NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?

Veröffentlicht am 17. Juli 2026 | Lesezeit: ca. 10 Minuten


Die NIS2-Richtlinie der Europäischen Union hat die Cybersicherheitslandschaft in Deutschland grundlegend verändert. Mit dem NIS2-Umsetzungsgesetz (NIS2UmsuCG) und den entsprechenden Änderungen im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) sind tausende Unternehmen erstmals in den Geltungsbereich eines verbindlichen Cybersicherheitsrahmens gefallen – viele davon, ohne es bislang zu wissen. Stand Mitte 2026 zeigen Audits und Beratungsgespräche: Ein erheblicher Teil der betroffenen Unternehmen hat die eigene Betroffenheit noch immer nicht korrekt eingeschätzt.

Dieser Artikel liefert Ihnen eine strukturierte NIS2 Betroffenheitsprüfung – klar, praxisnah und mit konkreten Konsequenzen, falls Sie die Pflichten ignorieren.


Was ist NIS2 und warum ist die Betroffenheitsprüfung so wichtig?

NIS2 steht für die EU-Richtlinie 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union. In Deutschland wurde sie durch das NIS2UmsuCG in nationales Recht überführt, das die Anforderungen im neugefassten BSIG verankert.

Der entscheidende Paragraph für die Betroffenheitsfrage ist § 3 NIS2UmsuCG (i.V.m. §§ 28–30 BSIG), der definiert, welche Einrichtungen als wesentlich oder wichtig eingestuft werden. Diese Einstufung bestimmt nicht nur den Umfang der Pflichten, sondern auch die Höhe möglicher Bußgelder bei Verstößen.

Wer die eigene Betroffenheit falsch einschätzt, riskiert:
- Empfindliche Bußgelder nach § 65 BSIG
- Haftung der Geschäftsführung (§ 38 BSIG)
- Reputationsschäden nach Sicherheitsvorfällen
- Nachforderungen bei Audits und Zertifizierungen


Die zwei zentralen Prüfkriterien: Sektor und Größe

Die Betroffenheitsprüfung folgt einer klaren Logik: Ein Unternehmen fällt unter NIS2, wenn es gleichzeitig zwei Kriterien erfüllt – es gehört einem bestimmten Sektor an, und es überschreitet bestimmte Größenschwellen.

Kriterium 1: Sektorzugehörigkeit nach Anlage 1 und Anlage 2 NIS2UmsuCG

Das NIS2UmsuCG unterscheidet zwischen zwei Anlagen, die verschiedene Sektoren auflisten:

Anlage 1 – Sektoren mit hoher Kritikalität (wesentliche Einrichtungen):

Sektor Beispielunternehmen
Energie Strom-, Gas-, Fernwärmeversorger
Transport und Verkehr Flughäfen, Bahnbetreiber, Reedereien
Bankwesen Kreditinstitute, Zahlungsdienstleister
Finanzmarktinfrastrukturen Börsen, zentrale Gegenparteien
Gesundheit Krankenhäuser, Labore, Pharmahersteller
Trinkwasser Wasserversorger
Abwasser Abwasserbetreiber
Digitale Infrastruktur Rechenzentren, Cloud-Anbieter, DNS-Resolver
IKT-Servicemanagement (B2B) Managed Service Provider
Öffentliche Verwaltung Bundesbehörden, Landesbehörden
Weltraum Betreiber von Bodeninfrastruktur

Anlage 2 – Sonstige kritische Sektoren (wichtige Einrichtungen):

Sektor Beispielunternehmen
Post- und Kurierdienste Paketdienstleister
Abfallbewirtschaftung Entsorgungsunternehmen
Chemie Chemikalienerzeuger und -händler
Lebensmittel Lebensmittelhersteller und -händler
Verarbeitendes Gewerbe Maschinenbau, Medizintechnik, Fahrzeugbau
Digitale Dienste Online-Marktplätze, Suchmaschinen, soziale Netzwerke
Forschung Forschungseinrichtungen

Hinweis: Die genaue Abgrenzung der Sektoren ist im Einzelfall komplex. Ziehen Sie im Zweifelsfall einen Rechtsanwalt oder zertifizierten NIS2-Berater hinzu.


Kriterium 2: Größenschwellen – Ab wann greift NIS2?

Allein die Sektorzugehörigkeit reicht nicht aus. Zusätzlich müssen die folgenden Schwellenwerte überschritten werden:

Mittlere Unternehmen (und größer) sind betroffen:
- Mindestens 50 Mitarbeiter (Vollzeitäquivalente), ODER
- Jahresumsatz und Jahresbilanzsumme von jeweils mehr als 10 Millionen Euro

Das bedeutet: Bereits ein Unternehmen mit 52 Mitarbeitern im Bereich Maschinenbau kann vollumfänglich NIS2-pflichtig sein.

