NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?

Veröffentlicht am 13. Juli 2026 | Lesedauer: ca. 8 Minuten


Seit dem Inkrafttreten des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) stehen tausende deutsche Unternehmen vor einer entscheidenden Frage: Bin ich betroffen? Die Antwort darauf ist nicht trivial – und die Konsequenzen einer falschen Einschätzung können erheblich sein. Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes (§ 65 BSIG) machen eine sorgfältige NIS2-Betroffenheitsprüfung für Unternehmen in Deutschland 2025 zur Pflichtaufgabe.

Dieser Artikel führt Sie strukturiert durch die Prüfschritte, erklärt die relevanten Sektoren, Größenschwellen und Einrichtungstypen – und gibt Ihnen konkrete Handlungsempfehlungen an die Hand.


Was regelt §3 NIS2UmsuCG? Der gesetzliche Rahmen

Der persönliche Anwendungsbereich der NIS2-Richtlinie ist in § 3 NIS2UmsuCG (Umsetzung von Art. 2 der EU-Richtlinie 2022/2555) geregelt. Demnach unterliegen Unternehmen der Richtlinie, wenn sie:

  1. In einem der relevanten Sektoren (Anlage 1 oder Anlage 2 NIS2UmsuCG) tätig sind,
  2. Bestimmte Größenschwellen überschreiten (mindestens 50 Mitarbeiter oder 10 Millionen Euro Jahresumsatz),
  3. Ihren Hauptsitz oder eine relevante Niederlassung in Deutschland haben.

Zusätzlich gibt es sogenannte größenunabhängige Sonderfälle, bei denen auch kleinere Unternehmen erfasst werden – etwa Betreiber kritischer Infrastrukturen oder Unternehmen, die als einzige Anbieter eines wesentlichen Dienstes in einem Mitgliedstaat agieren.

Wichtig: Anders als die Vorgängerregelung (IT-SiG 2.0) gilt NIS2 nicht mehr nur für wenige hundert KRITIS-Betreiber, sondern für schätzungsweise 29.000 bis 40.000 Unternehmen allein in Deutschland (BSI-Schätzung, Stand 2025).


Schritt 1: Sektor-Check – Anlage 1 und Anlage 2

Der erste Prüfschritt ist die Sektor-Zuordnung. Das NIS2UmsuCG unterscheidet zwischen zwei Anlagen mit unterschiedlichen Regulierungsintensitäten.

Anlage 1: Sektoren mit hoher Kritikalität (Wesentliche Einrichtungen)

Sektor Beispiele
Energie Strom, Gas, Fernwärme, Öl, Wasserstoff
Verkehr Luftfahrt, Bahn, Schifffahrt, Straße
Bankwesen Kreditinstitute, Zahlungsdienstleister
Finanzmarktinfrastrukturen Börsen, zentrale Gegenparteien
Gesundheit Krankenhäuser, Pharmahersteller, Labore
Trinkwasser & Abwasser Versorger, Aufbereitungsanlagen
Digitale Infrastruktur IXPs, DNS-Anbieter, TLD-Registries, RZ-Betreiber
IKT-Dienstverwaltung (B2B) Managed Service Provider, MSSP
Öffentliche Verwaltung Bundesbehörden, Landesbehörden
Weltraum Bodeninfrastruktur-Betreiber

Anlage 2: Sonstige kritische Sektoren (Wichtige Einrichtungen)

Sektor Beispiele
Post- und Kurierdienste Paketdienstleister, Briefanbieter
Abfallbewirtschaftung Entsorgungsunternehmen
Chemie Hersteller, Händler gefährlicher Stoffe
Lebensmittel Großhändler, Hersteller, Supermarktketten
Verarbeitendes Gewerbe Medizinprodukte, Elektronik, Maschinen, Kfz
Digitale Dienste Online-Marktplätze, Suchmaschinen, soziale Netzwerke
Forschung Forschungseinrichtungen

Praxistipp: Viele Unternehmen unterschätzen, wie weit der Begriff „verarbeitendes Gewerbe" reicht. Ein mittelständischer Maschinenbauer oder ein Elektronikhersteller mit 55 Mitarbeitern kann bereits in den Anwendungsbereich fallen.


