NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?

Veröffentlicht am 15. Juli 2026 | Lesedauer: ca. 8 Minuten


Seit dem Inkrafttreten des NIS2-Umsetzungsgesetzes (NIS2UmsuCG) stehen tausende deutsche Unternehmen vor einer entscheidenden Frage: Bin ich überhaupt betroffen? Die Antwort darauf ist keine Formsache – sie entscheidet darüber, welche Sicherheitspflichten gelten, welche Meldewege einzuhalten sind und welche Bußgelder bei Verstößen drohen. Dieser Artikel führt Sie strukturiert durch die NIS2-Betroffenheitsprüfung und erklärt, was konkret auf Ihr Unternehmen zukommt.


Was ist die NIS2-Betroffenheitsprüfung – und warum ist sie so wichtig?

Die NIS2-Richtlinie der Europäischen Union (EU 2022/2555) wurde mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in deutsches Recht überführt. Der zentrale Paragraf für die Frage der Betroffenheit ist § 3 NIS2UmsuCG, der in Verbindung mit den Anlagen 1 und 2 des Gesetzes definiert, welche Organisationen als „wesentliche" oder „wichtige Einrichtungen" gelten.

Viele Unternehmen unterschätzen die Reichweite der Regelung. Das BSI schätzt, dass in Deutschland rund 29.000 bis 40.000 Unternehmen unter die NIS2-Anforderungen fallen – deutlich mehr als unter die Vorgängerregelung NIS1. Wer die eigene Betroffenheit nicht kennt, kann keine geeigneten Schutzmaßnahmen einleiten – und riskiert empfindliche Bußgelder.


Schritt 1: Gehört Ihr Unternehmen zu einem betroffenen Sektor?

Das erste Kriterium der Betroffenheitsprüfung ist die Sektorzugehörigkeit. Das NIS2UmsuCG unterscheidet in zwei Anlagen:

Anlage 1: Sektoren mit hoher Kritikalität (wesentliche Einrichtungen)

Diese Sektoren gelten als besonders kritisch für die öffentliche Sicherheit und das gesellschaftliche Leben:

  • Energie (Strom, Gas, Wärme, Öl, Wasserstoff)
  • Verkehr (Luft, Schiene, Wasser, Straße)
  • Bankwesen und Finanzmarktinfrastrukturen
  • Gesundheitswesen (Krankenhäuser, Labore, Pharmaunternehmen)
  • Trinkwasser und Abwasser
  • Digitale Infrastrukturen (DNS, TLD-Registries, Cloud-Anbieter, Rechenzentren)
  • IKT-Dienstemanagement (Managed Services, Managed Security Services)
  • Öffentliche Verwaltung
  • Weltraum

Anlage 2: Sonstige kritische Sektoren (wichtige Einrichtungen)

Diese Sektoren sind ebenfalls reguliert, jedoch mit leicht abgemilderten Anforderungen:

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Chemie (Produktion und Vertrieb gefährlicher Stoffe)
  • Lebensmittel (Produktion, Verarbeitung, Vertrieb)
  • Verarbeitendes Gewerbe / Herstellung (Medizinprodukte, Elektronik, Fahrzeuge u. a.)
  • Digitale Anbieter (Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke)
  • Forschung (Forschungseinrichtungen)

Praxishinweis: Entscheidend ist nicht nur Ihr Kerngeschäft, sondern auch, ob digitale Dienste oder Infrastrukturen einen wesentlichen Teil Ihrer Wertschöpfung ausmachen. Ein mittelständischer Maschinenbauer, der cloudbasierte Fernwartung anbietet, kann unter die Anlage 2 fallen.


Schritt 2: Erfüllt Ihr Unternehmen die Größenkriterien?

Sektorzugehörigkeit allein reicht nicht aus. Zusätzlich müssen die Größenschwellenwerte aus § 3 NIS2UmsuCG erfüllt sein:

Kategorie Mitarbeiterzahl Jahresumsatz ODER Jahresbilanzsumme
Großunternehmen ≥ 250 Mitarbeitende ≥ 50 Mio. € Umsatz oder ≥ 43 Mio. € Bilanzsumme
Mittlere Unternehmen ≥ 50 Mitarbeitende ≥ 10 Mio. € Umsatz oder ≥ 10 Mio. € Bilanzsumme
Kleinunternehmen < 50 Mitarbeitende < 10 Mio. € Umsatz

Wichtige Ausnahmen: Auch Unternehmen, die die Größenschwellen unterschreiten, können betroffen sein, wenn sie:
- als einziger Anbieter eines kritischen Dienstes in Deutschland gelten,
- einen erheblichen grenzüberschreitenden Effekt haben,
- als qualifizierter Vertrauensdiensteanbieter oder DNS-Resolver tätig sind, oder
- vom BSI aufgrund besonderer Systemrelevanz individuell benannt werden.


