NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?
Veröffentlicht am 13. Juli 2026 | Lesedauer: ca. 8 Minuten
Seit dem Inkrafttreten des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) stehen tausende deutsche Unternehmen vor einer entscheidenden Frage: Bin ich betroffen? Die Antwort darauf ist nicht trivial – und die Konsequenzen einer falschen Einschätzung können erheblich sein. Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes (§ 65 BSIG) machen eine sorgfältige NIS2-Betroffenheitsprüfung für Unternehmen in Deutschland 2025 zur Pflichtaufgabe.
Dieser Artikel führt Sie strukturiert durch die Prüfschritte, erklärt die relevanten Sektoren, Größenschwellen und Einrichtungstypen – und gibt Ihnen konkrete Handlungsempfehlungen an die Hand.
Was regelt §3 NIS2UmsuCG? Der gesetzliche Rahmen
Der persönliche Anwendungsbereich der NIS2-Richtlinie ist in § 3 NIS2UmsuCG (Umsetzung von Art. 2 der EU-Richtlinie 2022/2555) geregelt. Demnach unterliegen Unternehmen der Richtlinie, wenn sie:
- In einem der relevanten Sektoren (Anlage 1 oder Anlage 2 NIS2UmsuCG) tätig sind,
- Bestimmte Größenschwellen überschreiten (mindestens 50 Mitarbeiter oder 10 Millionen Euro Jahresumsatz),
- Ihren Hauptsitz oder eine relevante Niederlassung in Deutschland haben.
Zusätzlich gibt es sogenannte größenunabhängige Sonderfälle, bei denen auch kleinere Unternehmen erfasst werden – etwa Betreiber kritischer Infrastrukturen oder Unternehmen, die als einzige Anbieter eines wesentlichen Dienstes in einem Mitgliedstaat agieren.
Wichtig: Anders als die Vorgängerregelung (IT-SiG 2.0) gilt NIS2 nicht mehr nur für wenige hundert KRITIS-Betreiber, sondern für schätzungsweise 29.000 bis 40.000 Unternehmen allein in Deutschland (BSI-Schätzung, Stand 2025).
Schritt 1: Sektor-Check – Anlage 1 und Anlage 2
Der erste Prüfschritt ist die Sektor-Zuordnung. Das NIS2UmsuCG unterscheidet zwischen zwei Anlagen mit unterschiedlichen Regulierungsintensitäten.
Anlage 1: Sektoren mit hoher Kritikalität (Wesentliche Einrichtungen)
| Sektor | Beispiele |
|---|---|
| Energie | Strom, Gas, Fernwärme, Öl, Wasserstoff |
| Verkehr | Luftfahrt, Bahn, Schifffahrt, Straße |
| Bankwesen | Kreditinstitute, Zahlungsdienstleister |
| Finanzmarktinfrastrukturen | Börsen, zentrale Gegenparteien |
| Gesundheit | Krankenhäuser, Pharmahersteller, Labore |
| Trinkwasser & Abwasser | Versorger, Aufbereitungsanlagen |
| Digitale Infrastruktur | IXPs, DNS-Anbieter, TLD-Registries, RZ-Betreiber |
| IKT-Dienstverwaltung (B2B) | Managed Service Provider, MSSP |
| Öffentliche Verwaltung | Bundesbehörden, Landesbehörden |
| Weltraum | Bodeninfrastruktur-Betreiber |
Anlage 2: Sonstige kritische Sektoren (Wichtige Einrichtungen)
| Sektor | Beispiele |
|---|---|
| Post- und Kurierdienste | Paketdienstleister, Briefanbieter |
| Abfallbewirtschaftung | Entsorgungsunternehmen |
| Chemie | Hersteller, Händler gefährlicher Stoffe |
| Lebensmittel | Großhändler, Hersteller, Supermarktketten |
| Verarbeitendes Gewerbe | Medizinprodukte, Elektronik, Maschinen, Kfz |
| Digitale Dienste | Online-Marktplätze, Suchmaschinen, soziale Netzwerke |
| Forschung | Forschungseinrichtungen |
Praxistipp: Viele Unternehmen unterschätzen, wie weit der Begriff „verarbeitendes Gewerbe" reicht. Ein mittelständischer Maschinenbauer oder ein Elektronikhersteller mit 55 Mitarbeitern kann bereits in den Anwendungsbereich fallen.
