NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?
Veröffentlicht am 18. Juli 2026 | Lesezeit: ca. 8 Minuten
Die NIS2-Richtlinie ist seit ihrer Umsetzung ins deutsche Recht durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) für tausende Unternehmen in Deutschland verbindlich. Dennoch herrscht in vielen Geschäftsführungen und IT-Abteilungen noch immer Unsicherheit: Bin ich überhaupt betroffen? Diese Frage ist keine akademische Übung – wer die NIS2 Betroffenheitsprüfung seines Unternehmens in Deutschland 2025 vernachlässigt, riskiert empfindliche Bußgelder und operationelle Risiken. In diesem Artikel erfahren Sie systematisch, wie Sie Ihre Betroffenheit ermitteln, welche Sektoren erfasst sind und was bei Nichterfüllung droht.
Warum die NIS2-Betroffenheitsprüfung jetzt entscheidend ist
Mit der Verabschiedung des NIS2UmsuCG wurde die europäische NIS2-Richtlinie (EU 2022/2555) in nationales Recht überführt. §3 NIS2UmsuCG definiert den Anwendungsbereich und legt fest, welche Einrichtungen als „wesentlich" oder „wichtig" einzustufen sind. Die Aufsichtsbehörde – das Bundesamt für Sicherheit in der Informationstechnik (BSI) – hat ihre Prüf- und Sanktionspraxis seither deutlich verschärft.
Viele mittelständische Unternehmen gehen fälschlicherweise davon aus, NIS2 betreffe nur Dax-Konzerne oder kritische Infrastrukturen der Energie- und Wasserversorgung. Das ist ein gefährlicher Irrtum. Der Anwendungsbereich ist erheblich breiter als unter der Vorgänger-NIS1-Richtlinie – und die Konsequenzen einer Nichterfüllung sind substanziell.
Schritt 1: Welche Sektoren sind betroffen?
Das NIS2UmsuCG unterscheidet zwei Anlagekategorien, die sich an den Anhängen I und II der EU-NIS2-Richtlinie orientieren.
Anlage 1 – Sektoren mit hoher Kritikalität (wesentliche Einrichtungen)
Diese Sektoren unterliegen den strengsten Anforderungen und der aktivsten BSI-Aufsicht:
- Energie (Strom, Gas, Öl, Fernwärme, Wasserstoff)
- Verkehr (Luft, Bahn, Wasser, Straße)
- Bankwesen und Finanzmarktinfrastrukturen
- Gesundheitswesen (Krankenhäuser, Labore, Pharmahersteller, Medizinproduktehersteller)
- Trinkwasser und Abwasser
- Digitale Infrastruktur (Internet Exchange Points, DNS-Dienste, TLD-Registrierungen, Rechenzentren, Cloud-Anbieter, Vertrauensdiensteanbieter, öffentliche elektronische Kommunikationsnetze)
- IKT-Dienste im B2B-Bereich (Managed Service Provider, Managed Security Service Provider)
- Öffentliche Verwaltung (Bundesbehörden, Landesbehörden)
- Weltraum
Anlage 2 – Weitere kritische Sektoren (wichtige Einrichtungen)
Diese Sektoren sind ebenfalls betroffen, werden aber mit etwas weniger intensiver proaktiver Aufsicht überwacht:
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Chemikalien (Herstellung, Produktion, Vertrieb)
- Lebensmittel (Herstellung und Vertrieb)
- Verarbeitendes Gewerbe / Herstellung (Medizinprodukte, DV-Geräte, Fahrzeuge, Maschinenbau u. a.)
- Digitale Dienste (Online-Marktplätze, Online-Suchmaschinen, Soziale Netzwerke)
- Forschung
Praxis-Hinweis: Auch Zulieferer und Dienstleister, die für Unternehmen in Anlage 1 tätig sind, können indirekt in den Fokus geraten – entweder durch eigene Betroffenheit oder durch vertragliche Anforderungen ihrer Auftraggeber (Supply-Chain-Sicherheit gemäß §30 Abs. 2 Nr. 3 BSIG).
Schritt 2: Größenkriterien – Wer ist konkret erfasst?
