NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?
Veröffentlicht am 21. Mai 2026 · Lesedauer: ca. 8 Minuten
Viele Unternehmen in Deutschland sind sich bis heute unsicher, ob sie von der NIS2-Richtlinie betroffen sind – und unterschätzen damit ein erhebliches Compliance-Risiko. Dabei hat der deutsche Gesetzgeber mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) klare Kriterien definiert, anhand derer sich die Betroffenheit systematisch prüfen lässt. Dieser Artikel führt Sie Schritt für Schritt durch die NIS2-Betroffenheitsprüfung und zeigt, welche Konsequenzen drohen, wenn Sie die gesetzlichen Anforderungen ignorieren.
Was regelt §3 NIS2UmsuCG – und warum ist er so wichtig?
Der §3 NIS2UmsuCG definiert den persönlichen Anwendungsbereich des Gesetzes. Er legt fest, welche Einrichtungen als „wesentlich" oder „wichtig" einzustufen sind und damit den vollständigen Pflichtenkatalog des Gesetzes erfüllen müssen. Wer §3 NIS2UmsuCG auf sich anwendet – oder bewusst ignoriert –, entscheidet damit über Sicherheitspflichten, Meldepflichten und potenzielle Bußgeldrisiken in Millionenhöhe.
Die Norm knüpft die Betroffenheit an zwei zentrale Prüfpfade:
- Sektorzugehörigkeit (Anlage 1 oder Anlage 2 zum NIS2UmsuCG)
- Größenkriterien (Anzahl der Mitarbeitenden, Umsatz und/oder Bilanzsumme)
Nur wer beide Kriterien gleichzeitig erfüllt, fällt grundsätzlich in den Anwendungsbereich – von klar definierten Ausnahmen abgesehen.
Schritt 1: Gehört Ihr Unternehmen zu einem betroffenen Sektor?
Anlage 1 – Sektoren mit hoher Kritikalität (wesentliche Einrichtungen)
Die Anlage 1 des NIS2UmsuCG listet elf Sektoren auf, die als besonders kritisch für Staat und Gesellschaft gelten:
| Sektor | Beispiele betroffener Einrichtungen |
|---|---|
| Energie | Strom-, Gas-, Fernwärme-, Wasserstoffversorgung |
| Verkehr | Flughäfen, Eisenbahnen, Häfen, Straßenverkehr |
| Bankwesen | Kreditinstitute, Zahlungsdienstleister |
| Finanzmarktinfrastruktur | Handelsplätze, zentrale Gegenparteien |
| Gesundheit | Krankenhäuser, Labore, Pharmahersteller |
| Trinkwasser | Wasserversorgungsunternehmen |
| Abwasser | Abwasserentsorgungsunternehmen |
| Digitale Infrastruktur | IXPs, DNS-Resolver, TLD-Registries, Rechenzentren, CDN |
| ICT-Dienstleister (B2B) | Managed Service Provider, Cloud-Anbieter |
| Weltraum | Bodeninfrastruktur-Betreiber |
| Öffentliche Verwaltung | Bundes- und Landesbehörden |
Anlage 2 – Weitere kritische Sektoren (wichtige Einrichtungen)
Die Anlage 2 umfasst sieben zusätzliche Sektoren, die zwar ebenfalls reguliert werden, aber in der Regel mit etwas weniger strengen Aufsichtsmaßnahmen rechnen müssen:
| Sektor | Beispiele |
|---|---|
| Post- und Kurierdienste | Paketdienstleister, Briefdienste |
| Abfallbewirtschaftung | Entsorgungsunternehmen |
| Chemie | Hersteller chemischer Substanzen |
| Lebensmittel | Lebensmittelhersteller, Großhändler |
| Verarbeitendes Gewerbe | Hersteller von Medizinprodukten, Fahrzeugen, Elektronik, Maschinenbau |
| Digitale Dienste | Online-Marktplätze, Suchmaschinen, soziale Netzwerke |
| Forschung | Forschungseinrichtungen (je nach Ausgestaltung) |
Wichtiger Hinweis: Die Sektordefinitionen orientieren sich eng an den EU-Vorgaben der NIS2-Richtlinie (EU 2022/2555), wurden jedoch durch das NIS2UmsuCG in nationales Recht überführt und teilweise konkretisiert.