Schritt 2: Größenkriterien – Wer überschreitet die Schwellenwerte?
Nicht jedes Unternehmen in einem der genannten Sektoren ist automatisch betroffen. Es gelten EU-weit harmonisierte KMU-Schwellenwerte gemäß der EU-Empfehlung 2003/361/EG:
Die entscheidenden Schwellenwerte
| Kategorie | Mitarbeiter | Jahresumsatz ODER Jahresbilanzsumme |
|---|---|---|
| Mittleres Unternehmen | 50–249 | > 10 Mio. € |
| Großes Unternehmen | ≥ 250 | > 50 Mio. € |
| Kleinstunternehmen/KMU | < 50 | ≤ 10 Mio. € |
Unternehmen der dritten Kategorie (Klein- und Kleinstunternehmen) sind grundsätzlich nicht vom NIS2UmsuCG erfasst – es sei denn, sie fallen unter die oben erwähnten Sonderregelungen.
Sonderfall: Größenunabhängige Erfassung
Folgende Unternehmen sind unabhängig von ihrer Größe betroffen (§ 3 Abs. 2 NIS2UmsuCG):
- Anbieter öffentlicher elektronischer Kommunikationsnetze oder -dienste
- Vertrauensdiensteanbieter (qualifizierte und nicht-qualifizierte)
- TLD-Registries und DNS-Diensteanbieter
- Unternehmen, bei denen ein Ausfall erhebliche Auswirkungen auf die öffentliche Sicherheit oder Versorgung hätte
- Unternehmen, die als einziger Anbieter eines kritischen Dienstes in einem Mitgliedstaat agieren
Schritt 3: Wesentliche vs. wichtige Einrichtungen – Was ist der Unterschied?
Das NIS2-Regime unterscheidet zwei Regulierungskategorien mit unterschiedlichen Aufsichtsintensitäten:
Wesentliche Einrichtungen (Essential Entities)
- Tätig in Anlage-1-Sektoren
- Unternehmen mit ≥ 250 Mitarbeitern oder > 50 Mio. € Umsatz
- Unterliegen proaktiver Aufsicht durch das BSI (Ex-ante-Kontrolle)
- Strengere Anforderungen an Risikomanagement und Meldepflichten
- Bußgelder bis zu 10 Mio. € oder 2 % des globalen Umsatzes
Wichtige Einrichtungen (Important Entities)
- Tätig in Anlage-1- oder Anlage-2-Sektoren
- Unternehmen mit 50–249 Mitarbeitern oder 10–50 Mio. € Umsatz
- Unterliegen reaktiver Aufsicht (Ex-post-Kontrolle, also anlassbezogen)
- Anforderungen weitgehend identisch, aber geringere Bußgeldobergrenze
- Bußgelder bis zu 7 Mio. € oder 1,4 % des globalen Umsatzes
Fazit des Unterschieds: Die Pflichten sind für beide Kategorien ähnlich – Risikomanagement, Meldepflichten, Lieferkettensicherheit. Der Hauptunterschied liegt in der Aufsichtsintensität und der Bußgeldhöhe.
Selbsttest: Ist Ihr Unternehmen von NIS2 betroffen?
Nutzen Sie diese Checkliste für eine erste Orientierung. Dieser Test ersetzt keine rechtliche Prüfung, gibt aber eine solide erste Einschätzung.
NIS2-Betroffenheitsprüfung – Schnellcheck
- [ ] Sektor: Ist Ihr Unternehmen in einem Sektor aus Anlage 1 oder Anlage 2 tätig?
- [ ] Größe (Mitarbeiter): Beschäftigt Ihr Unternehmen 50 oder mehr Mitarbeiter (Vollzeitäquivalente)?
