NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?
Veröffentlicht am 14. Juli 2026 | Lesedauer: ca. 8 Minuten
Die NIS2-Richtlinie der EU ist seit ihrer Umsetzung ins deutsche Recht durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) für tausende Unternehmen in Deutschland verbindlich. Dennoch fragen sich viele Geschäftsführer und IT-Verantwortliche noch immer: Bin ich überhaupt betroffen? Diese Frage ist alles andere als trivial – und die Konsequenzen einer falschen Einschätzung können teuer werden. In diesem Artikel führen wir Sie Schritt für Schritt durch die NIS2-Betroffenheitsprüfung für Unternehmen in Deutschland und zeigen, worauf es 2025 und darüber hinaus wirklich ankommt.
Was regelt §3 NIS2UmsuCG – die Grundlage der Betroffenheitsprüfung
Der zentrale Ausgangspunkt für jede NIS2-Betroffenheitsprüfung ist §3 des NIS2UmsuCG. Dieser Paragraph definiert, welche Einrichtungen als „wesentlich" oder „wichtig" eingestuft werden und damit den Pflichten des Gesetzes unterliegen. Die Klassifizierung ergibt sich aus zwei Hauptkriterien:
- Sektorzugehörigkeit – Ist das Unternehmen in einem der in Anlage 1 oder Anlage 2 des NIS2UmsuCG genannten Sektoren tätig?
- Größenschwellenwerte – Überschreitet das Unternehmen die definierten Schwellenwerte hinsichtlich Mitarbeiterzahl und Jahresumsatz?
Beide Kriterien müssen grundsätzlich gleichzeitig erfüllt sein, damit eine Einrichtung in den Anwendungsbereich des Gesetzes fällt – mit einigen wichtigen Ausnahmen, auf die wir weiter unten eingehen.
Die betroffenen Sektoren: Anlage 1 und Anlage 2 im Überblick
Das NIS2UmsuCG unterscheidet zwischen zwei Kategorien von Sektoren, die sich in ihrer Kritikalität unterscheiden:
Anlage 1 – Sektoren mit hoher Kritikalität (wesentliche Einrichtungen)
Diese Sektoren gelten als besonders kritisch für das Funktionieren von Wirtschaft und Gesellschaft:
- Energie (Strom, Gas, Öl, Fernwärme, Wasserstoff)
- Verkehr (Luft, Schiene, Wasser, Straße)
- Bankwesen und Finanzmarktinfrastrukturen
- Gesundheitswesen (Krankenhäuser, Labore, Pharmahersteller)
- Trinkwasser und Abwasser
- Digitale Infrastruktur (Internet-Knoten, DNS-Dienste, Cloud-Anbieter, Rechenzentren)
- Verwaltung von IKT-Diensten (B2B-Managed-Service-Provider)
- Öffentliche Verwaltung (Bundesbehörden, Landesbehörden)
- Weltraum (Betreiber von Bodeninfrastruktur)
Anlage 2 – Sonstige kritische Sektoren (wichtige Einrichtungen)
Diese Sektoren sind ebenfalls reguliert, unterliegen jedoch im Regelfall weniger strengen Aufsichtsmechanismen:
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Chemische Industrie (Produktion, Herstellung, Handel)
- Lebensmittelproduktion und -verarbeitung
- Verarbeitendes Gewerbe / Herstellung von Waren (z. B. Medizinprodukte, Elektronik, Maschinenbau, Fahrzeugbau)
- Digitale Dienste (Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke)
- Forschungseinrichtungen
Praxishinweis: Viele mittelständische Unternehmen im verarbeitenden Gewerbe sind überrascht, dass sie unter Anlage 2 fallen können – etwa als Zulieferer für die Automobil- oder Elektronikindustrie. Eine sorgfältige Prüfung der eigenen Wertschöpfungskette ist daher unerlässlich.
Die Größenkriterien: Ab wann ist ein Unternehmen betroffen?
Die Sektorzugehörigkeit allein reicht in den meisten Fällen nicht aus. Das NIS2UmsuCG orientiert sich – in Anlehnung an die EU-Empfehlung 2003/361/EG – an folgenden Schwellenwerten:
| Unternehmenstyp | Mitarbeiter | Jahresumsatz oder Jahresbilanzsumme |
|---|---|---|
| Mittleres Unternehmen | ≥ 50 | ≥ 10 Mio. € |
| Großes Unternehmen | ≥ 250 | ≥ 50 Mio. € Umsatz oder ≥ 43 Mio. € Bilanz |
Unternehmen, die unter diesen Schwellenwerten liegen (sog. Kleinst- und Kleinunternehmen), sind grundsätzlich nicht vom NIS2UmsuCG erfasst – es sei denn, es greifen spezifische Ausnahmeregelungen.
Wichtige Ausnahmen: Wenn die Größe keine Rolle spielt
In bestimmten Konstellationen kann auch ein kleineres Unternehmen unter das Gesetz fallen:
- Kritische Infrastruktur mit Alleinstellungsmerkmal: Wenn der Ausfall der Dienstleistung erhebliche Auswirkungen auf die öffentliche Sicherheit oder die Versorgung der Bevölkerung hätte.