Schritt 2: Erfüllt Ihr Unternehmen die Größenkriterien?
Allein die Zugehörigkeit zu einem betroffenen Sektor reicht nicht aus. Zusätzlich müssen Größenschwellenwerte überschritten werden:
Die maßgeblichen Schwellenwerte im Überblick
| Kategorie | Mitarbeitende | Jahresumsatz ODER Bilanzsumme |
|---|---|---|
| Mittleres Unternehmen | ≥ 50 | ≥ 10 Mio. € |
| Großes Unternehmen | ≥ 250 | ≥ 50 Mio. € (Umsatz) oder ≥ 43 Mio. € (Bilanz) |
Für die Betroffenheitsprüfung gilt: Wer mindestens ein mittleres Unternehmen im Sinne der EU-KMU-Definition ist (≥ 50 Mitarbeitende und ≥ 10 Mio. € Jahresumsatz oder Bilanzsumme) und einem der genannten Sektoren angehört, fällt grundsätzlich unter NIS2.
Ausnahmen und Sonderfälle
Das Gesetz kennt auch Ausnahmen von der Größenschwelle: Bestimmte Einrichtungen fallen unabhängig von ihrer Größe in den Anwendungsbereich, wenn sie:
- die einzige Anbieterin einer für gesellschaftlich kritischen Dienste unentbehrlichen Dienstleistung in einem Mitgliedstaat sind,
- Auswirkungen auf öffentliche Sicherheit, Sicherheit oder die öffentliche Ordnung haben könnten,
- systemische Risiken auf nationaler oder grenzüberschreitender Ebene darstellen,
- als kritische Infrastruktur nach dem BSIG (§2 Absatz 10 BSIG) eingestuft sind.
Schritt 3: Wesentliche vs. wichtige Einrichtung – Was ist der Unterschied?
§3 NIS2UmsuCG unterscheidet zwei Kategorien, die sich in Überwachungsintensität und Bußgeldobergrenzen unterscheiden:
Wesentliche Einrichtungen (§3 Abs. 1 NIS2UmsuCG)
Große Unternehmen (≥ 250 MA oder Umsatz ≥ 50 Mio. €) aus Anlage-1-Sektoren sowie bestimmte qualifizierte Vertrauensdiensteanbieter und TLD-Registries gelten als wesentliche Einrichtungen. Sie unterliegen der proaktiven Aufsicht durch das BSI und müssen mit den strengsten Maßnahmen rechnen.
Wichtige Einrichtungen (§3 Abs. 2 NIS2UmsuCG)
Mittlere Unternehmen aus Anlage-1-Sektoren sowie Unternehmen (mittel oder groß) aus Anlage-2-Sektoren werden als wichtige Einrichtungen klassifiziert. Hier greift in der Regel eine reaktive Aufsicht – das BSI wird typischerweise erst bei konkreten Hinweisen auf Verstöße tätig.
Interaktiver Selbsttest: Bin ich von NIS2 betroffen?
Nutzen Sie die folgende Checkliste, um Ihre Betroffenheit in wenigen Minuten grob einzuschätzen:
Checkliste NIS2-Betroffenheitsprüfung
- [ ] Sektor: Gehört mein Unternehmen zu einem der Sektoren in Anlage 1 oder 2?
- [ ] Mitarbeitende: Beschäftigt mein Unternehmen mindestens 50 Personen?
- [ ] Umsatz/Bilanz: Übersteigt der Jahresumsatz oder die Bilanzsumme 10 Mio. €?
- [ ] Konzernzugehörigkeit: Werden Mitarbeitende und Umsatz verbundener Unternehmen korrekt konsolidiert?
- [ ] Ausnahmeregel: Ist mein Unternehmen trotz Unterschreitung der Schwellenwerte wegen kritischer Bedeutung einzustufen?