- [ ] Größe (Umsatz): Liegt Ihr Jahresumsatz bei 10 Millionen Euro oder darüber?
- [ ] Standort: Hat Ihr Unternehmen seinen Hauptsitz oder eine relevante Niederlassung in Deutschland?
- [ ] Sonderfall: Sind Sie Anbieter kritischer Dienste ohne Marktkonkurrenz, Vertrauensdiensteanbieter oder Betreiber öffentlicher TK-Netze?
Auswertung:
- Sektor-Check positiv + mindestens ein Größenkriterium erfüllt → Sie sind sehr wahrscheinlich betroffen. Starten Sie umgehend eine formale Betroffenheitsanalyse.
- Sonderfall-Kriterium erfüllt → Sie sind unabhängig von der Größe betroffen.
- Sektor nicht relevant + kein Sonderfall → Aktuell wahrscheinlich nicht betroffen, aber: Lieferketten-Anforderungen Ihrer Kunden können dennoch NIS2-konforme Sicherheitsmaßnahmen erfordern.
Konsequenzen bei Nichterfüllung: Was droht bei Verstößen?
Das NIS2UmsuCG enthält in § 65 BSIG einen detaillierten Bußgeldkatalog. Die Behörde, die für die Durchsetzung zuständig ist, ist in Deutschland primär das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Bußgeldrahmen nach § 65 BSIG
| Einrichtungstyp | Maximales Bußgeld |
|---|---|
| Wesentliche Einrichtungen | 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (der höhere Wert gilt) |
| Wichtige Einrichtungen | 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes (der höhere Wert gilt) |
Darüber hinaus können:
- Geschäftsführer persönlich haftbar gemacht werden (§ 38 BSIG – persönliche Verantwortung der Leitungsorgane)
- Unternehmen verpflichtet werden, öffentlich über Verstöße zu informieren (Naming & Shaming)
- Betriebseinschränkungen oder temporäre Betriebsverbote angeordnet werden
Die persönliche Haftung der Geschäftsführung ist ein in der Praxis oft unterschätztes Risiko: Wer nachweislich Sicherheitsmaßnahmen verschleppt oder Meldepflichten ignoriert, kann privat in Regress genommen werden.
Konkrete Handlungsempfehlungen: So gehen Sie vor
Wenn Sie nach dem Selbsttest zu dem Schluss kommen, dass Ihr Unternehmen betroffen ist – oder wenn Sie sich nicht sicher sind –, empfehlen wir folgende Schritte:
-
Formale Betroffenheitsanalyse durchführen: Beauftragen Sie eine rechtliche und technische Prüfung, die Ihren Sektor, Ihre Unternehmensgröße und mögliche Sonderfälle berücksichtigt. Dokumentieren Sie das Ergebnis schriftlich.
-
Registrierung beim BSI vornehmen: Betroffene Unternehmen müssen sich im BSI-Portal registrieren. Die Registrierungspflicht besteht spätestens drei Monate nach erstmaliger Betroffenheit (§ 33 BSIG).
-
Gap-Analyse gegen NIS2-Anforderungen: Vergleichen Sie Ihren aktuellen Sicherheitsstatus mit den Anforderungen aus § 30 BSIG (Risikomanagementmaßnahmen): Zutrittskontrolle, Incident Response, Business Continuity, Lieferkettensicherheit, Kryptographie, Schwachstellenmanagement und mehr.
-
Verantwortlichkeiten festlegen: Benennen Sie eine verantwortliche Person für NIS2-Compliance (CISO oder vergleichbar) und stellen Sie sicher, dass die Geschäftsführung aktiv in die Steuerung eingebunden ist (§ 38 BSIG).
-
Meldeprozesse etablieren: Richten Sie Prozesse ein, um Sicherheitsvorfälle fristgerecht zu melden: Erstmeldung innerhalb von 24 Stunden, Folgemeldung innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats (§ 32 BSIG).
-
Lieferkette prüfen: Analysieren Sie Ihre Zulieferer und Dienstleister auf Sicherheitsrisiken. NIS2 verlangt, dass auch indirekte Risiken aus der Lieferkette adressiert werden.