- Vertrauensdienste und DNS-Anbieter: Diese fallen unabhängig von ihrer Größe unter die Regulierung.
- Öffentliche Verwaltung: Behörden unterliegen eigenen Regeln ohne klassische Größenschwellen.
- Konzernverbünde: Bei der Berechnung der Mitarbeiterzahl und des Umsatzes können verbundene Unternehmen einzubeziehen sein.
Wesentliche vs. wichtige Einrichtungen: Was ist der Unterschied?
Die Einstufung als wesentliche oder wichtige Einrichtung hat direkte Auswirkungen auf die Intensität der Aufsicht und die Höhe potenzieller Bußgelder.
Wesentliche Einrichtungen
- Tätig in Sektoren der Anlage 1
- Großunternehmen (≥ 250 MA oder ≥ 50 Mio. € Umsatz) oder ausdrücklich als kritische Anlage identifiziert
- Unterliegen proaktiver Aufsicht durch das BSI (regelmäßige Prüfungen auch ohne konkreten Anlass)
- Maximales Bußgeld: 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (der höhere Wert gilt)
Wichtige Einrichtungen
- Tätig in Sektoren der Anlage 1 (mittlere Unternehmen) oder Anlage 2
- Unterliegen reaktiver Aufsicht (BSI wird in der Regel anlassbezogen tätig)
- Maximales Bußgeld: 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes (der höhere Wert gilt)
NIS2-Selbsttest: Fällt Ihr Unternehmen unter die Richtlinie?
Nutzen Sie die folgende Checkliste für eine erste Einschätzung. Diese ersetzt keine rechtliche Beratung, gibt aber einen guten Überblick:
Schritt 1: Sektorzugehörigkeit prüfen
- [ ] Ist mein Unternehmen in einem der Sektoren aus Anlage 1 tätig?
- [ ] Ist mein Unternehmen in einem der Sektoren aus Anlage 2 tätig?
- [ ] Erbringt mein Unternehmen Dienstleistungen für Unternehmen in Anlage 1 oder 2 (z. B. als IT-Dienstleister, MSP oder Zulieferer)?
Schritt 2: Größenschwelle prüfen
- [ ] Hat mein Unternehmen 50 oder mehr Mitarbeiter?
- [ ] Liegt der Jahresumsatz bei 10 Mio. € oder darüber?
- [ ] Zähle ich verbundene Unternehmen zur Berechnung hinzu?
Schritt 3: Ausnahmen prüfen
- [ ] Biete ich Vertrauensdienste oder DNS-Dienste an?
- [ ] Bin ich Teil der kritischen Infrastruktur mit besonderer gesellschaftlicher Bedeutung?
- [ ] Handelt es sich um eine Behörde oder öffentliche Einrichtung?
Auswertung: Wenn Sie in Schritt 1 mindestens eine Frage mit „Ja" beantwortet haben und in Schritt 2 beide Fragen zutreffen (oder in Schritt 3 eine Ausnahme greift), sollten Sie umgehend eine formale Betroffenheitsanalyse durchführen und sich ggf. beim BSI registrieren.
Welche Pflichten entstehen bei Betroffenheit?
Wer unter das NIS2UmsuCG fällt, muss eine Reihe von Anforderungen erfüllen. Die wichtigsten auf einen Blick:
- Registrierungspflicht beim BSI – Betroffene Einrichtungen müssen sich im BSI-Portal registrieren.
- Risikomanagement – Implementierung angemessener technischer und organisatorischer Maßnahmen gemäß §30 NIS2UmsuCG (u. a. Patch-Management, Zugangskontrolle, Verschlüsselung, Business Continuity).
- Meldepflichten – Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden (Frühwarnung) und 72 Stunden (vollständige Meldung) an das BSI gemeldet werden (§32 NIS2UmsuCG).
- Nachweispflichten – Auf Anfrage des BSI müssen Nachweise über die Umsetzung der Sicherheitsmaßnahmen erbracht werden.
- Geschäftsführerhaftung – Leitungsorgane haften persönlich für die Umsetzung der Anforderungen; eine Exkulpation durch Delegation ist nur eingeschränkt möglich.
Konsequenzen bei Nichterfüllung: Bußgelder nach §65 BSIG
Der Gesetzgeber hat mit §65 BSIG ein schlagkräftiges Sanktionsinstrument geschaffen. Die Bußgeldtatbestände sind breit gefasst und betreffen unter anderem:
- Versäumte oder verspätete Registrierung
- Fehlende oder mangelhafte Sicherheitsmaßnahmen
- Nicht erstattete Meldungen bei Sicherheitsvorfällen
- Verweigerung der Zusammenarbeit mit dem BSI
Die Bußgeldhöhen im Überblick:
| Einrichtungstyp | Maximales Bußgeld |
|---|---|
| Wesentliche Einrichtung | 10 Mio. € oder 2 % des globalen Jahresumsatzes |
| Wichtige Einrichtung | 7 Mio. € oder 1,4 % des globalen Jahresumsatzes |
Hinzu kommt: Das BSI kann bei wesentlichen Einrichtungen temporäre Betriebsuntersagungen für Leitungsorgane aussprechen – eine Maßnahme, die in der Praxis erheblichen Druck erzeugt und die persönliche Haftungssituation der Geschäftsführung unterstreicht.
