NIS2: Wer ist betroffen? So prüfen Sie es!

Das Wichtigste in Kürze:

• Das NIS2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft – ohne Übergangsfrist. Über 30.000 Unternehmen in Deutschland aus 18 Sektoren müssen die Pflichten sofort erfüllen, darunter viele Mittelständler ab 50 Mitarbeitern oder 10 Mio. € Jahresumsatz.
• Die Betroffenheit lässt sich in drei Schritten prüfen: Sektor, Unternehmensgröße und Einstufung als „besonders wichtige" oder „wichtige" Einrichtung. Aber auch Unternehmen unterhalb der Schwellenwerte können über die Lieferkettenpflicht oder die Konzernklausel reguliert sein.
• Bei Verstößen drohen Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes. Geschäftsführer haften persönlich – eine Delegation der Verantwortung reicht nicht aus.

Sie leiten die IT eines mittelständischen Unternehmens mit 120 Mitarbeitern. Auf Ihrem Schreibtisch liegt seit Wochen die Frage: Fällt unser Unternehmen unter NIS2? Die Registrierungsfrist beim BSI ist bereits abgelaufen, die Pflichten gelten seit Dezember 2025 – und trotzdem herrscht in vielen Organisationen Unsicherheit. Die Konsequenz: Wer seine Betroffenheit nicht kennt, kann weder Maßnahmen priorisieren noch Budgets beantragen.

Die NIS2-Richtlinie hat den Kreis der regulierten Unternehmen von rund 4.500 auf über 30.000 vervielfacht. Viele IT-Verantwortliche gehen davon aus, dass NIS2 nur klassische KRITIS-Betreiber trifft. Das ist falsch. Maschinenbauer, IT-Dienstleister, Logistikunternehmen und Lebensmittelproduzenten stehen jetzt genauso in der Pflicht – sofern sie die Schwellenwerte erfüllen. Laut dem Cyber Security Report 2026 (Schwarz Digits) unterschätzen 48 Prozent der befragten Unternehmen ihre NIS2-Pflichten – bei umsatzstarken Kleinunternehmen mit 10 bis 49 Mitarbeitern sogar 92 Prozent.

Dieser Artikel gibt Ihnen eine klare Prüflogik an die Hand. In drei Schritten wissen Sie, ob Ihr Unternehmen betroffen ist und was das konkret bedeutet.

Was genau regelt die NIS2-Richtlinie?

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist eine EU-weite Verordnung zur Stärkung der Cybersicherheit. Sie definiert seit Januar 2023 verbindliche Mindeststandards für Unternehmen und Organisationen, die in kritischen oder wichtigen Sektoren tätig sind. In Deutschland wurden diese Vorgaben durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht überführt – seit dem 6. Dezember 2025 geltendes Recht.

Das Ziel: die digitale Widerstandsfähigkeit dort stärken, wo IT-Ausfälle gravierende Folgen für Wirtschaft und Gesellschaft hätten. Anders als die Vorgängerrichtlinie beschränkt sich NIS2 nicht auf Energieversorger und Krankenhäuser. Die Regulierung erfasst 18 Sektoren, darunter auch verarbeitendes Gewerbe, Lebensmittel und Abfallwirtschaft.

Wie prüfen Sie in drei Schritten Ihre NIS2-Betroffenheit?

Die Betroffenheit ergibt sich aus drei Kriterien, die Sie nacheinander prüfen sollten. Nur wenn Sektor und Größe zusammentreffen, folgt die Einstufung.

Schritt 1: Gehört Ihr Unternehmen zu einem NIS2-Sektor?

NIS2 unterscheidet zwei Gruppen von Sektoren. Die erste Gruppe – Sektoren mit hoher Kritikalität (Anlage 1 des BSIG) – umfasst:

• Energie (Strom, Gas, Öl, Fernwärme, Wasserstoff)
• Transport und Verkehr (Luftfahrt, Bahn, Schifffahrt, Straßenverkehr)
• Bankwesen und Finanzmarktinfrastrukturen
• Gesundheitswesen (Krankenhäuser, Labore, Medizintechnik, Pharma)
• Trinkwasser und Abwasser
• Digitale Infrastruktur (Rechenzentren, Cloud-Dienste, DNS-Anbieter, IXPs)
• Öffentliche Verwaltung (Bundesebene)
• Weltraum
• Verwaltung von IKT-Diensten im B2B-Bereich

In diesen Sektoren sind Ausfälle oder Cyberangriffe besonders folgenschwer, weil sie unmittelbar die Versorgungssicherheit oder die öffentliche Ordnung gefährden.

