NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?
Veröffentlicht am 17. Juli 2026 | Lesezeit: ca. 10 Minuten
Die NIS2-Richtlinie der Europäischen Union hat die Cybersicherheitslandschaft in Deutschland grundlegend verändert. Mit dem NIS2-Umsetzungsgesetz (NIS2UmsuCG) und den entsprechenden Änderungen im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) sind tausende Unternehmen erstmals in den Geltungsbereich eines verbindlichen Cybersicherheitsrahmens gefallen – viele davon, ohne es bislang zu wissen. Stand Mitte 2026 zeigen Audits und Beratungsgespräche: Ein erheblicher Teil der betroffenen Unternehmen hat die eigene Betroffenheit noch immer nicht korrekt eingeschätzt.
Dieser Artikel liefert Ihnen eine strukturierte NIS2 Betroffenheitsprüfung – klar, praxisnah und mit konkreten Konsequenzen, falls Sie die Pflichten ignorieren.
Was ist NIS2 und warum ist die Betroffenheitsprüfung so wichtig?
NIS2 steht für die EU-Richtlinie 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union. In Deutschland wurde sie durch das NIS2UmsuCG in nationales Recht überführt, das die Anforderungen im neugefassten BSIG verankert.
Der entscheidende Paragraph für die Betroffenheitsfrage ist § 3 NIS2UmsuCG (i.V.m. §§ 28–30 BSIG), der definiert, welche Einrichtungen als wesentlich oder wichtig eingestuft werden. Diese Einstufung bestimmt nicht nur den Umfang der Pflichten, sondern auch die Höhe möglicher Bußgelder bei Verstößen.
Wer die eigene Betroffenheit falsch einschätzt, riskiert:
- Empfindliche Bußgelder nach § 65 BSIG
- Haftung der Geschäftsführung (§ 38 BSIG)
- Reputationsschäden nach Sicherheitsvorfällen
- Nachforderungen bei Audits und Zertifizierungen
Die zwei zentralen Prüfkriterien: Sektor und Größe
Die Betroffenheitsprüfung folgt einer klaren Logik: Ein Unternehmen fällt unter NIS2, wenn es gleichzeitig zwei Kriterien erfüllt – es gehört einem bestimmten Sektor an, und es überschreitet bestimmte Größenschwellen.
Kriterium 1: Sektorzugehörigkeit nach Anlage 1 und Anlage 2 NIS2UmsuCG
Das NIS2UmsuCG unterscheidet zwischen zwei Anlagen, die verschiedene Sektoren auflisten:
Anlage 1 – Sektoren mit hoher Kritikalität (wesentliche Einrichtungen):
| Sektor | Beispielunternehmen |
|---|---|
| Energie | Strom-, Gas-, Fernwärmeversorger |
| Transport und Verkehr | Flughäfen, Bahnbetreiber, Reedereien |
| Bankwesen | Kreditinstitute, Zahlungsdienstleister |
| Finanzmarktinfrastrukturen | Börsen, zentrale Gegenparteien |
| Gesundheit | Krankenhäuser, Labore, Pharmahersteller |
| Trinkwasser | Wasserversorger |
| Abwasser | Abwasserbetreiber |
| Digitale Infrastruktur | Rechenzentren, Cloud-Anbieter, DNS-Resolver |
| IKT-Servicemanagement (B2B) | Managed Service Provider |
| Öffentliche Verwaltung | Bundesbehörden, Landesbehörden |
| Weltraum | Betreiber von Bodeninfrastruktur |
Anlage 2 – Sonstige kritische Sektoren (wichtige Einrichtungen):
| Sektor | Beispielunternehmen |
|---|---|
| Post- und Kurierdienste | Paketdienstleister |
| Abfallbewirtschaftung | Entsorgungsunternehmen |
| Chemie | Chemikalienerzeuger und -händler |
| Lebensmittel | Lebensmittelhersteller und -händler |
| Verarbeitendes Gewerbe | Maschinenbau, Medizintechnik, Fahrzeugbau |
| Digitale Dienste | Online-Marktplätze, Suchmaschinen, soziale Netzwerke |
| Forschung | Forschungseinrichtungen |
Hinweis: Die genaue Abgrenzung der Sektoren ist im Einzelfall komplex. Ziehen Sie im Zweifelsfall einen Rechtsanwalt oder zertifizierten NIS2-Berater hinzu.
Kriterium 2: Größenschwellen – Ab wann greift NIS2?
Allein die Sektorzugehörigkeit reicht nicht aus. Zusätzlich müssen die folgenden Schwellenwerte überschritten werden:
Mittlere Unternehmen (und größer) sind betroffen:
- Mindestens 50 Mitarbeiter (Vollzeitäquivalente), ODER
- Jahresumsatz und Jahresbilanzsumme von jeweils mehr als 10 Millionen Euro
Das bedeutet: Bereits ein Unternehmen mit 52 Mitarbeitern im Bereich Maschinenbau kann vollumfänglich NIS2-pflichtig sein.