Schritt 2: Größenkriterien – Wer überschreitet die Schwellenwerte?

Nicht jedes Unternehmen in einem der genannten Sektoren ist automatisch betroffen. Es gelten EU-weit harmonisierte KMU-Schwellenwerte gemäß der EU-Empfehlung 2003/361/EG:

Die entscheidenden Schwellenwerte

Kategorie Mitarbeiter Jahresumsatz ODER Jahresbilanzsumme
Mittleres Unternehmen 50–249 > 10 Mio. €
Großes Unternehmen ≥ 250 > 50 Mio. €
Kleinstunternehmen/KMU < 50 ≤ 10 Mio. €

Unternehmen der dritten Kategorie (Klein- und Kleinstunternehmen) sind grundsätzlich nicht vom NIS2UmsuCG erfasst – es sei denn, sie fallen unter die oben erwähnten Sonderregelungen.

Sonderfall: Größenunabhängige Erfassung

Folgende Unternehmen sind unabhängig von ihrer Größe betroffen (§ 3 Abs. 2 NIS2UmsuCG):

  • Anbieter öffentlicher elektronischer Kommunikationsnetze oder -dienste
  • Vertrauensdiensteanbieter (qualifizierte und nicht-qualifizierte)
  • TLD-Registries und DNS-Diensteanbieter
  • Unternehmen, bei denen ein Ausfall erhebliche Auswirkungen auf die öffentliche Sicherheit oder Versorgung hätte
  • Unternehmen, die als einziger Anbieter eines kritischen Dienstes in einem Mitgliedstaat agieren

Schritt 3: Wesentliche vs. wichtige Einrichtungen – Was ist der Unterschied?

Das NIS2-Regime unterscheidet zwei Regulierungskategorien mit unterschiedlichen Aufsichtsintensitäten:

Wesentliche Einrichtungen (Essential Entities)

  • Tätig in Anlage-1-Sektoren
  • Unternehmen mit ≥ 250 Mitarbeitern oder > 50 Mio. € Umsatz
  • Unterliegen proaktiver Aufsicht durch das BSI (Ex-ante-Kontrolle)
  • Strengere Anforderungen an Risikomanagement und Meldepflichten
  • Bußgelder bis zu 10 Mio. € oder 2 % des globalen Umsatzes

Wichtige Einrichtungen (Important Entities)

  • Tätig in Anlage-1- oder Anlage-2-Sektoren
  • Unternehmen mit 50–249 Mitarbeitern oder 10–50 Mio. € Umsatz
  • Unterliegen reaktiver Aufsicht (Ex-post-Kontrolle, also anlassbezogen)
  • Anforderungen weitgehend identisch, aber geringere Bußgeldobergrenze
  • Bußgelder bis zu 7 Mio. € oder 1,4 % des globalen Umsatzes

Fazit des Unterschieds: Die Pflichten sind für beide Kategorien ähnlich – Risikomanagement, Meldepflichten, Lieferkettensicherheit. Der Hauptunterschied liegt in der Aufsichtsintensität und der Bußgeldhöhe.


Selbsttest: Ist Ihr Unternehmen von NIS2 betroffen?

Nutzen Sie diese Checkliste für eine erste Orientierung. Dieser Test ersetzt keine rechtliche Prüfung, gibt aber eine solide erste Einschätzung.

NIS2-Betroffenheitsprüfung – Schnellcheck

  • [ ] Sektor: Ist Ihr Unternehmen in einem Sektor aus Anlage 1 oder Anlage 2 tätig?
  • [ ] Größe (Mitarbeiter): Beschäftigt Ihr Unternehmen 50 oder mehr Mitarbeiter (Vollzeitäquivalente)?
  • [ ] Größe (Umsatz): Liegt Ihr Jahresumsatz bei 10 Millionen Euro oder darüber?
  • [ ] Standort: Hat Ihr Unternehmen seinen Hauptsitz oder eine relevante Niederlassung in Deutschland?
  • [ ] Sonderfall: Sind Sie Anbieter kritischer Dienste ohne Marktkonkurrenz, Vertrauensdiensteanbieter oder Betreiber öffentlicher TK-Netze?