Die zweite Gruppe – sonstige kritische Sektoren (Anlage 2) – umfasst:

• Post- und Kurierdienste
• Abfallwirtschaft
• Produktion und Vertrieb von Chemikalien
• Lebensmittelproduktion und -lieferketten
• Verarbeitendes Gewerbe (z. B. Maschinenbau, Fahrzeugbau, Elektronik)
• Anbieter digitaler Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
• Forschungseinrichtungen

Gerade die Aufnahme des verarbeitenden Gewerbes überrascht viele Mittelständler – ein Maschinenbauer mit 60 Mitarbeitern, der Komponenten für die Energiebranche liefert, fällt unter NIS2, auch wenn er sich selbst nie als „kritische Infrastruktur" eingeordnet hätte.

Wenn Ihr Unternehmen in keinem dieser Sektoren tätig ist, sind Sie grundsätzlich nicht direkt von NIS2 betroffen – allerdings möglicherweise über die Lieferkettenpflicht indirekt reguliert (dazu weiter unten mehr). Die Sektorzuordnung richtet sich nach der tatsächlichen Geschäftstätigkeit, nicht nach der Branchenklassifikation in Handelsregister oder IHK-Zugehörigkeit.

Schritt 2: Überschreitet Ihr Unternehmen die Größenschwellen?

NIS2 verwendet den sogenannten Size-Cap-Mechanismus. Betroffen sind Unternehmen, die mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz bzw. eine Jahresbilanzsumme von über 10 Mio. € erzielen. Beide Kriterien gelten alternativ – eines reicht aus. Dabei zählen Vollzeitäquivalente, nicht Köpfe: Teilzeitkräfte werden anteilig berücksichtigt.

Achtung: Bei der Größenberechnung greift die Konzernklausel. Ein Tochterunternehmen mit 30 Mitarbeitern, das zu einem Konzern mit 500 Mitarbeitern gehört, wird über die wirtschaftliche Einheit bewertet. Die Konzernzahlen zählen – nicht die Einzelgesellschaft. Dieser Punkt wird in der Praxis häufig übersehen und führt dazu, dass Unternehmen ihre Betroffenheit falsch einschätzen. Prüfen Sie daher immer auch die Kennzahlen der übergeordneten Gesellschaft oder des Konzernverbunds.

Schritt 3: Wie wird Ihr Unternehmen eingestuft?

Wer Sektor und Größe erfüllt, wird einer von zwei Kategorien zugeordnet:

Besonders wichtige Einrichtungen sind Unternehmen in Sektoren der Anlage 1 mit mindestens 250 Mitarbeitern oder über 50 Mio. € Umsatz bei gleichzeitig über 43 Mio. € Bilanzsumme. Für sie gelten die strengsten Auflagen und höchsten Bußgelder.

Wichtige Einrichtungen sind alle übrigen Unternehmen, die die Size-Cap-Schwelle überschreiten. Auch sie unterliegen umfangreichen Pflichten – der Unterschied liegt vor allem im Umfang der behördlichen Aufsicht und der Bußgeldhöhe.

Welche Sonderfälle gibt es bei der NIS2-Betroffenheit?

Bestimmte Unternehmen fallen unabhängig von ihrer Größe unter NIS2:

• Anbieter von DNS-Diensten und TLD-Namensregistrierungen
• Qualifizierte Vertrauensdiensteanbieter (qTSP)
• Telekommunikationsanbieter ab mittlerer Unternehmensgröße
• Betreiber kritischer Anlagen im Sinne des KRITIS-Dachgesetzes (gelten automatisch als besonders wichtige Einrichtungen)

Daneben gibt es die indirekte Betroffenheit über die Lieferkette. §30 Abs. 2 Nr. 4 des novellierten BSIG verpflichtet betroffene Unternehmen, die Sicherheit ihrer Lieferkette zu gewährleisten. In der Praxis heißt das: Auch Zulieferer, die selbst unter den Schwellenwerten liegen, bekommen NIS2-Anforderungen über vertragliche Klauseln weitergereicht. Cybersicherheitsvorgaben, Audit-Rechte und Meldeflichten landen in Dienstleistungsverträgen. Besonders betroffen sind Software-Zulieferer, Cloud-Dienstleister und IT-Wartungsfirmen, die Zugang zu den Systemen regulierter Unternehmen haben.

Welche Konsequenzen drohen bei Verstößen?

Die Konsequenzen sind deutlich härter als unter der alten NIS-Richtlinie. Für besonders wichtige Einrichtungen können Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes verhängt werden. Für wichtige Einrichtungen liegt die Grenze bei 7 Mio. € oder 1,4 % des Umsatzes.

Das NIS2-Umsetzungsgesetz verankert die Verantwortung explizit auf Leitungsebene. Geschäftsführer haften bei schuldhaften Verstößen persönlich mit ihrem Privatvermögen. Eine reine Delegation an die IT-Abteilung reicht nicht aus. Leitungsorgane sind gesetzlich verpflichtet, an Cybersicherheitsschulungen teilzunehmen und die Umsetzung aktiv zu überwachen.