Ausnahmen und Sonderregelungen:
Bestimmte Einrichtungen fallen unabhängig von ihrer Größe unter NIS2 – sogenannte größenunabhängige Einrichtungen. Dazu zählen unter anderem:
- Betreiber kritischer Anlagen (KRITIS) nach § 28 Abs. 1 BSIG
- Qualifizierte Vertrauensdiensteanbieter
- TLD-Registries und DNS-Resolver
- Einzige Anbieter eines für ein Mitgliedsland systemrelevanten Dienstes
Wesentliche vs. wichtige Einrichtungen: Was ist der Unterschied?
Die Einstufung als wesentliche Einrichtung (Essential Entity, EE) oder wichtige Einrichtung (Important Entity, IE) hat erhebliche praktische Konsequenzen:
| Merkmal | Wesentliche Einrichtung | Wichtige Einrichtung |
|---|---|---|
| Sektorzugehörigkeit | Anlage 1 NIS2UmsuCG | Anlage 2 NIS2UmsuCG |
| Mindestgröße | i.d.R. ab 250 MA oder >50 Mio. € | i.d.R. ab 50 MA oder >10 Mio. € |
| Aufsicht durch BSI | Proaktiv (Ex-ante) | Reaktiv (Ex-post) |
| Maximales Bußgeld | Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes | Bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes |
| Registrierungspflicht | Ja, beim BSI | Ja, beim BSI |
| Meldepflichten | Unverzüglich, spätestens 24h | Unverzüglich, spätestens 24h |
Beide Kategorien unterliegen denselben technischen und organisatorischen Grundpflichten – der Unterschied liegt vor allem in der Intensität der behördlichen Aufsicht und der Bußgeldhöhe.
Selbsttest: Ist Ihr Unternehmen von NIS2 betroffen?
Nutzen Sie diese strukturierte Checkliste für eine erste Einschätzung:
Schritt 1: Sektorzugehörigkeit prüfen
- [ ] Mein Unternehmen ist in einem der Sektoren aus Anlage 1 (Energie, Transport, Gesundheit, Banken, digitale Infrastruktur etc.) tätig.
- [ ] Mein Unternehmen ist in einem der Sektoren aus Anlage 2 (Lebensmittel, Chemie, Maschinenbau, Post, Forschung etc.) tätig.
- [ ] Mein Unternehmen ist Zulieferer eines KRITIS-Betreibers und könnte als Teil der Lieferkette relevant sein.
→ Wenn keine der obigen Aussagen zutrifft: NIS2 gilt voraussichtlich nicht für Ihr Unternehmen (Stand heute – regelmäßige Überprüfung empfohlen).
Schritt 2: Größenschwelle prüfen
- [ ] Mein Unternehmen beschäftigt 50 oder mehr Mitarbeiter (Vollzeitäquivalente).
- [ ] Mein Jahresumsatz übersteigt 10 Millionen Euro.
- [ ] Mein Unternehmen ist ein Großunternehmen (250+ MA oder >50 Mio. € Umsatz).
→ Treffen Sektorkriterium und Größenkriterium zu: Ihr Unternehmen ist wahrscheinlich NIS2-pflichtig.
Schritt 3: Registrierungspflicht beim BSI
- [ ] Mein Unternehmen hat sich bereits im BSI-Portal registriert (Pflicht nach § 33 BSIG).
- [ ] Ein NIS2-Verantwortlicher wurde intern benannt.
- [ ] Es liegt eine Risikoanalyse nach § 30 BSIG vor.
Die wichtigsten Pflichten für betroffene Unternehmen
Wer unter NIS2 fällt, muss eine Reihe konkreter Maßnahmen umsetzen. Die zentralen Pflichten ergeben sich aus § 30 BSIG (Risikomanagement) und § 31 BSIG (Meldepflichten):
Technische und organisatorische Maßnahmen (§ 30 BSIG)
- Risikoanalyse und Informationssicherheitspolitik – Dokumentierte Risikobewertung für alle kritischen IT-Systeme
- Business Continuity Management – Notfallpläne, Backup-Konzepte, Wiederherstellungsverfahren
- Supply-Chain-Sicherheit – Bewertung der Cybersicherheitsrisiken in der Lieferkette
- Sicherheit bei Erwerb, Entwicklung und Wartung – Sicherheitsanforderungen für Softwareentwicklung und Beschaffung
- Wirksamkeit von Maßnahmen – Regelmäßige Überprüfung durch Audits oder Pentests
- Schulungen und Awareness – Nachweisbare Cybersecurity-Schulungen für alle Mitarbeiter
- Kryptografie und Verschlüsselung – Einsatz angemessener kryptografischer Verfahren
- Zugangskontrollen und Authentifizierung – Multi-Faktor-Authentifizierung (MFA) als Mindeststandard
- Sicherheit der Kommunikation – Verschlüsselte Kommunikationswege
- Incident Response – Klare Prozesse für Erkennung, Meldung und Bewältigung von Sicherheitsvorfällen
Meldepflichten (§ 31 BSIG)
Erhebliche Sicherheitsvorfälle müssen dem BSI gemeldet werden:
- Innerhalb von 24 Stunden: Erstmeldung (Frühwarnung)
- Innerhalb von 72 Stunden: Detaillierte Folgemeldung
- Nach spätestens einem Monat: Abschlussbericht
Konsequenzen bei Nichterfüllung: Bußgelder nach § 65 BSIG
Die Sanktionen für NIS2-Verstöße sind empfindlich. § 65 BSIG sieht folgende Bußrahmen vor:
- Wesentliche Einrichtungen: Bis zu 10.000.000 Euro oder 2 % des gesamten weltweiten Jahresumsatzes (der höhere Betrag gilt)
- Wichtige Einrichtungen: Bis zu 7.000.000 Euro oder 1,4 % des gesamten weltweiten Jahresumsatzes
Besonders gravierend: § 38 BSIG sieht eine persönliche Haftung der Geschäftsführung vor. Geschäftsführer und Vorstände können bei groben Pflichtverletzungen persönlich in Haftung genommen werden – und zwar auch dann, wenn sie die Umsetzung an die IT-Abteilung delegiert haben, ohne die Wirksamkeit zu kontrollieren.