- [ ] Registrierungspflicht: Hat mein Unternehmen die Registrierung beim BSI gemäß §32 NIS2UmsuCG vorgenommen?
- [ ] Sicherheitsmaßnahmen: Sind die Maßnahmen nach §30 NIS2UmsuCG (technische und organisatorische Maßnahmen) implementiert?
- [ ] Meldepflicht: Ist ein Prozess zur Meldung erheblicher Sicherheitsvorfälle gemäß §32 NIS2UmsuCG etabliert?
Hinweis: Dieser Selbsttest ersetzt keine rechtliche oder fachliche Einzelfallprüfung. Für eine verbindliche Einschätzung empfehlen wir die Konsultation eines spezialisierten Beraters sowie die offizielle Orientierungshilfe des BSI.
Konsequenzen bei Nichterfüllung: Bußgelder nach §65 BSIG
Wer die NIS2-Anforderungen ignoriert oder die eigene Betroffenheit nicht ernstnimmt, riskiert empfindliche Bußgelder. Der §65 BSIG sieht folgende Höchstbeträge vor:
| Einrichtungskategorie | Maximales Bußgeld |
|---|---|
| Wesentliche Einrichtungen | 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (der höhere Betrag gilt) |
| Wichtige Einrichtungen | 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes (der höhere Betrag gilt) |
Neben den direkten Bußgeldern drohen zusätzliche Konsequenzen:
- Persönliche Haftung der Geschäftsführung: §38 NIS2UmsuCG sieht vor, dass Leitungsorgane für die Umsetzung der Cybersicherheitsmaßnahmen persönlich verantwortlich gemacht werden können.
- Reputationsschäden durch öffentliche Bekanntmachung von Verstößen (§63 BSIG).
- Betriebsunterbrechungen durch behördliche Anordnungen bei gravierenden Mängeln.
- Zivilrechtliche Haftung gegenüber Kunden und Partnern bei Datenpannen oder Systemausfällen infolge unzureichender Sicherheitsvorkehrungen.
Konkrete Handlungsempfehlungen: So gehen Sie jetzt vor
Wenn Sie nach der obigen Prüfung zu dem Ergebnis gekommen sind, dass Ihr Unternehmen unter NIS2 fällt – oder wenn Sie sich noch unsicher sind –, empfehlen sich folgende Schritte:
-
Formale Betroffenheitsanalyse durchführen: Lassen Sie durch Ihre Rechts- oder IT-Sicherheitsabteilung (ggf. mit externer Unterstützung) eine dokumentierte Betroffenheitsanalyse erstellen, die Sektor, Größenkriterien und eventuelle Sonderregelungen berücksichtigt.
-
Beim BSI registrieren: Wesentliche und wichtige Einrichtungen sind verpflichtet, sich beim BSI zu registrieren. Nutzen Sie die offizielle Registrierungsplattform des BSI und halten Sie Ihre Angaben aktuell.
-
Gap-Analyse der bestehenden Sicherheitsmaßnahmen: Vergleichen Sie Ihre aktuellen technischen und organisatorischen Maßnahmen mit den Anforderungen aus §30 NIS2UmsuCG. Dazu gehören u. a. Risikoanalysen, Incident-Response-Prozesse, Backup-Management, Lieferkettensicherheit und Kryptografie.
-
ISMS aufbauen oder anpassen: Wenn noch kein Informationssicherheits-Managementsystem (ISMS) vorhanden ist, sollten Sie zeitnah mit dem Aufbau beginnen. ISO/IEC 27001 oder der BSI IT-Grundschutz bieten geeignete Rahmenwerke.
-
Meldeprozesse implementieren: Etablieren Sie klare Prozesse für die Meldung erheblicher Sicherheitsvorfälle – initial innerhalb von 24 Stunden, mit vollständiger Meldung innerhalb von 72 Stunden (§32 NIS2UmsuCG).
-
Schulungen für die Geschäftsführung: Da Leitungsorgane persönlich haften, sollten alle Mitglieder der Geschäftsführung oder des Vorstands über die wesentlichen NIS2-Anforderungen informiert und regelmäßig geschult werden (§38 NIS2UmsuCG).
