NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?

Veröffentlicht am 24. Mai 2026 | Lesedauer: ca. 8 Minuten

Viele Unternehmen in Deutschland haben die Frage lange aufgeschoben – und zahlen jetzt den Preis: Seit dem Inkrafttreten des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) und der Anpassung des Bundesdatenschutzgesetzes und des BSIG unterliegen deutlich mehr Organisationen verbindlichen Cybersicherheitspflichten als je zuvor. Die entscheidende Frage lautet: Ist Ihr Unternehmen betroffen?

Dieser Artikel führt Sie Schritt für Schritt durch die offizielle Betroffenheitsprüfung nach § 3 NIS2UmsuCG, erklärt die relevanten Sektoren, Größenkriterien und Einrichtungstypen – und zeigt, welche Konsequenzen drohen, wenn Sie die Prüfung ignorieren.

Was ist die NIS2-Richtlinie – und warum betrifft sie so viele Unternehmen?

Die NIS2-Richtlinie der EU (Richtlinie 2022/2555) ist die überarbeitete Fassung der ursprünglichen NIS-Richtlinie von 2016. Sie wurde in deutsches Recht durch das NIS2UmsuCG überführt und hat den Kreis der betroffenen Unternehmen drastisch erweitert: Galten zuvor nur rund 2.000 Betreiber kritischer Infrastrukturen als verpflichtet, sind es nach aktuellen Schätzungen des BSI nun über 30.000 Einrichtungen in Deutschland.

Der Grund: Die NIS2-Richtlinie verwendet erstmals einheitliche, sektorübergreifende Größenkriterien statt individueller Schwellenwerte. Das bedeutet – die Betroffenheit ist nicht mehr Verhandlungssache, sondern eine Frage der objektiven Unternehmensmerkmale.

Schritt 1: Die Größenkriterien nach § 3 NIS2UmsuCG

Der erste Filter der Betroffenheitsprüfung sind die Unternehmensgröße und der Jahresumsatz. Grundsätzlich fallen Unternehmen unter NIS2, wenn sie mindestens mittelgroß im Sinne der EU-Definition sind:

Kriterium Schwellenwert
Mitarbeiterzahl ≥ 50 Vollzeitäquivalente
Jahresumsatz ≥ 10 Mio. Euro oder
Jahresbilanzsumme ≥ 10 Mio. Euro

Wichtig: Es reicht, wenn eines der Umsatz- bzw. Bilanzkritierien erfüllt ist – sie sind nicht kumulativ. Die Mitarbeiterzahl von 50 hingegen ist in der Regel als Mindestvoraussetzung zu verstehen.

Ausnahmen von den Größenkriterien

Es gibt Konstellationen, in denen auch kleinere Unternehmen betroffen sein können – unabhängig von Mitarbeiterzahl und Umsatz. Dazu zählen nach § 3 Abs. 2 NIS2UmsuCG insbesondere:

  • Betreiber kritischer Anlagen (z. B. Energie- oder Wasserversorger unterhalb der KRITIS-Schwelle)
  • Qualifizierte Vertrauensdiensteanbieter nach der eIDAS-Verordnung
  • Registrare für Top-Level-Domains und DNS-Diensteanbieter
  • Einrichtungen, die als einziger Anbieter eines wesentlichen Dienstes in einem Mitgliedstaat gelten
  • Unternehmen, deren Ausfall erhebliche Auswirkungen auf öffentliche Sicherheit oder Ordnung hätte

Falls Ihr Unternehmen in eine dieser Kategorien fällt, kann NIS2 trotz geringerer Größe verbindlich sein.

Schritt 2: Der Sektor – Anlage 1 und Anlage 2 NIS2UmsuCG

Größe allein reicht nicht aus. Ihr Unternehmen muss außerdem in einem der regulierten Sektoren tätig sein. Das NIS2UmsuCG unterscheidet zwei Anhänge:

Anlage 1 – Sektoren mit hoher Kritikalität (§ 28 BSIG)

Diese Sektoren gelten als besonders sensibel. Unternehmen hier werden als wesentliche Einrichtungen eingestuft:

  • Energie (Strom, Gas, Öl, Fernwärme, Wasserstoff)
  • Verkehr (Luft, Bahn, Wasser, Straße)
  • Bankwesen und Finanzmarktinfrastrukturen
  • Gesundheitswesen (Krankenhäuser, Pharmaunternehmen, Labore)
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur (Internet-Knoten, Cloud-Anbieter, Rechenzentren, DNS)
  • IKT-Dienstleistungsmanagement (Managed Services)
  • Öffentliche Verwaltung (Bundes- und Landesebene)
  • Weltraum (Bodeninfrastruktur)

Anlage 2 – Sonstige kritische Sektoren (§ 29 BSIG)

Unternehmen in diesen Bereichen werden als wichtige Einrichtungen kategorisiert:

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Chemie (Herstellung und Handel gefährlicher Stoffe)
  • Lebensmittel (Verarbeitung und Vertrieb im großen Maßstab)
  • Verarbeitendes Gewerbe / Herstellung (Medizinprodukte, Elektronik, Maschinen, Kfz)
  • Digitale Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Forschung (bestimmte Forschungseinrichtungen)

Schritt 3: Wesentliche vs. Wichtige Einrichtungen – der Unterschied zählt

Die Einstufung als wesentliche oder wichtige Einrichtung hat direkte Auswirkungen auf die Intensität der Aufsicht und die Höhe möglicher Bußgelder.