Allein die Zugehörigkeit zu einem relevanten Sektor genügt nicht. Entscheidend sind auch die Unternehmensgrößenkriterien, die sich an EU-Empfehlungen zu KMU anlehnen:
| Unternehmensgröße | Mitarbeitende | Jahresumsatz ODER Jahresbilanzsumme | Kategorie (wenn Sektor zutrifft) |
|---|---|---|---|
| Großunternehmen | ≥ 250 MA | > 50 Mio. € Umsatz oder > 43 Mio. € Bilanz | Wesentliche Einrichtung (Anlage 1) oder Wichtige Einrichtung (Anlage 2) |
| Mittleres Unternehmen | 50–249 MA | > 10 Mio. € Umsatz oder > 10 Mio. € Bilanz | Wesentliche Einrichtung (Anlage 1, besondere Sektoren) oder Wichtige Einrichtung |
| Kleine Unternehmen | < 50 MA | ≤ 10 Mio. € | In der Regel nicht betroffen (Ausnahmen gelten) |
Wichtige Ausnahmen von der Größenregel
Es gibt Fälle, in denen auch kleine Unternehmen unter NIS2 fallen können:
- Qualifizierte Vertrauensdiensteanbieter und TLD-Registrierungen – unabhängig von der Größe
- Kritische KRITIS-Betreiber im Sinne des BSI-Gesetzes (z. B. bei nationaler Versorgungsrelevanz)
- Einzige Anbieter eines systemrelevanten Dienstes in einem Mitgliedstaat
- Behörden auf Bundes- und Landesebene – ebenfalls größenunabhängig erfasst
Schritt 3: Wesentliche vs. wichtige Einrichtungen – Der Unterschied zählt
Die Einstufung als wesentliche oder wichtige Einrichtung hat direkte Auswirkungen auf Aufsichtsintensität und Bußgeldhöhe.
Wesentliche Einrichtungen (§28 Abs. 1 BSIG)
- Sektoren aus Anlage 1 mit Großunternehmensgröße
- Bestimmte Sektoren (z. B. DNS, TLD, Cloud) unabhängig von der Größe
- Proaktive Aufsicht durch das BSI
- Regelmäßige Audits, Vor-Ort-Prüfungen möglich
- Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes
Wichtige Einrichtungen (§28 Abs. 2 BSIG)
- Sektoren aus Anlage 1 (mittlere Unternehmen) und Anlage 2 (mittlere und große Unternehmen)
- Reaktive Aufsicht – das BSI wird in der Regel nur bei Hinweisen auf Verstöße tätig
- Bußgelder bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes
Selbsttest: Fällt Ihr Unternehmen unter NIS2?
Beantworten Sie die folgenden Fragen, um eine erste Einschätzung zu erhalten:
Checkliste zur NIS2-Betroffenheitsprüfung
- [ ] Sektor: Ist mein Unternehmen einem der Sektoren in Anlage 1 oder Anlage 2 zuzuordnen?
- [ ] Mitarbeitende: Beschäftigt mein Unternehmen 50 oder mehr Mitarbeitende?
- [ ] Umsatz/Bilanzsumme: Übersteigt mein Jahresumsatz oder meine Bilanzsumme 10 Millionen Euro?
- [ ] Ausnahmeregel: Falle ich unter eine der Ausnahmen (Vertrauensdienste, KRITIS-Relevanz, Alleinanbieter)?
- [ ] Unternehmensverbund: Bin ich Teil einer Unternehmensgruppe, die in der Summe die Schwellenwerte überschreitet?
- [ ] Registrierungspflicht: Habe ich mein Unternehmen bereits beim BSI registriert (§33 BSIG)?
Auswertung:
- Fragen 1–3 alle mit Ja: Sehr wahrscheinlich betroffen → Sofortige Betroffenheitsprüfung durch Fachberater empfohlen
- Frage 4 oder 5 mit Ja: Möglicherweise betroffen trotz Unterschreitung der Schwellenwerte → Einzelfallprüfung notwendig
- Alle mit Nein: Aktuell wahrscheinlich nicht betroffen → Entwicklung im Blick behalten, da Schwellenwerte angepasst werden können
Konsequenzen bei Nichterfüllung: Was droht konkret?
Wer die NIS2-Pflichten ignoriert, setzt sich erheblichen Risiken aus. §65 BSIG regelt die Bußgeldtatbestände detailliert.
Bußgelder nach §65 BSIG
Die Bußgeldrahmen sind erheblich:
- Wesentliche Einrichtungen: Bis zu 10 Mio. Euro oder 2 % des globalen Jahresumsatzes (der höhere Betrag gilt)
- Wichtige Einrichtungen: Bis zu 7 Mio. Euro oder 1,4 % des globalen Jahresumsatzes
- Verletzung der Meldepflichten (§32 BSIG): Separate Bußgelder möglich
- Persönliche Haftung der Geschäftsführung: §38 BSIG sieht vor, dass Leitungsorgane für die Umsetzung von Risikomanagementmaßnahmen persönlich verantwortlich sind – Freistellung durch das Unternehmen ist ausgeschlossen
Weitere Konsequenzen jenseits der Bußgelder
- Betriebsunterbrechungen durch behördliche Anordnungen
- Reputationsschäden und Vertrauensverlust bei Kunden und Partnern
- Zivilrechtliche Haftung gegenüber betroffenen Dritten bei Sicherheitsvorfällen
- Verlust von Aufträgen, insbesondere in der öffentlichen Beschaffung und im B2B-Bereich mit betroffenen Großunternehmen
Konkrete Handlungsempfehlungen: So gehen Sie jetzt vor
Wenn Sie nach dem Selbsttest davon ausgehen, dass Ihr Unternehmen betroffen ist, empfehlen sich folgende Schritte:
-
Formale Betroffenheitsanalyse durchführen: Beauftragen Sie eine rechtlich und technisch fundierte Prüfung, welche Unternehmenseinheiten unter welche NIS2-Kategorie fallen. Dokumentieren Sie das Ergebnis schriftlich.