-
Schulungen durchführen: Sensibilisieren Sie Ihre Mitarbeiter und – besonders wichtig – die Geschäftsführung für Cybersicherheitsthemen und NIS2-Pflichten.
-
Dokumentation aufbauen und pflegen: Alle Maßnahmen müssen nachweisbar sein. Ein strukturiertes Informationssicherheits-Managementsystem (ISMS), idealerweise nach ISO/IEC 27001, ist die empfohlene Grundlage.
Häufige Irrtümer bei der NIS2-Betroffenheitsprüfung
Irrtum 1: „Wir sind zu klein."
Viele Unternehmen unterschätzen, wie schnell die Schwellenwerte von 50 Mitarbeitern und 10 Millionen Euro Umsatz erreicht sind – besonders wenn Verbundunternehmen zusammengerechnet werden müssen (verbundene Unternehmen zählen gemäß EU-KMU-Definition zusammen).
Irrtum 2: „Wir sind kein Technologieunternehmen."
NIS2 gilt auch für Lebensmittelproduzenten, Chemieunternehmen oder Maschinenbauer. Die Digitalisierung dieser Branchen macht sie zu relevanten Akteuren im Sinne der Richtlinie.
Irrtum 3: „Unsere Kunden regeln das."
Auch wenn Großkunden NIS2-Anforderungen in Verträge einbauen, entbindet das nicht von eigener gesetzlicher Compliance. Im Gegenteil: Vertragliche Anforderungen kommen oft on top.
Irrtum 4: „Die Übergangsfrist läuft noch."
Die NIS2-Umsetzungsfrist lief offiziell bis Oktober 2024. In Deutschland gilt das NIS2UmsuCG seit Anfang 2025. Übergangszeiträume sind weitgehend abgelaufen – Handlungsbedarf besteht jetzt.
Fazit: Jetzt handeln, bevor das BSI anklopft
Die NIS2-Betroffenheitsprüfung ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Unternehmen müssen ihre Betroffenheit regelmäßig überprüfen – etwa wenn sie neue Geschäftsfelder erschließen, Unternehmen übernehmen oder Mitarbeiterzahlen wachsen.
Die nächsten Schritte auf einen Blick:
- ✅ Sektor-Zuordnung anhand Anlage 1 und 2 prüfen
- ✅ Mitarbeiterzahl und Umsatz gegen Schwellenwerte abgleichen
- ✅ Sonderfallregelungen checken
- ✅ Formale Betroffenheitsanalyse dokumentieren
- ✅ BSI-Registrierung einleiten
- ✅ Gap-Analyse und ISMS-Aufbau starten
Die gute Nachricht: Wer jetzt strukturiert vorgeht, schafft nicht nur Compliance – sondern stärkt die Cyberresilienz seines Unternehmens nachhaltig.
Nützlicher Hinweis für Ihren nächsten Schritt
Die Betroffenheitsprüfung, Gap-Analyse und ISMS-Dokumentation lassen sich erheblich effizienter gestalten, wenn Sie auf spezialisierte NIS2-Compliance-Software zurückgreifen. Moderne Plattformen führen Sie strukturiert durch die Prüfschritte nach §§ 3, 30 und 33 BSIG, helfen bei der Erstellung gesetzeskonformer Dokumente (Sicherheitsrichtlinien, Risikoanalysen, Meldeprozesse) und liefern einen Echtzeit-Überblick über Ihren Compliance-Status. Für IT-Verantwortliche und Geschäftsführer, die NIS2-Anforderungen effizient umsetzen wollen, ist ein solches Tool eine sinnvolle Investition – und oft deutlich günstiger als externe Berater für jeden einzelnen Schritt.
Quellen und weiterführende Referenzen: BSI (bsi.bund.de), NIS2UmsuCG (BGBl. 2024), EU-Richtlinie 2022/2555 (NIS2), ENISA Threat Landscape 2024, BSIG in der Fassung 2025