NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?

Veröffentlicht am 22. Mai 2026 | Lesezeit: ca. 8 Minuten

Die Uhr tickt – und für viele Unternehmen in Deutschland läuft die Zeit, ihre NIS2-Compliance sicherzustellen. Seit der Umsetzung der EU-Richtlinie 2022/2555 in deutsches Recht durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) gelten verschärfte Anforderungen an die Cybersicherheit für tausende Unternehmen. Doch noch immer wissen viele Geschäftsführer und IT-Verantwortliche nicht mit Sicherheit, ob ihr Unternehmen überhaupt betroffen ist.

Dieser Artikel gibt Ihnen einen strukturierten Überblick, erklärt die Kriterien nach §3 NIS2UmsuCG, zeigt Ihnen anhand eines Selbsttests, wie Sie Ihre Betroffenheit prüfen, und erläutert die Konsequenzen bei Nichterfüllung.

Was ist die NIS2-Richtlinie – und warum ist sie relevant?

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist die überarbeitete Version der ursprünglichen NIS-Richtlinie aus dem Jahr 2016. Ihr Ziel: Ein einheitlich hohes Cybersicherheitsniveau in der gesamten Europäischen Union. Deutschland hat die Richtlinie durch das NIS2UmsuCG in nationales Recht überführt.

Gegenüber der Vorgängerrichtlinie ist der Anwendungsbereich erheblich ausgeweitet worden. Während früher nur eine Handvoll Sektoren und wenige hundert Unternehmen betroffen waren, erfasst NIS2 nun schätzungsweise 30.000 bis 40.000 Unternehmen allein in Deutschland – viele davon zum ersten Mal. Besonders mittelständische Unternehmen werden von der neuen Regulierung überrascht, da die Schwellenwerte deutlich abgesenkt wurden.

Die Grundlage: §3 NIS2UmsuCG im Überblick

Der Anwendungsbereich des deutschen Gesetzes ist in §3 NIS2UmsuCG geregelt. Danach gilt das Gesetz für wesentliche und wichtige Einrichtungen in bestimmten Sektoren, sofern sie bestimmte Größenkriterien erfüllen oder kraft Rechtsverordnung bzw. aufgrund besonderer Kritikalität einbezogen werden.

Maßgeblich für die Betroffenheitsprüfung sind drei Faktoren:

  1. Sektor – Ist Ihr Tätigkeitsbereich in Anlage 1 oder Anlage 2 des NIS2UmsuCG aufgeführt?
  2. Unternehmensgröße – Überschreiten Sie die definierten Schwellenwerte?
  3. Einrichtungstyp – Handelt es sich um eine wesentliche oder wichtige Einrichtung?

Welche Sektoren sind betroffen?

Das NIS2UmsuCG unterscheidet zwischen zwei Anlagen, die jeweils unterschiedliche Sektoren auflisten:

Anlage 1: Hochkritische Sektoren (Wesentliche Einrichtungen)

Diese Sektoren gelten als besonders kritisch für Gesellschaft und Wirtschaft. Unternehmen in diesen Bereichen unterliegen strengeren Anforderungen und stärkerer Aufsicht:

  • Energie (Strom, Gas, Wärme, Wasserstoff, Öl)
  • Verkehr und Transport (Luft, Bahn, Wasser, Straße)
  • Bankwesen und Finanzmarktinfrastrukturen
  • Gesundheitswesen (Krankenhäuser, Labore, Hersteller medizinischer Produkte)
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur (Cloud-Anbieter, Rechenzentren, DNS, TLD-Registries)
  • Verwaltung von IKT-Diensten (B2B-Bereich)
  • Öffentliche Verwaltung (Bundesebene, bestimmte Landesbehörden)
  • Weltraum (Betreiber von Bodeninfrastruktur)

Anlage 2: Sonstige Kritische Sektoren (Wichtige Einrichtungen)

