilanz |
Die Faustformel: Ein Unternehmen mit mindestens 50 Mitarbeitern und einem Jahresumsatz oder einer Bilanzsumme von mindestens 10 Millionen Euro, das in einem der genannten Sektoren tätig ist, fällt grundsätzlich unter NIS2.
Ausnahmen und Sonderregelungen
Bestimmte Einrichtungen sind unabhängig von ihrer Größe betroffen:
- Betreiber kritischer Anlagen (KRITIS) nach §28 BSIG
- Qualifizierte Vertrauensdiensteanbieter
- TLD-Registries und DNS-Resolver-Anbieter
- Einige Anbieter öffentlicher elektronischer Kommunikationsnetze
Schritt 3: Wesentliche vs. wichtige Einrichtung – was ist der Unterschied?
Die Einstufung als wesentliche oder wichtige Einrichtung hat direkte Auswirkungen auf die Aufsichtsintensität und die Bußgeldhöhe.
Wesentliche Einrichtungen
- Unterliegen der proaktiven Aufsicht durch das BSI
- Das BSI kann anlasslose Sicherheitsaudits anordnen
- Höhere Bußgeldobergrenze: bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes
Wichtige Einrichtungen
- Unterliegen der reaktiven Aufsicht (Aufsicht primär bei Hinweisen auf Verstöße)
- Niedrigere Bußgeldobergrenze: bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes
- Gleichwohl gelten dieselben technischen und organisatorischen Maßnahmen
Der interaktive Selbsttest: Ist Ihr Unternehmen betroffen?
Beantworten Sie die folgenden Fragen der Reihe nach. Bei Ja auf alle zutreffenden Fragen sind Sie sehr wahrscheinlich betroffen.
Checkliste zur NIS2-Betroffenheitsprüfung
- [ ] Frage 1 – Sektor: Ist Ihr Unternehmen in einem der Sektoren aus Anlage 1 oder Anlage 2 tätig?
- [ ] Frage 2 – Mitarbeiterzahl: Beschäftigt Ihr Unternehmen 50 oder mehr Mitarbeiter (Vollzeitäquivalente)?
- [ ] Frage 3 – Umsatz/Bilanz: Übersteigt Ihr Jahresumsatz oder Ihre Bilanzsumme 10 Millionen Euro?
- [ ] Frage 4 – Sonderfall KRITIS: Betreiben Sie Anlagen, die als kritische Infrastruktur nach der BSI-KRITIS-Verordnung eingestuft sind?
- [ ] Frage 5 – Digitale Dienste: Erbringen Sie Dienste als Managed Service Provider, Cloud-Anbieter oder Rechenzentrum?
- [ ] Frage 6 – Lieferkette: Sind Sie wesentlicher IT-Dienstleister oder Zulieferer für Unternehmen in Anlage 1 oder 2?
Ergebnis: Wenn Sie Fragen 1–3 mit „Ja" beantwortet haben, besteht eine starke Wahrscheinlichkeit, dass Sie unter NIS2 fallen. Sonderfälle (Fragen 4–6) sollten unabhängig von der Größe geprüft werden.
Was sind die konkreten Pflichten bei Betroffenheit?
Einmal als wesentliche oder wichtige Einrichtung eingestuft, greifen weitreichende Pflichten nach dem novellierten BSIG:
- Registrierungspflicht: Einrichtungen müssen sich beim BSI registrieren (§33 BSIG n.F.).
- Risikomanagementmaßnahmen: Technische und organisatorische Maßnahmen zur Risikosteuerung (§30 BSIG n.F.), darunter Incident Response, Business Continuity, Supply-Chain-Sicherheit und Kryptografie.
- Meldepflichten: Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden an das BSI gemeldet werden (Erstmeldung), mit Folgemeldungen innerhalb von 72 Stunden und einem Abschlussbericht nach einem Monat (§32 BSIG n.F.).
- Managementverantwortung: Geschäftsführungen müssen Sicherheitsmaßnahmen aktiv billigen und können persönlich haftbar gemacht werden (§38 BSIG n.F.).
Bußgelder und Konsequenzen bei Nichterfüllung (§65 BSIG)
Wer die NIS2-Pflichten ignoriert, riskiert empfindliche Sanktionen. §65 BSIG (in der durch das NIS2UmsuCG novellierten Fassung) regelt den Bußgeldrahmen:
| Verstoß | Wesentliche Einrichtung | Wichtige Einrichtung |
|---|---|---|
| Schwerwiegende Verstöße | bis 10 Mio. € oder 2 % Jahresumsatz | bis 7 Mio. € oder 1,4 % Jahresumsatz |
| Nichterfüllung von Meldepflichten | bis 500.000 € | bis 500.000 € |
| Nichtregistrierung | bis 100.000 € | bis 100.000 € |
| Persönliche Haftung GL/Vorstand | bis 2 Mio. € | bis 2 Mio. € |
Neben Bußgeldern können das BSI und die zuständigen Behörden Betriebseinschränkungen anordnen oder bei wesentlichen Einrichtungen die vorübergehende Abberufung von Führungskräften verlangen – ein in der Praxis bislang kaum bekanntes, aber rechtlich mögliches Instrument.