Auswertung:
- Sektor-Check positiv + mindestens ein Größenkriterium erfüllt → Sie sind sehr wahrscheinlich betroffen. Starten Sie umgehend eine formale Betroffenheitsanalyse.
- Sonderfall-Kriterium erfüllt → Sie sind unabhängig von der Größe betroffen.
- Sektor nicht relevant + kein Sonderfall → Aktuell wahrscheinlich nicht betroffen, aber: Lieferketten-Anforderungen Ihrer Kunden können dennoch NIS2-konforme Sicherheitsmaßnahmen erfordern.


Konsequenzen bei Nichterfüllung: Was droht bei Verstößen?

Das NIS2UmsuCG enthält in § 65 BSIG einen detaillierten Bußgeldkatalog. Die Behörde, die für die Durchsetzung zuständig ist, ist in Deutschland primär das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Bußgeldrahmen nach § 65 BSIG

Einrichtungstyp Maximales Bußgeld
Wesentliche Einrichtungen 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (der höhere Wert gilt)
Wichtige Einrichtungen 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes (der höhere Wert gilt)

Darüber hinaus können:

  • Geschäftsführer persönlich haftbar gemacht werden (§ 38 BSIG – persönliche Verantwortung der Leitungsorgane)
  • Unternehmen verpflichtet werden, öffentlich über Verstöße zu informieren (Naming & Shaming)
  • Betriebseinschränkungen oder temporäre Betriebsverbote angeordnet werden

Die persönliche Haftung der Geschäftsführung ist ein in der Praxis oft unterschätztes Risiko: Wer nachweislich Sicherheitsmaßnahmen verschleppt oder Meldepflichten ignoriert, kann privat in Regress genommen werden.


Konkrete Handlungsempfehlungen: So gehen Sie vor

Wenn Sie nach dem Selbsttest zu dem Schluss kommen, dass Ihr Unternehmen betroffen ist – oder wenn Sie sich nicht sicher sind –, empfehlen wir folgende Schritte:

  1. Formale Betroffenheitsanalyse durchführen: Beauftragen Sie eine rechtliche und technische Prüfung, die Ihren Sektor, Ihre Unternehmensgröße und mögliche Sonderfälle berücksichtigt. Dokumentieren Sie das Ergebnis schriftlich.

  2. Registrierung beim BSI vornehmen: Betroffene Unternehmen müssen sich im BSI-Portal registrieren. Die Registrierungspflicht besteht spätestens drei Monate nach erstmaliger Betroffenheit (§ 33 BSIG).

  3. Gap-Analyse gegen NIS2-Anforderungen: Vergleichen Sie Ihren aktuellen Sicherheitsstatus mit den Anforderungen aus § 30 BSIG (Risikomanagementmaßnahmen): Zutrittskontrolle, Incident Response, Business Continuity, Lieferkettensicherheit, Kryptographie, Schwachstellenmanagement und mehr.

  4. Verantwortlichkeiten festlegen: Benennen Sie eine verantwortliche Person für NIS2-Compliance (CISO oder vergleichbar) und stellen Sie sicher, dass die Geschäftsführung aktiv in die Steuerung eingebunden ist (§ 38 BSIG).

  5. Meldeprozesse etablieren: Richten Sie Prozesse ein, um Sicherheitsvorfälle fristgerecht zu melden: Erstmeldung innerhalb von 24 Stunden, Folgemeldung innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats (§ 32 BSIG).

  6. Lieferkette prüfen: Analysieren Sie Ihre Zulieferer und Dienstleister auf Sicherheitsrisiken. NIS2 verlangt, dass auch indirekte Risiken aus der Lieferkette adressiert werden.