Diese Sektoren sind ebenfalls reguliert, jedoch mit etwas weniger strengen Aufsichtspflichten:

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Chemische Industrie
  • Lebensmittelproduktion und -verarbeitung
  • Verarbeitendes Gewerbe / Herstellung (u. a. Medizinprodukte, Maschinen, Fahrzeuge, Elektronik)
  • Digitale Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Forschungseinrichtungen

Praxis-Hinweis: Auch wenn Ihr Kerngeschäft nicht in einem dieser Sektoren liegt, kann eine wesentliche Dienstleistungserbringung für solche Sektoren dazu führen, dass Sie als Teil der Lieferkette indirekt betroffen sind.

Die Größenkriterien: Wann ist ein Unternehmen betroffen?

Grundsätzlich gilt: Unternehmen müssen mindestens mittlerer Größe sein, um unter das NIS2UmsuCG zu fallen. Die EU-Kommissionsdefinition für mittlere Unternehmen lautet:

Kriterium Schwellenwert
Mitarbeitende ≥ 50 Beschäftigte
Jahresumsatz oder Jahresbilanzsumme ≥ 10 Millionen Euro

Ausnahmen nach oben: Große Unternehmen (≥ 250 Mitarbeitende, > 50 Mio. € Umsatz oder > 43 Mio. € Bilanzsumme) in Anlage-1-Sektoren werden automatisch als wesentliche Einrichtungen eingestuft. Mittlere Unternehmen in Anlage-1-Sektoren sowie große und mittlere Unternehmen in Anlage-2-Sektoren gelten als wichtige Einrichtungen.

Ausnahmen nach unten: Auch kleine Unternehmen (unter 50 Mitarbeitende) können betroffen sein, wenn sie:
- als einziger Anbieter eines kritischen Dienstes in Deutschland gelten,
- als Betreiber kritischer Anlagen (KRITIS) nach §28 BSIG eingestuft sind,
- kraft Rechtsverordnung ausdrücklich einbezogen werden.

Wesentliche vs. wichtige Einrichtungen: Der entscheidende Unterschied

Die Unterscheidung zwischen wesentlichen und wichtigen Einrichtungen hat erhebliche praktische Konsequenzen:

Merkmal Wesentliche Einrichtung Wichtige Einrichtung
Sektorzuordnung Anlage 1 (hochkritisch) Anlage 2 (sonstige kritische Sektoren)
Typische Größe Groß (≥ 250 MA / > 50 Mio. €) Mittel (≥ 50 MA / ≥ 10 Mio. €)
Aufsichtsmodell Proaktiv (ex ante) Reaktiv (ex post)
BSI-Kontrollen Regelmäßige Audits, Inspektionen Anlassbezogene Prüfungen
Meldepflichten Strenger, kürzere Fristen Vergleichbar, leicht weniger intensiv
Bußgeldrahmen Bis zu 10 Mio. € oder 2 % Jahresumsatz Bis zu 7 Mio. € oder 1,4 % Jahresumsatz

Selbsttest: Ist Ihr Unternehmen betroffen?

Beantworten Sie die folgenden Fragen der Reihe nach. Mit diesem strukturierten Selbsttest können Sie eine erste Einschätzung vornehmen – er ersetzt jedoch keine rechtliche oder fachliche Beratung.

Schritt 1: Sektorzugehörigkeit prüfen

Frage 1: Ist Ihr Unternehmen in einem Sektor tätig, der in Anlage 1 oder Anlage 2 des NIS2UmsuCG aufgeführt ist?

  • Ja → Weiter mit Schritt 2
  • Nein → Prüfen Sie, ob Sie als Zulieferer oder Dienstleister für betroffene Sektoren tätig sind (mögliche indirekte Betroffenheit)

Schritt 2: Größenkriterien prüfen

Frage 2: Beschäftigt Ihr Unternehmen 50 oder mehr Mitarbeitende und erzielt einen Jahresumsatz oder eine Bilanzsumme von mindestens 10 Millionen Euro?