Schritt 3: Wesentliche oder wichtige Einrichtung – wo liegt der Unterschied?

Nicht jede betroffene Organisation hat dieselben Pflichten. Das NIS2UmsuCG unterscheidet zwischen zwei Kategorien:

Wesentliche Einrichtungen (§ 28 Abs. 1 NIS2UmsuCG)

Hierzu zählen:
- Alle Unternehmen aus Anlage 1, die die Größenschwellen für Großunternehmen erfüllen
- Qualifizierte Vertrauensdiensteanbieter, TLD-Registries und DNS-Resolver unabhängig von der Größe
- Betreiber kritischer Anlagen (KRITIS) nach BSI-Gesetz

Konsequenzen: Strengste Anforderungen, aktive Aufsicht durch das BSI, Registrierungspflicht, Sicherheitsaudits, Meldepflichten innerhalb von 24 Stunden (Frühwarnung) und 72 Stunden (Meldung), sowie Nachweispflicht gegenüber dem BSI.

Wichtige Einrichtungen (§ 28 Abs. 2 NIS2UmsuCG)

Hierzu zählen:
- Mittlere und große Unternehmen aus Anlage 1, die nicht als wesentlich eingestuft sind
- Alle erfassten Unternehmen aus Anlage 2, die die Größenschwellen erfüllen

Konsequenzen: Ähnliche Sicherheitspflichten, aber reaktive statt proaktive Aufsicht – das BSI prüft in der Regel erst nach einem Vorfall oder auf konkreten Anlass.


Interaktiver Selbsttest: Bin ich betroffen?

Nutzen Sie diese Checkliste für eine erste Einschätzung. Beantworten Sie alle Fragen mit Ja oder Nein:

Checkliste: NIS2-Betroffenheitsprüfung

  • [ ] Ist mein Unternehmen in einem der Sektoren aus Anlage 1 oder Anlage 2 tätig?
  • [ ] Beschäftigt mein Unternehmen 50 oder mehr Mitarbeitende?
  • [ ] Übersteigt der Jahresumsatz 10 Millionen Euro?
  • [ ] Bin ich der einzige oder ein systemrelevanter Anbieter eines kritischen Dienstes in Deutschland?
  • [ ] Erbringt mein Unternehmen Vertrauensdienste, DNS-Dienste oder betreibt Cloud-Infrastrukturen?
  • [ ] Hat mein Unternehmen eine erhebliche grenzüberschreitende Wirkung?
  • [ ] Wurde mein Unternehmen vom BSI individuell als betroffene Einrichtung benannt?

Auswertung:
- Frage 1 + 2 oder 3 = Ja: Sie sind wahrscheinlich betroffen – weiter zu Frage 2 für die Kategorisierung.
- Fragen 4–7 = Ja (auch einzeln): Prüfen Sie dringend mit rechtlicher und technischer Beratung, ob eine Ausnahme oder besondere Einstufung vorliegt.
- Alle Fragen = Nein: Sie sind voraussichtlich nicht direkt betroffen – aber prüfen Sie Lieferkettenpflichten als Zulieferer.

Achtung: Dieser Selbsttest ersetzt keine rechtliche Beratung. Für eine verbindliche Einschätzung empfiehlt sich die Konsultation eines NIS2-erfahrenen Rechtsanwalts oder Informationssicherheitsbeauftragten (ISB).


Welche Pflichten entstehen bei Betroffenheit?

Wer unter die NIS2-Regelungen fällt, muss eine Reihe konkreter Maßnahmen umsetzen. Die wichtigsten Pflichten gemäß §§ 30–38 NIS2UmsuCG:

Technische und organisatorische Maßnahmen (§ 30 NIS2UmsuCG)

  • Implementierung eines Risikomanagementsystems für Cybersicherheit
  • Maßnahmen zur Angriffserkennung (Intrusion Detection)
  • Backup- und Wiederherstellungskonzepte
  • Kryptografiekonzept und sichere Kommunikation
  • Multi-Faktor-Authentifizierung (MFA) für kritische Systeme
  • Sicherheit der Lieferkette (Supply-Chain-Security)
  • Schulungen und Awareness-Maßnahmen für Mitarbeitende

Meldepflichten (§ 32 NIS2UmsuCG)

Meldung Frist Inhalt
Frühwarnung 24 Stunden Erster Hinweis auf erheblichen Vorfall
Erstmeldung 72 Stunden Erste Bewertung, Art und Umfang des Vorfalls
Zwischenbericht auf Anfrage Aktueller Status der Bewältigung
Abschlussbericht 1 Monat Vollständige Analyse, Ursachen, Maßnahmen

Registrierungspflicht (§ 33 NIS2UmsuCG)

Alle wesentlichen und wichtigen Einrichtungen müssen sich beim BSI registrieren. Dies erfolgt über das BSI-Portal. Die Registrierung umfasst Kontaktdaten, Sektorzugehörigkeit und die Benennung eines Ansprechpartners.