Neben Bußgeldern droht ein weiterer Effekt: Geschäftspartner prüfen zunehmend die NIS2-Compliance ihrer Zulieferer. Wer die Anforderungen nicht nachweisen kann, riskiert den Verlust von Aufträgen – insbesondere im B2B-Umfeld, wo vertragliche Sicherheitsklauseln zum Standard werden. NIS2-Compliance wird damit zum Wettbewerbsfaktor: Unternehmen, die ihre IT-Sicherheit belastbar dokumentieren können, haben bei Ausschreibungen einen klaren Vorteil gegenüber Anbietern ohne Nachweise.

Wie prüfen Sie Ihre Betroffenheit konkret?

Das BSI stellt ein Online-Tool zur NIS2-Betroffenheitsprüfung bereit. Die Prüfung dauert wenige Minuten und gibt eine erste Orientierung – ist aber nicht rechtsverbindlich. Das BSI empfiehlt, die Ergebnisse durch eine eigene rechtliche und technische Bewertung abzusichern.

Für die interne Betroffenheitsprüfung empfiehlt sich ein dreistufiges Vorgehen: Zunächst die Sektorzuordnung klären – und zwar für alle Geschäftsbereiche und Tochtergesellschaften einzeln, nicht nur für die Hauptgesellschaft. Dann die Größenkriterien prüfen, unter Berücksichtigung der Konzernklausel. Und schließlich die Einstufung als besonders wichtige oder wichtige Einrichtung vornehmen. Dokumentieren Sie jeden Schritt dieser Prüfung schriftlich – das Ergebnis kann im Audit als Nachweis verlangt werden.

Betroffene Unternehmen müssen sich über das BSI-Meldeportal registrieren. Die Registrierungsfrist für besonders wichtige Einrichtungen lief am 6. März 2026 ab. Wer sich bislang nicht registriert hat, sollte das umgehend nachholen – eine verspätete Registrierung ist bußgeldbewehrt.

Was hat sich 2025/2026 geändert?

Das NIS2-Umsetzungsgesetz wurde am 13. November 2025 vom Bundestag beschlossen und ist seit dem 6. Dezember 2025 in Kraft. Damit hat Deutschland die EU-Frist zwar um über ein Jahr überschritten – aber die Pflichten gelten nun ohne jede Schonfrist.

Der Anwendungsbereich wurde von rund 4.500 auf über 30.000 regulierte Unternehmen ausgeweitet. Die Pflichten gelten ohne Übergangsfrist – Unternehmen müssen seit dem Tag des Inkrafttretens compliant sein. Seit Januar 2026 ist das BSI-Meldeportal zur Registrierung geöffnet, die dreimonatige Registrierungsfrist endete am 6. März 2026. Parallel dazu wurde im Januar 2026 das KRITIS-Dachgesetz im Bundestag beschlossen, das physische Resilienz-Anforderungen für Betreiber kritischer Anlagen ergänzt.

Für Unternehmen, die bereits seit 2023 an der Vorbereitung gearbeitet haben, war die Verzögerung ein Vorteil. Wer dagegen abgewartet hat, steht jetzt unter erheblichem Zeitdruck. Die häufigsten Versäumnisse betreffen die BSI-Registrierung und die fehlende Dokumentation der Sicherheitsmaßnahmen – beides Punkte, die sich mit den richtigen Werkzeugen relativ schnell nachholen lassen.

In Österreich wird das NISG 2026 voraussichtlich am 1. Oktober 2026 in Kraft treten und rund 4.000 Unternehmen betreffen. Auch dort gelten die Größenschwellen von 50 Mitarbeitern oder 10 Mio. € Umsatz. Mehr dazu lesen Sie im Docusnap-Blogartikel zur NIS2-Umsetzung in Österreich.

Was müssen betroffene Unternehmen jetzt konkret tun?

Wenn Ihre Betroffenheitsprüfung positiv ausfällt, stehen drei Handlungsfelder im Vordergrund. Alle drei sind gesetzlich verpflichtend – die Reihenfolge richtet sich nach dem individuellen Reifegrad Ihrer Organisation.

Erstens: Risikomanagement nach dem Stand der Technik einführen. Das umfasst dokumentierte Risikoanalysen, technische und organisatorische Maßnahmen (TOMs), Zugriffskontrollen, Netzwerksegmentierung und Business-Continuity-Planung. Eine lückenlose IT-Dokumentation bildet die Grundlage dafür – denn was nicht dokumentiert ist, lässt sich im Audit nicht nachweisen. Besonders wichtige Einrichtungen müssen diese Nachweise innerhalb von drei Jahren aktiv beim BSI erbringen.