Wichtig: Das BSI hat seit 2025 seine Aufsichtskapazitäten signifikant ausgebaut. Mit einer geduldigen Übergangsphase ohne Konsequenzen sollten Unternehmen nicht mehr rechnen.
7 konkrete Handlungsempfehlungen für Unternehmen
Wenn Sie nach der Betroffenheitsprüfung zu dem Ergebnis kommen, dass Sie unter das NIS2UmsuCG fallen – oder wenn Sie sich unsicher sind – empfehlen wir folgende Schritte:
-
Formale Betroffenheitsanalyse durchführen: Beauftragen Sie einen qualifizierten IT-Sicherheitsberater oder Rechtsanwalt mit einer rechtssicheren Einschätzung Ihrer Betroffenheit gemäß §3 NIS2UmsuCG.
-
Beim BSI registrieren: Nutzen Sie das offizielle Registrierungsportal des BSI. Wesentliche Einrichtungen sind zur Registrierung verpflichtet; eine frühzeitige Registrierung wichtiger Einrichtungen ist ebenfalls ratsam.
-
Gap-Analyse im Bereich Informationssicherheit: Vergleichen Sie Ihren aktuellen Sicherheitsstatus mit den Anforderungen des §30 NIS2UmsuCG. Orientieren Sie sich dabei an anerkannten Standards wie ISO/IEC 27001 oder dem BSI IT-Grundschutz.
-
Meldeprozesse etablieren: Definieren Sie klare interne Prozesse für die Erkennung und Meldung von Sicherheitsvorfällen. 24 Stunden sind eine sehr kurze Zeitspanne – ohne vorbereitete Abläufe ist diese Frist kaum einzuhalten.
-
Geschäftsführung und Leitungsebene schulen: Die persönliche Haftung der Geschäftsführung macht es unerlässlich, dass das Top-Management die NIS2-Anforderungen kennt und aktiv unterstützt.
-
Lieferkette unter die Lupe nehmen: Prüfen Sie, ob kritische Dienstleister und Zulieferer ihrerseits angemessene Sicherheitsmaßnahmen umsetzen. Supply-Chain-Sicherheit ist explizit Teil der NIS2-Anforderungen.
-
Dokumentation lückenlos führen: Das BSI kann Nachweise einfordern. Eine saubere, aktuelle Dokumentation aller Sicherheitsmaßnahmen ist keine Kür, sondern Pflicht.
Fazit: NIS2-Betroffenheit rechtzeitig klären – und dann handeln
Die NIS2-Betroffenheitsprüfung ist der erste und entscheidende Schritt auf dem Weg zur Compliance. Wer die Frage „Bin ich betroffen?" nicht beantwortet, riskiert nicht nur empfindliche Bußgelder nach §65 BSIG, sondern auch Reputationsschäden und im schlimmsten Fall operative Einschränkungen durch das BSI.
Die wichtigsten nächsten Schritte auf einen Blick:
- ✅ Sektorzugehörigkeit gemäß Anlage 1 und 2 NIS2UmsuCG prüfen
- ✅ Größenschwellenwerte (50 MA / 10 Mio. € Umsatz) ermitteln – inklusive verbundener Unternehmen
- ✅ Einordnung als wesentliche oder wichtige Einrichtung vornehmen
- ✅ Registrierung beim BSI initiieren
- ✅ Gap-Analyse und Maßnahmenplan aufsetzen
Die Umsetzung der NIS2-Anforderungen ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Unternehmen, die jetzt handeln, verschaffen sich nicht nur rechtliche Sicherheit, sondern stärken auch ihre Cyberresilienz nachhaltig.
Ihre nächsten Schritte: NIS2-Compliance effizient umsetzen
Die strukturierte Dokumentation aller NIS2-Maßnahmen – von der Betroffenheitsanalyse über das Risikoregister bis hin zu Melde- und Notfallplänen – ist zeitaufwendig, wenn sie manuell erfolgt. Spezialisierte NIS2-Compliance-Softwarelösungen und ISMS-Plattformen helfen Ihnen, die gesetzlich geforderten Nachweise systematisch zu erstellen, aktuell zu halten und im Falle einer BSI-Prüfung jederzeit abrufbereit zu haben. Achten Sie bei der Auswahl auf eine Abdeckung der §30-Anforderungen, integrierte Vorfallmanagement-Workflows und eine revisionssichere Dokumentation. Eine solche Lösung kann den Aufwand für Ihr Compliance-Team erheblich reduzieren – und gibt Ihnen und Ihrer Geschäftsführung die nötige Sicherheit.
Hinweis: Dieser Artikel dient der allgemeinen Information und ersetzt keine rechtliche oder fachkundige Beratung im Einzelfall. Für eine verbindliche Einschätzung Ihrer NIS2-Betroffenheit wenden Sie sich an einen qualifizierten Rechtsanwalt oder IT-Sicherheitsberater.