7 konkrete Handlungsempfehlungen für betroffene Unternehmen
- Betroffenheitsprüfung dokumentieren: Halten Sie die Sektorzugehörigkeit, Mitarbeiterzahl und Umsatzzahlen schriftlich fest und lassen Sie das Ergebnis rechtlich absichern.
- BSI-Registrierung vornehmen: Nutzen Sie das BSI-Portal zur Selbstregistrierung. Die Frist für viele Unternehmen ist bereits abgelaufen – holen Sie das schnellstmöglich nach.
- GAP-Analyse durchführen: Vergleichen Sie Ihre aktuellen Sicherheitsmaßnahmen mit den Anforderungen des §30 BSIG. Identifizieren Sie Lücken systematisch.
- ISMS aufbauen oder zertifizieren lassen: Ein Informationssicherheitsmanagementsystem nach ISO/IEC 27001 ist keine Pflicht, aber die beste Grundlage für NIS2-Compliance und vereinfacht Audits erheblich.
- Incident-Response-Prozesse etablieren: Die 24-Stunden-Meldepflicht erfordert klare interne Eskalationspfade, definierte Ansprechpartner und vorbereitete Meldeformulare.
- Lieferkette überprüfen: Führen Sie eine Risikoanalyse Ihrer IT-Dienstleister und kritischen Zulieferer durch. Vertragliche Sicherheitsanforderungen müssen in Lieferantenvereinbarungen verankert werden.
- Managementschulung: Sensibilisieren Sie Ihre Geschäftsführung und Ihr Board explizit für die persönliche Haftung nach §38 BSIG. Regelmäßige Security-Briefings für die oberste Führungsebene sind keine Option mehr, sondern Pflicht.
Fazit: Nächste Schritte für Ihr Unternehmen
Die NIS2-Betroffenheitsprüfung ist der unverzichtbare erste Schritt auf dem Weg zur Compliance. Viele Unternehmen unterschätzen, dass bereits mittelständische Betriebe mit 50 Mitarbeitern in Sektoren wie Lebensmittelverarbeitung, Maschinenbau oder IT-Dienstleistungen betroffen sein können.
Ihre unmittelbaren nächsten Schritte:
- Prüfen Sie Ihre Sektorzugehörigkeit anhand der Anlagen 1 und 2 des NIS2UmsuCG.
- Verifizieren Sie Mitarbeiterzahl und Umsatz gegen die Schwellenwerte (50 MA / 10 Mio. €).
- Dokumentieren Sie das Ergebnis der Betroffenheitsprüfung schriftlich.
- Leiten Sie bei Betroffenheit sofort die Registrierung beim BSI ein.
- Starten Sie eine GAP-Analyse gegenüber §30 BSIG.
Das regulatorische Umfeld wird nicht einfacher werden. ENISA prognostiziert in ihrem Threat Landscape Report 2025, dass sowohl die Angriffshäufigkeit auf kritische Infrastrukturen als auch der Aufsichtsdruck weiter steigen werden. Wer jetzt handelt, spart später erheblich an Aufwand, Kosten und Reputationsrisiko.
💡 Tipp: NIS2-Compliance mit digitaler Unterstützung umsetzen
Die Betroffenheitsprüfung ist erst der Anfang. Um die umfangreichen Dokumentations-, Melde- und Managementpflichten dauerhaft zu erfüllen, setzen viele Compliance-Teams heute auf spezialisierte NIS2-Compliance-Software und ISMS-Plattformen. Diese helfen Ihnen, Risikoanalysen zu strukturieren, Nachweise für das BSI revisionssicher zu dokumentieren, Sicherheitsvorfälle fristgerecht zu melden und Ihre Maßnahmenfortschritte transparent zu tracken. Achten Sie bei der Auswahl auf eine Software, die die spezifischen Anforderungen des deutschen BSIG abbildet – nicht nur die generischen EU-Vorgaben. Eine fundierte Tool-Auswahl kann den Unterschied zwischen einem erfolgreichen Audit und einem kostspieligen Nachbesserungsprozess ausmachen.
Rechtlicher Hinweis: Dieser Artikel dient der allgemeinen Information und ersetzt keine individuelle Rechts- oder Compliance-Beratung. Bitte konsultieren Sie für Ihre konkrete Situation einen auf IT-Recht spezialisierten Anwalt oder einen zertifizierten Informationssicherheitsberater.