-
BSI-Registrierung sicherstellen: Gemäß §33 BSIG sind betroffene Einrichtungen zur Registrierung beim BSI verpflichtet. Nutzen Sie dafür das BSI-Meldeportal. Fehlende Registrierung ist selbst ein Bußgeldtatbestand.
-
Gap-Analyse der Sicherheitsmaßnahmen: Vergleichen Sie Ihre bestehenden technischen und organisatorischen Maßnahmen mit den Anforderungen aus §30 BSIG (Risikomanagementmaßnahmen). Kategorien umfassen u. a. Incident Response, Business Continuity, Supply-Chain-Sicherheit, Verschlüsselung und Zugangskontrolle.
-
Meldeprozesse für Sicherheitsvorfälle etablieren: §32 BSIG schreibt eine dreistufige Meldepflicht vor: Frühwarnung (24 Stunden), Meldung (72 Stunden), Abschlussbericht (1 Monat). Implementieren Sie entsprechende interne Prozesse und Eskalationswege.
-
Schulung der Geschäftsführung: §38 BSIG macht klar: Die Verantwortung liegt beim Leitungsorgan. Geschäftsführer und Vorstandsmitglieder müssen NIS2-Schulungen absolvieren und Risikomanagementmaßnahmen billigen.
-
Lieferkette prüfen: Erfassen Sie kritische Dienstleister und Zulieferer und stellen Sie sicher, dass auch diese angemessene Sicherheitsstandards erfüllen. Vertragliche Sicherheitsanforderungen sind zu ergänzen.
-
ISMS aufbauen oder anpassen: Ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 bietet eine anerkannte Grundlage. Es erleichtert sowohl die Compliance als auch den Nachweis gegenüber dem BSI.
-
Kontinuierliches Monitoring etablieren: NIS2-Compliance ist kein einmaliges Projekt. Richten Sie regelmäßige Reviews, interne Audits und ein Kennzahlensystem ein.
Fazit: Jetzt handeln, bevor das BSI anklopft
Die NIS2 Betroffenheitsprüfung für Unternehmen in Deutschland 2025 ist keine Option, sondern eine rechtliche Notwendigkeit. §3 NIS2UmsuCG definiert klar, wer betroffen ist – und die Konsequenzen bei Nichterfüllung sind mit Bußgeldern nach §65 BSIG von bis zu 10 Millionen Euro deutlich spürbar. Besonders die persönliche Haftung der Geschäftsführung nach §38 BSIG sollte ein starker Antrieb sein, das Thema ernst zu nehmen.
Ihre nächsten Schritte zusammengefasst:
- ✅ Sektor und Größenkriterien prüfen (Anlage 1 & 2 NIS2UmsuCG)
- ✅ Einstufung als wesentliche oder wichtige Einrichtung bestimmen
- ✅ BSI-Registrierung durchführen
- ✅ Gap-Analyse und ISMS-Aufbau starten
- ✅ Meldeprozesse und Geschäftsführungs-Schulungen veranlassen
💡 Tipp: NIS2-Compliance strukturiert angehen
Die Dokumentation und das laufende Management der NIS2-Anforderungen sind für viele Unternehmen eine echte Herausforderung – besonders wenn interne Ressourcen begrenzt sind. Spezialisierte NIS2-Compliance-Software kann dabei helfen, Betroffenheitsprüfungen zu dokumentieren, Maßnahmenpläne zu verwalten, Meldeprozesse zu strukturieren und Audits vorzubereiten. Tools, die sich an ISO 27001 und den Anforderungen des BSIG orientieren, bieten häufig vorgefertigte Vorlagen für ISMS-Dokumente, Risikoanalysen und Sicherheitsrichtlinien – und sparen so erheblich Zeit und Aufwand. Wer noch kein strukturiertes System nutzt, sollte dies bei der nächsten IT-Sicherheitsbesprechung auf die Agenda setzen.
Dieser Artikel dient der allgemeinen Information und ersetzt keine rechtliche oder technische Beratung im Einzelfall. Für eine verbindliche NIS2-Betroffenheitsprüfung empfehlen wir die Hinzuziehung eines qualifizierten IT-Sicherheitsberaters oder Rechtsanwalts mit Schwerpunkt Cybersicherheitsrecht.