-
Lieferkette prüfen: Analysieren Sie, welche Ihrer Dienstleister und Zulieferer sicherheitsrelevante Funktionen übernehmen, und stellen Sie sicher, dass auch diese angemessene Sicherheitsstandards einhalten.
-
Dokumentation aufbauen: Alle Maßnahmen, Risikoanalysen, Schulungen und Vorfallsberichte sollten revisionssicher dokumentiert werden – dies ist im Rahmen einer möglichen BSI-Prüfung unerlässlich.
Häufige Irrtümer bei der NIS2-Betroffenheitsprüfung
„Wir sind zu klein für NIS2."
Viele mittelständische Unternehmen unterschätzen ihre eigene Größe – insbesondere wenn Konzernstrukturen oder verbundene Unternehmen bei der Mitarbeiterzahl und dem Umsatz konsolidiert werden müssen.
„Wir sind kein Technologieunternehmen."
NIS2 betrifft keine reine IT-Branche. Lebensmittelhersteller, Chemieunternehmen und Maschinenbauer können genauso betroffen sein wie ein Rechenzentrum.
„Wir haben DSGVO-Compliance, das reicht."
Die DSGVO und NIS2 verfolgen unterschiedliche Schutzziele. DSGVO-Konformität schützt nicht vor NIS2-Bußgeldern.
„Das BSI wird uns schon nicht finden."
Das BSI baut seine Aufsichtskapazitäten aktiv aus und kooperiert mit Sektorregulatoren wie BNetzA, BaFin und BAFA.
Fazit: Jetzt handeln statt abwarten
Die NIS2-Betroffenheitsprüfung ist keine reine Formalie, sondern der entscheidende erste Schritt auf dem Weg zur Cybersicherheits-Compliance. Wer feststellt, dass sein Unternehmen unter §3 NIS2UmsuCG fällt, sollte unverzüglich handeln – die Bußgeldrisiken nach §65 BSIG sind real, und die Aufsichtsbehörden haben ihre Aktivitäten seit 2025 deutlich intensiviert.
Die nächsten konkreten Schritte auf einen Blick:
- ✅ Sektorzugehörigkeit und Größenkriterien formal prüfen
- ✅ Beim BSI registrieren (falls noch nicht geschehen)
- ✅ Gap-Analyse gegenüber §30 NIS2UmsuCG durchführen
- ✅ ISMS-Dokumentation aufbauen und Meldeprozesse einrichten
- ✅ Geschäftsführung schulen und Verantwortlichkeiten festlegen
Nächster Schritt: Betroffenheit digital prüfen und dokumentieren
Die manuelle Betroffenheitsprüfung ist zeitaufwendig und fehleranfällig – besonders wenn Konzernstrukturen, mehrere Standorte oder diverse Geschäftsbereiche involviert sind. Spezialisierte NIS2-Compliance-Softwarelösungen unterstützen IT-Verantwortliche und Compliance-Beauftragte dabei, die Betroffenheitsanalyse systematisch durchzuführen, alle erforderlichen ISMS-Dokumente gesetzeskonform zu erstellen und Fristen sowie Meldepflichten automatisiert zu überwachen. Ein strukturiertes Tool hilft Ihnen, den gesamten NIS2-Compliance-Prozess – von der Erstprüfung bis zur laufenden Dokumentation – nachvollziehbar abzubilden und bei einer BSI-Prüfung lückenlos nachzuweisen.
Tipp: Prüfen Sie, ob Ihre bestehende GRC-Plattform (Governance, Risk & Compliance) NIS2-spezifische Module anbietet oder ob eine dedizierte NIS2-Lösung für Ihr Unternehmen sinnvoller ist.
Dieser Artikel spiegelt den Rechtsstand vom 21. Mai 2026 wider. Angesichts laufender Konkretisierungen durch das BSI und möglicher Änderungen auf EU-Ebene empfehlen wir, die offizielle BSI-Webseite (bsi.bund.de) regelmäßig auf Aktualisierungen zu prüfen.