Welche Konsequenzen drohen bei Nichterfüllung?

Wer die NIS2-Pflichten ignoriert, riskiert erhebliche finanzielle und rechtliche Konsequenzen. Der Bußgeldrahmen ist in § 65 BSIG (Bußgeldvorschriften zum BSIG in der NIS2-Fassung) geregelt:

Verstoß Maximales Bußgeld
Wesentliche Einrichtungen: Schwerwiegende Verstöße Bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes
Wichtige Einrichtungen: Schwerwiegende Verstöße Bis zu 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes
Verletzung von Meldepflichten Bis zu 500.000 Euro
Nichtbefolgung von BSI-Anordnungen Bis zu 100.000 Euro

Darüber hinaus können Geschäftsführer und Vorstände persönlich haftbar gemacht werden. Gemäß § 38 NIS2UmsuCG müssen Leitungsorgane die Umsetzung der Cybersicherheitsmaßnahmen aktiv überwachen und genehmigen – eine Delegation ohne Kontrolle schützt nicht vor persönlicher Haftung.


7 konkrete Handlungsempfehlungen für betroffene Unternehmen

Wenn Sie nach der Betroffenheitsprüfung festgestellt haben, dass Ihr Unternehmen unter NIS2 fällt, empfehlen wir folgende Sofortmaßnahmen:

  1. Betroffenheit dokumentieren: Halten Sie die Grundlage Ihrer Einstufung (Sektor, Größe, Kategorie) schriftlich fest – als Ausgangspunkt für alle weiteren Maßnahmen.

  2. BSI-Registrierung vornehmen: Melden Sie Ihr Unternehmen unverzüglich im BSI-Portal an. Fehlende Registrierung kann bereits bußgeldbewehrt sein.

  3. ISB oder CISO benennen: Bestimmen Sie einen verantwortlichen Informationssicherheitsbeauftragten mit direkter Berichtslinie zur Geschäftsführung.

  4. Gap-Analyse durchführen: Prüfen Sie den aktuellen Sicherheitsstatus gegen die Anforderungen aus § 30 NIS2UmsuCG – idealerweise auf Basis des BSI IT-Grundschutzes oder ISO/IEC 27001.

  5. Meldeprozesse definieren: Etablieren Sie klare interne Eskalations- und Meldewege, damit die 24/72-Stunden-Fristen im Ernstfall eingehalten werden können.

  6. Lieferkettenrisiken bewerten: Fordern Sie von kritischen Dienstleistern und Zulieferern Nachweise zu deren Sicherheitsniveau ein – NIS2 macht Sie für Drittrisiken mitverantwortlich.

  7. Schulungen durchführen: Sensibilisieren Sie Führungskräfte und Mitarbeitende für Cybersicherheitsrisiken. Die Geschäftsleitung ist nach § 38 NIS2UmsuCG verpflichtet, an Schulungen teilzunehmen.


Fazit: Betroffenheit klären – jetzt, nicht später

Die NIS2-Betroffenheitsprüfung ist kein bürokratischer Akt, sondern der erste und wichtigste Schritt auf dem Weg zu einer rechtssicheren Cybersicherheitsstrategie. Unternehmen, die ihre Betroffenheit kennen, können gezielt investieren, Haftungsrisiken minimieren und das Vertrauen ihrer Kunden und Partner stärken.

Ihre nächsten Schritte auf einen Blick:

  1. Sektorzugehörigkeit anhand Anlage 1 und 2 prüfen
  2. Größenschwellen (50+ MA, 10 Mio. € Umsatz) evaluieren
  3. Kategorie (wesentlich oder wichtig) festlegen
  4. BSI-Registrierung anstoßen
  5. Gap-Analyse und Maßnahmenplanung starten

Stehen Sie am Anfang dieser Prüfung oder möchten Sie die Dokumentation Ihrer NIS2-Compliance strukturiert aufbauen? Spezialisierte NIS2-Compliance-Softwarelösungen können dabei helfen, die Betroffenheitsprüfung automatisiert durchzuführen, Pflichten sektorspezifisch abzubilden, ISMS-Dokumente gesetzeskonform zu erstellen und Nachweise für das BSI zu bündeln. Eine solche Lösung ist kein Luxus – für NIS2-Pflichtige ist sie eine erhebliche Arbeitserleichterung und ein Schutz vor kostenintensiven Compliance-Lücken.


Haben Sie Fragen zur NIS2-Betroffenheitsprüfung für Ihr Unternehmen? Teilen Sie diesen Artikel mit Ihrer IT-Abteilung oder Ihrem Compliance-Team – und starten Sie noch heute mit der Prüfung.