Merkmal Wesentliche Einrichtung Wichtige Einrichtung
Sektorzugehörigkeit Anlage 1 NIS2UmsuCG Anlage 2 NIS2UmsuCG
Größe (Regelfall) Groß (≥ 250 MA oder ≥ 50 Mio. € Umsatz) Mittel (≥ 50 MA oder ≥ 10 Mio. €)
BSI-Aufsicht Proaktiv (ex-ante) Reaktiv (ex-post, anlassbezogen)
Max. Bußgeld 10 Mio. € oder 2 % des weltweiten Jahresumsatzes 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes
Registrierungspflicht Ja, beim BSI Ja, beim BSI

Hinweis: Auch als „wichtige Einrichtung" eingestufte Unternehmen unterliegen denselben technisch-organisatorischen Sicherheitspflichten nach § 30 BSIG. Der Unterschied liegt primär in der Aufsichtsintensität, nicht in den Pflichten selbst.

Selbsttest: Bin ich betroffen?

Nutzen Sie diese Checkliste als erste Orientierung für Ihre NIS2 Betroffenheitsprüfung:

✅ Schritt 1 – Größe prüfen
- [ ] Mein Unternehmen hat 50 oder mehr Mitarbeiter (Vollzeitäquivalente)
- [ ] Der Jahresumsatz oder die Bilanzsumme beträgt mindestens 10 Millionen Euro

✅ Schritt 2 – Sektor prüfen
- [ ] Mein Unternehmen ist in einem der Sektoren aus Anlage 1 tätig → wesentliche Einrichtung
- [ ] Mein Unternehmen ist in einem der Sektoren aus Anlage 2 tätig → wichtige Einrichtung

✅ Schritt 3 – Ausnahmen prüfen
- [ ] Mein Unternehmen ist kleiner, aber einziger Anbieter eines kritischen Dienstes
- [ ] Mein Unternehmen betreibt qualifizierte Vertrauensdienste oder DNS-Infrastruktur

Ergebnis: Wenn Sie mindestens einen Punkt in Schritt 1 UND einen Punkt in Schritt 2 (oder Schritt 3) angekreuzt haben, ist Ihr Unternehmen mit hoher Wahrscheinlichkeit von NIS2 betroffen und muss entsprechende Maßnahmen ergreifen.

Was droht bei Nichterfüllung? Bußgelder nach § 65 BSIG

Das Ignorieren der NIS2-Pflichten ist keine risikofreie Strategie. Das BSI verfügt über weitreichende Durchsetzungsbefugnisse, und die Bußgeldrahmen sind erheblich:

Bußgelder für wesentliche Einrichtungen (§ 65 Abs. 1 BSIG)

  • Bis zu 10.000.000 Euro oder
  • 2 % des gesamten weltweiten Jahresumsatzes des Unternehmens – je nachdem, welcher Betrag höher ist

Bußgelder für wichtige Einrichtungen (§ 65 Abs. 2 BSIG)

  • Bis zu 7.000.000 Euro oder
  • 1,4 % des gesamten weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist

Persönliche Haftung der Geschäftsleitung

Besonders bedeutsam ist § 38 BSIG: Geschäftsleiter haften persönlich, wenn sie ihre Aufsichtspflichten verletzen. Das bedeutet konkret:

  • Geschäftsführer und Vorstände müssen Cybersicherheitsmaßnahmen aktiv billigen und überwachen
  • Eine Haftungsbefreiung durch Delegation ist nur bei nachweislich ordnungsgemäßer Organisation möglich
  • Regelmäßige Schulungen der Geschäftsleitung sind explizit vorgeschrieben (§ 38 Abs. 3 BSIG)

Häufige Irrtümer bei der Betroffenheitsprüfung

In der Beratungspraxis begegnen uns immer wieder dieselben Fehleinschätzungen:

Irrtum 1: „Wir sind zu klein."
Viele Unternehmen unterschätzen ihre eigene Größe – vor allem wenn Tochtergesellschaften oder verbundene Unternehmen bei der Mitarbeiterzahl einbezogen werden müssen. Die EU-Definition verbundener Unternehmen nach der KMU-Empfehlung ist hier maßgeblich.

Irrtum 2: „Wir sind kein KRITIS-Betreiber."
NIS2 und KRITIS sind zwei verschiedene Regime. NIS2 erfasst deutlich mehr Unternehmen als das klassische KRITIS-Recht – auch wenn Sie keinen BSI-KRITIS-Bescheid haben, können Sie NIS2-pflichtig sein.

