NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?

Veröffentlicht am 23. Mai 2026 | Lesezeit: ca. 8 Minuten

Viele Geschäftsführer und IT-Verantwortliche stellen sich noch immer dieselbe Frage: Betrifft NIS2 unser Unternehmen überhaupt? Die Antwort darauf ist keine Kleinigkeit — wer irrtümlich annimmt, nicht betroffen zu sein, riskiert empfindliche Bußgelder und haftet im Ernstfall persönlich. Dieser Artikel liefert Ihnen eine strukturierte NIS2-Betroffenheitsprüfung für Unternehmen in Deutschland 2025/2026 — inklusive Selbsttest, Sektoren-Übersicht und konkreten nächsten Schritten.

Was ist die NIS2-Richtlinie und warum ist die Betroffenheitsprüfung so wichtig?

Die NIS2-Richtlinie (EU 2022/2555) ist die überarbeitete EU-Richtlinie zur Netz- und Informationssicherheit. In Deutschland wurde sie durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht überführt, das zentrale Regelungen im BSI-Gesetz (BSIG) verankert. Der persönliche Anwendungsbereich ergibt sich aus § 3 NIS2UmsuCG in Verbindung mit den Anlagen 1 und 2 des Gesetzes.

Neu gegenüber der Vorgängerrichtlinie: Der Kreis der betroffenen Unternehmen wurde erheblich erweitert. Schätzungen des BSI zufolge fallen in Deutschland rund 30.000 Unternehmen unter die neue Regelung — deutlich mehr als bisher. Wer keine Betroffenheitsprüfung durchführt, begibt sich in eine rechtliche Grauzone.

Schritt 1: Fällt Ihr Sektor unter Anlage 1 oder Anlage 2?

Der erste Prüfschritt ist die Sektorzugehörigkeit. Das NIS2UmsuCG unterscheidet zwischen zwei Kategorien von Sektoren:

Sektoren der Anlage 1 (Hochkritische Sektoren)

Diese Sektoren gelten als besonders schutzbedürftig:

  • Energie (Strom, Gas, Wärme, Wasserstoff, Öl)
  • Verkehr (Luft, Schiene, Wasser, Straße)
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen (Krankenhäuser, Labore, Pharmaunternehmen)
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur (Rechenzentrumsdienste, Cloud, DNS, TLD-Betreiber)
  • Verwaltung von IKT-Diensten (B2B)
  • Öffentliche Verwaltung (Bundes- und Landesebene)
  • Weltraum

Sektoren der Anlage 2 (Sonstige Kritische Sektoren)

Diese Unternehmen sind ebenfalls reguliert, gelten aber als "wichtige Einrichtungen":

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Chemische Industrie
  • Lebensmittelwirtschaft
  • Verarbeitendes Gewerbe / Herstellung (u. a. Medizinprodukte, Maschinen, Fahrzeuge, Elektronik)
  • Digitale Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Forschungseinrichtungen

Praxis-Tipp: Wenn Ihr Unternehmen in einer Lieferkette tätig ist, die einem der oben genannten Sektoren zuarbeitet, sollten Sie die Sektorzugehörigkeit Ihrer Kunden kennen — denn auch Sie könnten indirekt reguliert werden oder Anforderungen im Rahmen von Lieferantenaudits erhalten.

Schritt 2: Erfüllen Sie die Größenkriterien?

Die Sektorzugehörigkeit allein reicht nicht aus. Entscheidend sind auch die Unternehmensgröße und der Jahresumsatz. Grundlage ist die EU-Definition für KMU (Empfehlung 2003/361/EG), auf die das NIS2UmsuCG explizit verweist.

Übersicht der Größenschwellen

Einrichtungstyp Mitarbeiter Jahresumsatz ODER Jahresbilanzsumme Sektor
Wesentliche Einrichtung ≥ 250 > 50 Mio. € (Umsatz) oder > 43 Mio. € (Bilanz) Anlage 1
Wesentliche Einrichtung (automatisch) beliebig beliebig Betreiber kritischer Anlagen, TLD-Registrare, qualifizierte Vertrauensdiensteanbieter
Wichtige Einrichtung ≥ 50 > 10 Mio. € (Umsatz) oder > 10 Mio. € (Bilanz) Anlage 1 oder 2
Nicht betroffen < 50 ≤ 10 Mio. €

Wichtige Ausnahme: Unabhängig von der Größe können bestimmte Einrichtungen automatisch als wesentlich eingestuft werden — etwa qualifizierte Vertrauensdiensteanbieter, Top-Level-Domain-Registrare oder Betreiber kritischer Anlagen gemäß § 28 BSIG.

Schritt 3: Wesentliche vs. wichtige Einrichtung — was ist der Unterschied?

Die Unterscheidung zwischen wesentlichen Einrichtungen (§ 28 Abs. 1 BSIG) und wichtigen Einrichtungen (§ 28 Abs. 2 BSIG) ist für die Intensität der Aufsicht und die Höhe möglicher Bußgelder entscheidend.