  7. Schulungen durchführen: Sensibilisieren Sie Ihre Mitarbeiter und – besonders wichtig – die Geschäftsführung für Cybersicherheitsthemen und NIS2-Pflichten.

  8. Dokumentation aufbauen und pflegen: Alle Maßnahmen müssen nachweisbar sein. Ein strukturiertes Informationssicherheits-Managementsystem (ISMS), idealerweise nach ISO/IEC 27001, ist die empfohlene Grundlage.


Häufige Irrtümer bei der NIS2-Betroffenheitsprüfung

Irrtum 1: „Wir sind zu klein."
Viele Unternehmen unterschätzen, wie schnell die Schwellenwerte von 50 Mitarbeitern und 10 Millionen Euro Umsatz erreicht sind – besonders wenn Verbundunternehmen zusammengerechnet werden müssen (verbundene Unternehmen zählen gemäß EU-KMU-Definition zusammen).

Irrtum 2: „Wir sind kein Technologieunternehmen."
NIS2 gilt auch für Lebensmittelproduzenten, Chemieunternehmen oder Maschinenbauer. Die Digitalisierung dieser Branchen macht sie zu relevanten Akteuren im Sinne der Richtlinie.

Irrtum 3: „Unsere Kunden regeln das."
Auch wenn Großkunden NIS2-Anforderungen in Verträge einbauen, entbindet das nicht von eigener gesetzlicher Compliance. Im Gegenteil: Vertragliche Anforderungen kommen oft on top.

Irrtum 4: „Die Übergangsfrist läuft noch."
Die NIS2-Umsetzungsfrist lief offiziell bis Oktober 2024. In Deutschland gilt das NIS2UmsuCG seit Anfang 2025. Übergangszeiträume sind weitgehend abgelaufen – Handlungsbedarf besteht jetzt.


Fazit: Jetzt handeln, bevor das BSI anklopft

Die NIS2-Betroffenheitsprüfung ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Unternehmen müssen ihre Betroffenheit regelmäßig überprüfen – etwa wenn sie neue Geschäftsfelder erschließen, Unternehmen übernehmen oder Mitarbeiterzahlen wachsen.

Die nächsten Schritte auf einen Blick:

  • ✅ Sektor-Zuordnung anhand Anlage 1 und 2 prüfen
  • ✅ Mitarbeiterzahl und Umsatz gegen Schwellenwerte abgleichen
  • ✅ Sonderfallregelungen checken
  • ✅ Formale Betroffenheitsanalyse dokumentieren
  • ✅ BSI-Registrierung einleiten
  • ✅ Gap-Analyse und ISMS-Aufbau starten

Die gute Nachricht: Wer jetzt strukturiert vorgeht, schafft nicht nur Compliance – sondern stärkt die Cyberresilienz seines Unternehmens nachhaltig.


Nützlicher Hinweis für Ihren nächsten Schritt

Die Betroffenheitsprüfung, Gap-Analyse und ISMS-Dokumentation lassen sich erheblich effizienter gestalten, wenn Sie auf spezialisierte NIS2-Compliance-Software zurückgreifen. Moderne Plattformen führen Sie strukturiert durch die Prüfschritte nach §§ 3, 30 und 33 BSIG, helfen bei der Erstellung gesetzeskonformer Dokumente (Sicherheitsrichtlinien, Risikoanalysen, Meldeprozesse) und liefern einen Echtzeit-Überblick über Ihren Compliance-Status. Für IT-Verantwortliche und Geschäftsführer, die NIS2-Anforderungen effizient umsetzen wollen, ist ein solches Tool eine sinnvolle Investition – und oft deutlich günstiger als externe Berater für jeden einzelnen Schritt.


Quellen und weiterführende Referenzen: BSI (bsi.bund.de), NIS2UmsuCG (BGBl. 2024), EU-Richtlinie 2022/2555 (NIS2), ENISA Threat Landscape 2024, BSIG in der Fassung 2025