  • Ja → Weiter mit Schritt 3
  • Nein → Prüfen Sie Ausnahmeregelungen (Alleinanbieter, KRITIS-Status)

Schritt 3: Einrichtungstyp bestimmen

Frage 3: Gehört Ihr Sektor zu Anlage 1 und beschäftigen Sie 250 oder mehr Mitarbeitende?

  • Ja → Sie sind voraussichtlich eine wesentliche Einrichtung
  • Nein, aber Anlage 1 → Sie sind voraussichtlich eine wichtige Einrichtung (mittlere Größe in Anlage 1)
  • 🔶 Anlage 2 → Sie sind voraussichtlich eine wichtige Einrichtung

Schritt 4: Registrierungspflicht beachten

Betroffene Einrichtungen sind gemäß §33 NIS2UmsuCG verpflichtet, sich beim BSI zu registrieren und grundlegende Angaben zu machen. Das BSI stellt hierfür eine Online-Plattform zur Verfügung.

Konsequenzen bei Nichterfüllung: Bußgelder nach §65 BSIG

Wer die NIS2-Anforderungen ignoriert, riskiert empfindliche Sanktionen. §65 BSIG sieht folgende Bußgeldrahmen vor:

  • Wesentliche Einrichtungen: Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist
  • Wichtige Einrichtungen: Bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes

Darüber hinaus können:
- Geschäftsführer und Vorstände persönlich haftbar gemacht werden (§38 NIS2UmsuCG)
- Tätigkeitsverbote für Leitungspersonen ausgesprochen werden
- Öffentliche Bekanntmachungen von Verstößen erfolgen (sogenannte "Naming and Shaming"-Regelungen)

Das BSI hat angekündigt, die Aufsicht ernst zu nehmen und proaktiv tätig zu werden. Unwissenheit schützt vor Strafe nicht – auch nicht in diesem Fall.

Konkrete Handlungsempfehlungen für betroffene Unternehmen

Wenn Sie nach dem Selbsttest zu dem Schluss kommen, dass Ihr Unternehmen unter NIS2 fällt, empfehlen wir folgende Schritte:

  1. Betroffenheit offiziell feststellen lassen: Konsultieren Sie einen auf IT-Recht und Cybersicherheit spezialisierten Rechtsanwalt oder einen NIS2-Berater, um Ihre Einstufung rechtssicher zu klären.

  2. Beim BSI registrieren: Erfüllen Sie die Registrierungspflicht nach §33 NIS2UmsuCG über das BSI-Portal. Halten Sie hierfür Basisdaten Ihres Unternehmens und Ihrer IT-Infrastruktur bereit.

  3. Gap-Analyse durchführen: Vergleichen Sie Ihren aktuellen Sicherheitsstand mit den Anforderungen aus §30 NIS2UmsuCG (technische und organisatorische Maßnahmen) und identifizieren Sie Lücken.

  4. Risikomanagement etablieren: Implementieren Sie ein strukturiertes Informationssicherheits-Risikomanagementsystem. Die ISO/IEC 27001 bietet hierfür einen bewährten Rahmen.

  5. Meldeprozesse aufsetzen: Definieren Sie klare interne Prozesse für die Erkennung und Meldung von Sicherheitsvorfällen – erstmals innerhalb von 24 Stunden an das BSI (§32 NIS2UmsuCG).

  6. Lieferketten prüfen: Analysieren Sie Ihre Zulieferer und Dienstleister auf Cybersicherheitsrisiken. NIS2 verlangt ausdrücklich das Management von Drittparteirisiken.

  7. Schulungen und Awareness: Sensibilisieren Sie Ihre Belegschaft für Cyberbedrohungen. Die Geschäftsführung muss nachweislich an Schulungen teilnehmen (§38 Abs. 3 NIS2UmsuCG).