Ausnahmen und Sonderregelungen:

Bestimmte Einrichtungen fallen unabhängig von ihrer Größe unter NIS2 – sogenannte größenunabhängige Einrichtungen. Dazu zählen unter anderem:
- Betreiber kritischer Anlagen (KRITIS) nach § 28 Abs. 1 BSIG
- Qualifizierte Vertrauensdiensteanbieter
- TLD-Registries und DNS-Resolver
- Einzige Anbieter eines für ein Mitgliedsland systemrelevanten Dienstes


Wesentliche vs. wichtige Einrichtungen: Was ist der Unterschied?

Die Einstufung als wesentliche Einrichtung (Essential Entity, EE) oder wichtige Einrichtung (Important Entity, IE) hat erhebliche praktische Konsequenzen:

Merkmal Wesentliche Einrichtung Wichtige Einrichtung
Sektorzugehörigkeit Anlage 1 NIS2UmsuCG Anlage 2 NIS2UmsuCG
Mindestgröße i.d.R. ab 250 MA oder >50 Mio. € i.d.R. ab 50 MA oder >10 Mio. €
Aufsicht durch BSI Proaktiv (Ex-ante) Reaktiv (Ex-post)
Maximales Bußgeld Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes Bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes
Registrierungspflicht Ja, beim BSI Ja, beim BSI
Meldepflichten Unverzüglich, spätestens 24h Unverzüglich, spätestens 24h

Beide Kategorien unterliegen denselben technischen und organisatorischen Grundpflichten – der Unterschied liegt vor allem in der Intensität der behördlichen Aufsicht und der Bußgeldhöhe.


Selbsttest: Ist Ihr Unternehmen von NIS2 betroffen?

Nutzen Sie diese strukturierte Checkliste für eine erste Einschätzung:

Schritt 1: Sektorzugehörigkeit prüfen

  • [ ] Mein Unternehmen ist in einem der Sektoren aus Anlage 1 (Energie, Transport, Gesundheit, Banken, digitale Infrastruktur etc.) tätig.
  • [ ] Mein Unternehmen ist in einem der Sektoren aus Anlage 2 (Lebensmittel, Chemie, Maschinenbau, Post, Forschung etc.) tätig.
  • [ ] Mein Unternehmen ist Zulieferer eines KRITIS-Betreibers und könnte als Teil der Lieferkette relevant sein.

→ Wenn keine der obigen Aussagen zutrifft: NIS2 gilt voraussichtlich nicht für Ihr Unternehmen (Stand heute – regelmäßige Überprüfung empfohlen).

Schritt 2: Größenschwelle prüfen

  • [ ] Mein Unternehmen beschäftigt 50 oder mehr Mitarbeiter (Vollzeitäquivalente).
  • [ ] Mein Jahresumsatz übersteigt 10 Millionen Euro.
  • [ ] Mein Unternehmen ist ein Großunternehmen (250+ MA oder >50 Mio. € Umsatz).

→ Treffen Sektorkriterium und Größenkriterium zu: Ihr Unternehmen ist wahrscheinlich NIS2-pflichtig.

Schritt 3: Registrierungspflicht beim BSI

  • [ ] Mein Unternehmen hat sich bereits im BSI-Portal registriert (Pflicht nach § 33 BSIG).
  • [ ] Ein NIS2-Verantwortlicher wurde intern benannt.
  • [ ] Es liegt eine Risikoanalyse nach § 30 BSIG vor.

Die wichtigsten Pflichten für betroffene Unternehmen

Wer unter NIS2 fällt, muss eine Reihe konkreter Maßnahmen umsetzen. Die zentralen Pflichten ergeben sich aus § 30 BSIG (Risikomanagement) und § 31 BSIG (Meldepflichten):

Technische und organisatorische Maßnahmen (§ 30 BSIG)

  1. Risikoanalyse und Informationssicherheitspolitik – Dokumentierte Risikobewertung für alle kritischen IT-Systeme
  2. Business Continuity Management – Notfallpläne, Backup-Konzepte, Wiederherstellungsverfahren
  3. Supply-Chain-Sicherheit – Bewertung der Cybersicherheitsrisiken in der Lieferkette
  4. Sicherheit bei Erwerb, Entwicklung und Wartung – Sicherheitsanforderungen für Softwareentwicklung und Beschaffung
  5. Wirksamkeit von Maßnahmen – Regelmäßige Überprüfung durch Audits oder Pentests
  6. Schulungen und Awareness – Nachweisbare Cybersecurity-Schulungen für alle Mitarbeiter
  7. Kryptografie und Verschlüsselung – Einsatz angemessener kryptografischer Verfahren
  8. Zugangskontrollen und Authentifizierung – Multi-Faktor-Authentifizierung (MFA) als Mindeststandard
  9. Sicherheit der Kommunikation – Verschlüsselte Kommunikationswege
  10. Incident Response – Klare Prozesse für Erkennung, Meldung und Bewältigung von Sicherheitsvorfällen

Meldepflichten (§ 31 BSIG)

Erhebliche Sicherheitsvorfälle müssen dem BSI gemeldet werden:
- Innerhalb von 24 Stunden: Erstmeldung (Frühwarnung)
- Innerhalb von 72 Stunden: Detaillierte Folgemeldung
- Nach spätestens einem Monat: Abschlussbericht