Wesentliche Einrichtungen

  • Strengere Aufsicht durch das BSI (auch proaktive Kontrollen möglich)
  • Meldepflichten innerhalb von 24 Stunden (Erstmeldung) und 72 Stunden (Folgemeldung) bei erheblichen Sicherheitsvorfällen
  • Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (§ 65 BSIG)
  • Persönliche Haftung der Geschäftsleitung (§ 38 BSIG)

Wichtige Einrichtungen

  • Reaktive Aufsicht: BSI wird in der Regel nur tätig, wenn Hinweise auf Verstöße vorliegen
  • Gleiche Meldepflichten wie wesentliche Einrichtungen
  • Bußgelder bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes (§ 65 BSIG)
  • Ebenfalls persönliche Haftung der Geschäftsleitung

Interaktiver Selbsttest: Bin ich betroffen?

Nutzen Sie die folgende Checkliste als ersten Orientierungspunkt. Beantworten Sie alle Fragen mit Ja oder Nein:

Checkliste: NIS2-Betroffenheit in 5 Schritten

  • [ ] Schritt 1 – Sektor: Ist mein Unternehmen in einem der Sektoren aus Anlage 1 oder Anlage 2 des NIS2UmsuCG tätig?
  • [ ] Schritt 2 – Mitarbeiterzahl: Beschäftigt mein Unternehmen (inkl. verbundener Unternehmen) 50 oder mehr Mitarbeiter?
  • [ ] Schritt 3 – Umsatz/Bilanz: Überschreitet mein Jahresumsatz 10 Millionen Euro oder meine Bilanzsumme 10 Millionen Euro?
  • [ ] Schritt 4 – Automatische Einstufung: Bin ich Betreiber einer kritischen Anlage, qualifizierter Vertrauensdiensteanbieter oder TLD-Registrar?
  • [ ] Schritt 5 – Registrierungspflicht: Habe ich mein Unternehmen bereits im BSI-Portal registriert (Pflicht gemäß § 33 BSIG)?

Auswertung:
- Fragen 1–3 alle mit Ja: Sie sind höchstwahrscheinlich als wichtige oder wesentliche Einrichtung betroffen.
- Frage 4 mit Ja: Sie sind automatisch wesentliche Einrichtung — unabhängig von Größe und Sektor.
- Frage 5 mit Nein: Handlungsbedarf! Die Registrierungspflicht gilt seit dem Inkrafttreten des NIS2UmsuCG.

Hinweis: Dieser Selbsttest ersetzt keine rechtliche Prüfung. Bei Unsicherheit empfehlen wir die Konsultation eines auf IT-Recht spezialisierten Anwalts oder die direkte Kontaktaufnahme mit dem BSI.

Konsequenzen bei Nichterfüllung: Was droht Ihnen?

Wer die NIS2-Pflichten ignoriert, riskiert erhebliche rechtliche und finanzielle Konsequenzen. § 65 BSIG regelt den Bußgeldrahmen detailliert:

Bußgelder nach § 65 BSIG

Verstoß Wesentliche Einrichtung Wichtige Einrichtung
Fehlende oder unzureichende Sicherheitsmaßnahmen bis 10 Mio. € / 2 % Umsatz bis 7 Mio. € / 1,4 % Umsatz
Verletzung der Meldepflicht bis 10 Mio. € / 2 % Umsatz bis 7 Mio. € / 1,4 % Umsatz
Fehlende Registrierung bis 10 Mio. € / 2 % Umsatz bis 7 Mio. € / 1,4 % Umsatz
Behinderung der BSI-Aufsicht bis 10 Mio. € / 2 % Umsatz bis 7 Mio. € / 1,4 % Umsatz

Besonders gravierend: § 38 BSIG verpflichtet die Geschäftsleitung zur persönlichen Überwachung der Cybersicherheitsmaßnahmen. Eine Haftungsfreistellung durch Delegation ist ausdrücklich ausgeschlossen. Geschäftsführer können persönlich in Regress genommen werden — und zwar ohne Beschränkung auf das Gesellschaftsvermögen.

Was müssen betroffene Unternehmen konkret tun?

Wenn Sie nach der Betroffenheitsprüfung festgestellt haben, dass Ihr Unternehmen unter NIS2 fällt, sind folgende Maßnahmen zwingend erforderlich:

10 konkrete Handlungsschritte für betroffene Unternehmen

  1. Registrierung beim BSI: Melden Sie Ihr Unternehmen unverzüglich im BSI-Portal an (§ 33 BSIG). Die Registrierung ist für alle betroffenen Einrichtungen Pflicht.

  2. Einstufung dokumentieren: Halten Sie intern schriftlich fest, warum und als welche Art von Einrichtung (wesentlich/wichtig) Sie eingestuft sind — inkl. Verweis auf den entsprechenden Sektor und die Größenkriterien.