Das BSI hat signalisiert, dass es ab 2026 die Aufsicht deutlich intensiviert. Unternehmen, die die Registrierungspflicht ignoriert oder keine Nachweise über umgesetzte Maßnahmen erbringen können, müssen mit aktiven Prüfverfahren rechnen.
Konkrete Handlungsempfehlungen in 7 Schritten
Wenn Ihre Betroffenheitsprüfung ergibt, dass Sie unter NIS2 fallen, sollten Sie jetzt handeln:
- Betroffenheit schriftlich dokumentieren – Halten Sie Ihre Einschätzung zur Sektorzugehörigkeit und Größe nachvollziehbar fest.
- Beim BSI registrieren – Nutzen Sie das Online-Portal des BSI zur Registrierung als wesentliche oder wichtige Einrichtung (§ 33 BSIG).
- NIS2-Verantwortlichen benennen – Definieren Sie intern klare Verantwortlichkeiten auf Geschäftsführungsebene.
- Gap-Analyse durchführen – Vergleichen Sie Ihren aktuellen Sicherheitsstatus mit den Anforderungen aus § 30 BSIG.
- ISMS aufbauen oder erweitern – Implementieren Sie ein Informationssicherheits-Managementsystem, idealerweise nach ISO 27001 oder BSI IT-Grundschutz.
- Lieferkette prüfen – Fordern Sie von kritischen Dienstleistern und Zulieferern Nachweise über deren Cybersicherheitsmaßnahmen an.
- Mitarbeiter schulen – Führen Sie nachweisbare Awareness-Trainings durch und dokumentieren Sie diese sorgfältig.
Fazit: Jetzt handeln, bevor das BSI anklopft
Die NIS2 Betroffenheitsprüfung ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Unternehmen, die in relevanten Sektoren tätig sind und die Größenschwellen überschreiten, tragen bereits heute rechtliche Verantwortung – unabhängig davon, ob sie sich dieser Verantwortung bewusst sind.
Die nächsten Schritte auf einen Blick:
- Führen Sie jetzt die Sektorprüfung anhand der Anlagen 1 und 2 des NIS2UmsuCG durch.
- Vergleichen Sie Ihre Unternehmensgrößen mit den Schwellenwerten (50 MA / 10 Mio. €).
- Registrieren Sie sich beim BSI, falls noch nicht geschehen.
- Starten Sie Ihre Gap-Analyse und priorisieren Sie die 10 Maßnahmenfelder aus § 30 BSIG.
Die gute Nachricht: Wer die Anforderungen systematisch angeht, schützt nicht nur sein Unternehmen vor Bußgeldern – sondern stärkt auch nachhaltig die eigene Resilienz gegen Cyberangriffe, die täglich an Zahl und Sophistizierung zunehmen.
Tipp: NIS2-Compliance effizienter umsetzen
Die Komplexität der NIS2-Anforderungen macht eine strukturierte Dokumentation unerlässlich. Spezielle NIS2-Compliance-Softwarelösungen und ISMS-Plattformen helfen Ihnen dabei, die Betroffenheitsprüfung zu automatisieren, ISMS-Dokumente gesetzeskonform zu erstellen, Risikobewertungen zu verwalten und Meldepflichten fristgerecht zu erfüllen. Viele Lösungen bieten vorkonfigurierte Templates für die Anforderungen nach § 30 BSIG und ermöglichen es Ihnen, den Umsetzungsstand jederzeit gegenüber dem BSI oder Ihrer Geschäftsführung transparent nachzuweisen. Eine solche Plattform kann den Unterschied zwischen einem erfolgreichen Audit und einer kostspieligen Nachforderung ausmachen.
Dieser Artikel wurde mit größtmöglicher Sorgfalt erstellt. Er ersetzt keine Rechtsberatung. Für eine verbindliche Einschätzung Ihrer NIS2-Betroffenheit konsultieren Sie bitte einen auf IT-Recht und Cybersicherheit spezialisierten Rechtsanwalt oder BSI-zertifizierten Berater.