Irrtum 3: „Wir haben noch Zeit."
Die Umsetzungsfristen sind abgelaufen. Die Registrierungspflicht beim BSI gilt, und das BSI hat begonnen, Betroffenheitsprüfungen proaktiv durchzuführen.

Irrtum 4: „Das regelt unser IT-Dienstleister."
Die Verantwortung verbleibt beim Unternehmen selbst. Ein Managed-Service-Provider kann operativ unterstützen, entbindet Sie aber nicht von der rechtlichen Verantwortung nach § 30 BSIG.

Konkrete Handlungsempfehlungen: 7 Schritte zur NIS2-Compliance

Wenn Ihre Betroffenheitsprüfung ergibt, dass NIS2 auf Ihr Unternehmen zutrifft, empfehlen wir folgende priorisierte Vorgehensweise:

  1. Betroffenheit formell dokumentieren: Halten Sie schriftlich fest, auf Basis welcher Kriterien (Sektor, Größe, Einrichtungstyp) Sie betroffen sind. Das ist Grundlage für alle weiteren Maßnahmen.

  2. Beim BSI registrieren: Betroffene Einrichtungen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik registrieren. Nutzen Sie das BSI-Portal für die Meldung.

  3. Gap-Analyse durchführen: Vergleichen Sie Ihre bestehenden Sicherheitsmaßnahmen mit den Anforderungen des § 30 BSIG (technische und organisatorische Maßnahmen). Identifizieren Sie Lücken.

  4. Informationssicherheits-Managementsystem (ISMS) etablieren oder erweitern: Ein ISMS nach ISO 27001 oder BSI IT-Grundschutz bildet das Fundament für NIS2-Compliance. Ohne strukturiertes Managementsystem ist nachhaltige Compliance kaum erreichbar.

  5. Meldeprozesse für Sicherheitsvorfälle einrichten: Nach § 32 BSIG müssen erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden (Frühwarnung) und 72 Stunden (detaillierter Bericht) an das BSI gemeldet werden.

  6. Lieferkette und Drittanbieter prüfen: § 30 Abs. 2 Nr. 4 BSIG verpflichtet zur Absicherung der Lieferkette. Führen Sie eine Risikobewertung Ihrer kritischen Dienstleister durch.

  7. Geschäftsleitung schulen und einbinden: Cybersicherheit ist Chefsache. Organisieren Sie nachweisbare Schulungen für Ihre Führungsebene und dokumentieren Sie deren Teilnahme.

Fazit: Jetzt handeln – nicht abwarten

Die NIS2 Betroffenheitsprüfung ist kein bürokratischer Akt, sondern der Startpunkt einer substanziellen Verbesserung Ihrer Cyberresilienz. Die Frage „Bin ich betroffen?" lässt sich in den meisten Fällen mit einer strukturierten Prüfung der drei Kernkriterien – Größe, Sektor, Einrichtungstyp – zuverlässig beantworten.

Ihre nächsten Schritte auf einen Blick:
- Führen Sie die Betroffenheitsprüfung anhand der Checkliste in diesem Artikel durch
- Konsultieren Sie bei Unsicherheiten einen auf NIS2 spezialisierten Rechtsanwalt oder IT-Sicherheitsberater
- Registrieren Sie sich beim BSI, sofern Sie betroffen sind
- Starten Sie mit einer Gap-Analyse Ihrer bestehenden Sicherheitsmaßnahmen

Die möglichen Bußgelder nach § 65 BSIG und die persönliche Haftung der Geschäftsleitung nach § 38 BSIG machen deutlich: Das Thema NIS2-Compliance ist existenziell relevant – für das Unternehmen und für Sie persönlich als verantwortliche Führungskraft.

💡 Praktischer Tipp: NIS2-Compliance-Software nutzen

Die Betroffenheitsprüfung ist der erste Schritt – aber die eigentliche Arbeit beginnt danach. Spezialisierte NIS2-Compliance-Management-Plattformen helfen Ihnen dabei, den gesamten Prozess strukturiert zu durchlaufen: von der automatisierten Betroffenheitsanalyse über die Gap-Analyse bis hin zur Erstellung ISMS-konformer Dokumente wie Risikoanalysen, Sicherheitsrichtlinien und Nachweisdokumenten für die BSI-Prüfung. Viele dieser Tools bieten auch integrierte Meldeworkflows für Sicherheitsvorfälle gemäß § 32 BSIG. Wenn Sie gerade mit NIS2 starten, lohnt sich ein Blick auf solche Lösungen – sie sparen erheblich Zeit und reduzieren das Risiko von Compliance-Lücken.

Haben Sie Fragen zur NIS2-Betroffenheitsprüfung für Ihr Unternehmen? Hinterlassen Sie einen Kommentar oder kontaktieren Sie uns direkt.

Rechtlicher Hinweis: Dieser Artikel dient der allgemeinen Information und ersetzt keine individuelle Rechtsberatung. Für eine verbindliche Einschätzung Ihrer NIS2-Betroffenheit wenden Sie sich an einen Fachanwalt für IT-Recht.