Konsequenzen bei Nichterfüllung: Bußgelder nach § 65 BSIG

Die Sanktionen für NIS2-Verstöße sind empfindlich. § 65 BSIG sieht folgende Bußrahmen vor:

  • Wesentliche Einrichtungen: Bis zu 10.000.000 Euro oder 2 % des gesamten weltweiten Jahresumsatzes (der höhere Betrag gilt)
  • Wichtige Einrichtungen: Bis zu 7.000.000 Euro oder 1,4 % des gesamten weltweiten Jahresumsatzes

Besonders gravierend: § 38 BSIG sieht eine persönliche Haftung der Geschäftsführung vor. Geschäftsführer und Vorstände können bei groben Pflichtverletzungen persönlich in Haftung genommen werden – und zwar auch dann, wenn sie die Umsetzung an die IT-Abteilung delegiert haben, ohne die Wirksamkeit zu kontrollieren.

Das BSI hat signalisiert, dass es ab 2026 die Aufsicht deutlich intensiviert. Unternehmen, die die Registrierungspflicht ignoriert oder keine Nachweise über umgesetzte Maßnahmen erbringen können, müssen mit aktiven Prüfverfahren rechnen.


Konkrete Handlungsempfehlungen in 7 Schritten

Wenn Ihre Betroffenheitsprüfung ergibt, dass Sie unter NIS2 fallen, sollten Sie jetzt handeln:

  1. Betroffenheit schriftlich dokumentieren – Halten Sie Ihre Einschätzung zur Sektorzugehörigkeit und Größe nachvollziehbar fest.
  2. Beim BSI registrieren – Nutzen Sie das Online-Portal des BSI zur Registrierung als wesentliche oder wichtige Einrichtung (§ 33 BSIG).
  3. NIS2-Verantwortlichen benennen – Definieren Sie intern klare Verantwortlichkeiten auf Geschäftsführungsebene.
  4. Gap-Analyse durchführen – Vergleichen Sie Ihren aktuellen Sicherheitsstatus mit den Anforderungen aus § 30 BSIG.
  5. ISMS aufbauen oder erweitern – Implementieren Sie ein Informationssicherheits-Managementsystem, idealerweise nach ISO 27001 oder BSI IT-Grundschutz.
  6. Lieferkette prüfen – Fordern Sie von kritischen Dienstleistern und Zulieferern Nachweise über deren Cybersicherheitsmaßnahmen an.
  7. Mitarbeiter schulen – Führen Sie nachweisbare Awareness-Trainings durch und dokumentieren Sie diese sorgfältig.

Fazit: Jetzt handeln, bevor das BSI anklopft

Die NIS2 Betroffenheitsprüfung ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Unternehmen, die in relevanten Sektoren tätig sind und die Größenschwellen überschreiten, tragen bereits heute rechtliche Verantwortung – unabhängig davon, ob sie sich dieser Verantwortung bewusst sind.

Die nächsten Schritte auf einen Blick:
- Führen Sie jetzt die Sektorprüfung anhand der Anlagen 1 und 2 des NIS2UmsuCG durch.
- Vergleichen Sie Ihre Unternehmensgrößen mit den Schwellenwerten (50 MA / 10 Mio. €).
- Registrieren Sie sich beim BSI, falls noch nicht geschehen.
- Starten Sie Ihre Gap-Analyse und priorisieren Sie die 10 Maßnahmenfelder aus § 30 BSIG.

Die gute Nachricht: Wer die Anforderungen systematisch angeht, schützt nicht nur sein Unternehmen vor Bußgeldern – sondern stärkt auch nachhaltig die eigene Resilienz gegen Cyberangriffe, die täglich an Zahl und Sophistizierung zunehmen.


Tipp: NIS2-Compliance effizienter umsetzen

Die Komplexität der NIS2-Anforderungen macht eine strukturierte Dokumentation unerlässlich. Spezielle NIS2-Compliance-Softwarelösungen und ISMS-Plattformen helfen Ihnen dabei, die Betroffenheitsprüfung zu automatisieren, ISMS-Dokumente gesetzeskonform zu erstellen, Risikobewertungen zu verwalten und Meldepflichten fristgerecht zu erfüllen. Viele Lösungen bieten vorkonfigurierte Templates für die Anforderungen nach § 30 BSIG und ermöglichen es Ihnen, den Umsetzungsstand jederzeit gegenüber dem BSI oder Ihrer Geschäftsführung transparent nachzuweisen. Eine solche Plattform kann den Unterschied zwischen einem erfolgreichen Audit und einer kostspieligen Nachforderung ausmachen.


Dieser Artikel wurde mit größtmöglicher Sorgfalt erstellt. Er ersetzt keine Rechtsberatung. Für eine verbindliche Einschätzung Ihrer NIS2-Betroffenheit konsultieren Sie bitte einen auf IT-Recht und Cybersicherheit spezialisierten Rechtsanwalt oder BSI-zertifizierten Berater.