  3. Gap-Analyse durchführen: Vergleichen Sie Ihre aktuellen Sicherheitsmaßnahmen mit den Anforderungen des § 30 BSIG (technische und organisatorische Maßnahmen).

  4. ISMS aufbauen oder anpassen: Implementieren Sie ein Informationssicherheits-Managementsystem (ISMS) auf Basis der ISO 27001 oder des IT-Grundschutzes des BSI.

  5. Meldeprozesse etablieren: Richten Sie interne Prozesse ein, die sicherstellen, dass erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden gemeldet werden können (§ 32 BSIG).

  6. Lieferkette prüfen: Überprüfen Sie die Cybersicherheit Ihrer wichtigsten Dienstleister und Zulieferer (Supply-Chain-Anforderungen gemäß § 30 Abs. 2 Nr. 4 BSIG).

  7. Geschäftsleitung schulen: Schulen Sie Geschäftsführer und Vorstände zu ihrer persönlichen Verantwortung gemäß § 38 BSIG — Unwissenheit schützt nicht vor Haftung.

  8. Notfall- und Krisenplan erstellen: Entwickeln Sie einen Business-Continuity-Plan (BCP) und testen Sie Ihre Incident-Response-Prozesse regelmäßig.

  9. Technische Maßnahmen umsetzen: Dazu gehören u. a. Multi-Faktor-Authentifizierung, Verschlüsselung, Schwachstellenmanagement und sichere Konfigurationsstandards.

  10. Regelmäßige Überprüfung: Planen Sie jährliche interne Audits und ggf. externe Zertifizierungen, um die Konformität dauerhaft sicherzustellen.

Sonderfall: Kleinunternehmen und Ausnahmen

Unternehmen mit weniger als 50 Mitarbeitern und einem Jahresumsatz unter 10 Millionen Euro sind grundsätzlich nicht unter NIS2 verpflichtet — mit wichtigen Ausnahmen:

  • Sole providers: Wenn Ihr Unternehmen der einzige Anbieter eines für die gesellschaftliche oder wirtschaftliche Tätigkeit in einem Mitgliedstaat unverzichtbaren Dienstes ist, kann das BSI eine Einstufung vornehmen.
  • Lieferkettenanforderungen: Auch nicht direkt betroffene Unternehmen erhalten zunehmend NIS2-konforme Sicherheitsanforderungen von ihren Kunden — de facto eine indirekte Regulierung.
  • Freiwillige Registrierung: Kleinunternehmen können sich freiwillig registrieren und von BSI-Ressourcen profitieren.

Fazit: Jetzt handeln — bevor der Ernstfall eintritt

Die NIS2-Betroffenheitsprüfung ist kein bürokratischer Selbstzweck, sondern der erste Schritt zu einem ernsthaften Cybersicherheitsprogramm. Wer 2025 und 2026 noch keine Klarheit über seine NIS2-Pflichten hat, setzt sich unnötigen Risiken aus — rechtlich, finanziell und reputationsseitig.

Ihre nächsten Schritte auf einen Blick:

  1. ✅ Prüfen Sie Ihren Sektor anhand der Anlagen 1 und 2 des NIS2UmsuCG
  2. ✅ Überprüfen Sie Mitarbeiterzahl und Jahresumsatz gegen die Schwellenwerte
  3. ✅ Registrieren Sie sich im BSI-Portal, falls noch nicht geschehen
  4. ✅ Starten Sie eine Gap-Analyse Ihrer bestehenden Sicherheitsmaßnahmen
  5. ✅ Informieren Sie Ihre Geschäftsleitung über persönliche Haftungsrisiken nach § 38 BSIG

Das BSI bietet unter bsi.bund.de umfangreiche Orientierungshilfen und FAQ zur NIS2-Umsetzung in Deutschland.

Nächster Schritt: NIS2-Compliance systematisch managen

Die manuelle Verwaltung aller NIS2-Anforderungen — von der Risikoanalyse über Meldeprozesse bis hin zur Dokumentation von Sicherheitsmaßnahmen — ist mit Tabellenkalkulationen und Word-Dokumenten kaum praktikabel. Spezialisierte NIS2-Compliance-Softwarelösungen helfen Ihnen dabei, Ihren Compliance-Status übersichtlich zu verwalten, ISMS-Dokumente strukturiert zu erstellen, Meldepflichten fristgerecht zu erfüllen und Audits effizient vorzubereiten. Eine geeignete Software-Lösung kann den Aufwand erheblich reduzieren und gleichzeitig die Nachweisführung gegenüber dem BSI erheblich vereinfachen. Prüfen Sie, welche Lösung zu Ihrer Unternehmensgröße und Ihrem Sektor passt — und starten Sie noch heute mit Ihrer strukturierten Betroffenheitsprüfung.

Dieser Artikel wurde auf Basis des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) sowie des BSI-Gesetzes (BSIG) in der jeweils gültigen Fassung erstellt. Er dient der allgemeinen Information und ersetzt keine individuelle Rechtsberatung.