  8. Dokumentation sicherstellen: Führen Sie lückenlose Nachweise über alle getroffenen Sicherheitsmaßnahmen. Im Falle einer BSI-Prüfung müssen diese auf Anfrage vorgelegt werden können.

Häufig gestellte Fragen (FAQ)

Gilt NIS2 auch für ausländische Unternehmen mit Niederlassung in Deutschland?

Ja. Sofern ein Unternehmen seine Hauptniederlassung in der EU hat und in Deutschland tätig ist, kann es unter das NIS2UmsuCG fallen. Bei Unternehmen außerhalb der EU mit Diensten in Deutschland gelten besondere Regelungen zur Benennung eines EU-Vertreters.

Was ist, wenn mein Unternehmen unter die Schwellenwerte fällt, aber für einen KRITIS-Betreiber tätig ist?

In diesem Fall sind Sie möglicherweise über die Lieferkettenregelungen des NIS2UmsuCG indirekt verpflichtet, bestimmte Sicherheitsstandards einzuhalten – auch wenn Sie selbst keine betroffene Einrichtung sind. KRITIS-Betreiber sind verpflichtet, Sicherheitsanforderungen an ihre wesentlichen Zulieferer weiterzugeben.

Bis wann muss die Compliance hergestellt sein?

Das NIS2UmsuCG ist in Kraft. Es gibt keine weiteren Übergangfristen – die Anforderungen gelten bereits. Unternehmen, die noch nicht compliant sind, sollten umgehend handeln.

Fazit: Jetzt handeln statt abwarten

Die NIS2-Betroffenheitsprüfung ist der erste und entscheidende Schritt auf dem Weg zur Compliance. Wer heute noch nicht weiß, ob und wie sein Unternehmen betroffen ist, verliert wertvolle Zeit – und riskiert empfindliche Bußgelder sowie Reputationsschäden.

Die nächsten Schritte auf einen Blick:

  • ✔ Sektorzugehörigkeit anhand Anlage 1 und 2 des NIS2UmsuCG prüfen
  • ✔ Mitarbeitendenzahl und Umsatz/Bilanzsumme gegen Schwellenwerte abgleichen
  • ✔ Einrichtungstyp (wesentlich oder wichtig) bestimmen
  • ✔ BSI-Registrierung vorbereiten und durchführen
  • ✔ Gap-Analyse und Maßnahmenplanung starten

Ihr nächster Schritt: Betroffenheit digital prüfen und dokumentieren

Die manuelle Prüfung und Dokumentation aller NIS2-Anforderungen ist zeitaufwendig und fehleranfällig. Spezialisierte NIS2-Compliance-Softwarelösungen können Ihnen dabei helfen, Ihre Betroffenheit strukturiert zu prüfen, eine Gap-Analyse durchzuführen, ISMS-Dokumente gesetzeskonform zu erstellen und Ihre Compliance gegenüber dem BSI nachzuweisen.

Viele Lösungen bieten geführte Betroffenheitsprüfungen an, die Sie Schritt für Schritt durch den Prozess führen – von der Sektorzuordnung bis zur automatisierten Erstellung der notwendigen Richtlinien und Nachweisdokumente. Informieren Sie sich, welche Tools speziell für deutsche NIS2-Anforderungen nach §30 ff. NIS2UmsuCG zertifiziert oder empfohlen werden – das BSI veröffentlicht hierzu regelmäßig aktuelle Hinweise.

Handeln Sie jetzt – Ihre Cybersicherheit und die Sicherheit Ihrer Kunden hängen davon ab.

Dieser Artikel dient der allgemeinen Information und ersetzt keine rechtliche Beratung. Bei konkreten Compliance-Fragen empfehlen wir die Konsultation eines auf IT-Recht spezialisierten Rechtsanwalts sowie die offiziellen Publikationen des BSI unter bsi.bund.de.