Zweitens: Meldepflichten kennen und Prozesse etablieren. Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden als Frühwarnung und innerhalb von 72 Stunden mit einer detaillierten Meldung an das BSI gemeldet werden. Innerhalb eines Monats folgt ein Abschlussbericht. Ohne vorbereitete Incident-Response-Prozesse ist das kaum zu schaffen. Unternehmen, die heute noch keinen definierten Meldeprozess haben, sollten diesen als erstes aufsetzen – denn eine verspätete Meldung ist ein eigenständiger Bußgeldtatbestand.

Drittens: Die Sicherheit der Lieferkette gewährleisten. Dienstleister und Zulieferer müssen systematisch bewertet, vertragliche Sicherheitsklauseln implementiert und die Einhaltung regelmäßig geprüft werden. Das setzt voraus, dass Sie einen vollständigen Überblick über Ihre IT-Dienstleister und deren Zugriffsmöglichkeiten haben – eine Aufgabe, die ohne automatisierte IT-Dokumentation schnell zum Engpass wird.

Agentenlose Inventarisierungstools wie Docusnap machen den ersten Schritt – die vollständige Erfassung aller IT-Assets, Berechtigungen und Abhängigkeiten – in wenigen Stunden möglich. Auf dieser Basis lassen sich Risikoanalysen durchführen und Compliance-Nachweise für das Audit erstellen.

FAQ: Häufig gestellte Fragen zur NIS2-Betroffenheit

Ist mein Unternehmen mit weniger als 50 Mitarbeitern automatisch ausgenommen?

Nicht unbedingt. Der Size-Cap-Mechanismus befreit kleine Unternehmen grundsätzlich, aber es gibt Ausnahmen. Anbieter von DNS-Diensten, qualifizierte Vertrauensdiensteanbieter und TLD-Registrierungen fallen größenunabhängig unter NIS2. Außerdem kann die Konzernklausel greifen: Gehört Ihr Unternehmen zu einem größeren Konzern, werden die Kennzahlen der wirtschaftlichen Einheit herangezogen. Und über die Lieferkettenpflicht können auch kleine Zulieferer vertraglich zu NIS2-Maßnahmen verpflichtet werden.

Wo liegt der Unterschied zwischen „besonders wichtige" und „wichtige" Einrichtungen?

Besonders wichtige Einrichtungen sind große Unternehmen in Sektoren mit hoher Kritikalität (Anlage 1 BSIG). Sie unterliegen proaktiver Aufsicht durch das BSI, höheren Bußgeldern (bis 10 Mio. € oder 2 % Umsatz) und strengeren Nachweispflichten. Wichtige Einrichtungen werden dagegen reaktiv beaufsichtigt – das BSI wird erst bei konkreten Anhaltspunkten tätig. Die Bußgelder liegen bei maximal 7 Mio. € oder 1,4 % des Umsatzes.

Kann ich die BSI-Betroffenheitsprüfung als rechtssicheren Nachweis verwenden?

Nein. Das BSI-Online-Tool zur Betroffenheitsprüfung dient als Orientierungshilfe, ist aber rechtlich nicht bindend. Unternehmen sind verpflichtet, ihre Betroffenheit eigenständig zu prüfen und das Ergebnis zu dokumentieren. Bei Unsicherheiten empfiehlt sich eine zusätzliche rechtliche Bewertung.

Wie wirkt sich NIS2 auf Zulieferer und IT-Dienstleister aus?

§30 Abs. 2 Nr. 4 BSIG verpflichtet betroffene Unternehmen, die Sicherheit ihrer Lieferkette zu gewährleisten. Das bedeutet: Auch wenn Sie als Zulieferer selbst nicht unter NIS2 fallen, können Ihre Auftraggeber Cybersecurity-Anforderungen, Audit-Rechte und Incident-Meldepflichten vertraglich an Sie weitergeben. Besonders Software-Zulieferer, Cloud-Dienstleister und IT-Wartungsfirmen sollten sich darauf einstellen.

Gilt NIS2 auch für österreichische und Schweizer Unternehmen?

In Österreich wird das NISG 2026 voraussichtlich am 1. Oktober 2026 in Kraft treten und rund 4.000 Unternehmen betreffen. Die Schweiz ist als Nicht-EU-Mitglied nicht direkt von NIS2 betroffen, hat aber mit dem Informationssicherheitsgesetz (ISG) eine teilweise parallele Regulierung. Schweizer Unternehmen mit Tochtergesellschaften oder Geschäftsbeziehungen in der EU müssen die NIS2-Anforderungen jedoch über diese Schnittstellen erfüllen.

‍

Weiterführende Artikel:

• https://www.docusnap.com/it-dokumentation/nis-2-richtlinie
• https://www.docusnap.com/it-dokumentation/nis2-compliance
• https://www.docusnap.com/it-dokumentation/nis2-audit