Bin ich von NIS2 betroffen? So prüfen Sie es | NIS2Compass Blog | NIS2Compass
Leitfaden
Bin ich von NIS2 betroffen? So prüfen Sie es
10 Min. LesezeitNIS2Compass Team
Ob Ihr Unternehmen unter NIS2 fällt, hängt von Sektorzugehörigkeit und Unternehmensgröße ab. 18 Sektoren, Größenschwellen und Sonderfälle — Schritt für Schritt erklärt.
Ob Ihr Unternehmen unter NIS2 fällt, hängt von zwei Faktoren ab: Sektorzugehörigkeit und Unternehmensgröße. In Deutschland sind rund 29.500 Einrichtungen in 18 Sektoren betroffen — seit Dezember 2025 gelten alle Pflichten sofort. Der Vor-Check von NIS2Compass zeigt in wenigen Minuten, wo Ihr Unternehmen steht und welche Anforderungen bereits erfüllt sind.
Das NIS2UmsuCG definiert in §28 BSIG, welche Unternehmen als „besonders wichtige" oder „wichtige" Einrichtungen gelten. Maßgeblich sind der Sektor (Anlage 1 und 2 des BSIG) und die Unternehmensgröße. Im Vergleich zum bisherigen IT-Sicherheitsgesetz steigt die Zahl regulierter Einrichtungen von rund 4.500 auf 29.500 — ein Anstieg um über 550 Prozent.
Die EU-Richtlinie NIS2 (2022/2555) verpflichtet alle Mitgliedstaaten, nationale Umsetzungsgesetze zu erlassen. In Deutschland ist das Ergebnis das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Es wurde am 13. November 2025 vom Bundestag verabschiedet und trat am 6. Dezember 2025 in Kraft (BGBl. I Nr. 301).
Entscheidend: Das Gesetz sieht keine Übergangsfrist vor. Alle Pflichten gelten seit Inkrafttreten sofort.
NIS2 strukturiert umsetzen
NIS2Compass führt Sie Schritt für Schritt durch die Umsetzung – mit Leitfaden, Vorlagen und Wissens-Hub.
Die zentrale Vorschrift ist §28 BSIG. Dort wird geregelt, welche Einrichtungen als „besonders wichtig" (Absatz 1) und welche als „wichtig" (Absatz 2) eingestuft werden. Die Zuordnung hängt von zwei Kriterien ab:
Sektorzugehörigkeit: Das Unternehmen muss in einem der 18 Sektoren aus Anlage 1 (hochkritisch) oder Anlage 2 (kritisch) tätig sein.
Unternehmensgröße: Es gelten die EU-Schwellenwerte für mittlere Unternehmen — mindestens 50 Beschäftigte ODER mehr als 10 Millionen Euro Jahresumsatz.
„In der Beratungspraxis zeigt sich, dass viele KMU ihre Betroffenheit unterschätzen — besonders die ODER-Verknüpfung bei den Größenschwellen überrascht," erklärt Dr. Markus Hartmann, Senior Compliance-Berater. Ein Unternehmen mit 30 Mitarbeitenden, aber 12 Millionen Euro Umsatz, fällt bereits in den Anwendungsbereich.
Unter dem bisherigen IT-Sicherheitsgesetz 2.0 waren rund 4.500 Einrichtungen reguliert — überwiegend Betreiber kritischer Infrastrukturen. Das NIS2UmsuCG erfasst nun etwa 29.500 Einrichtungen. Dieser Anstieg um über 550 Prozent betrifft vor allem mittelständische Unternehmen, die bisher keiner Cybersicherheitsregulierung unterlagen.
Die BSI-Registrierungsfrist lief am 6. März 2026 ab. Unternehmen, die sich noch nicht registriert haben, riskieren bereits Bußgelder. Der NIS2 Guide von NIS2Compass führt Schritt für Schritt durch den gesamten Umsetzungsprozess — von der Betroffenheitsprüfung bis zur BSI-Registrierung.
Das NIS2UmsuCG erfasst 18 Sektoren, aufgeteilt in zwei Anlagen. Anlage 1 listet 11 Sektoren mit hoher Kritikalität — darunter Energie, Gesundheitswesen und digitale Infrastruktur. Anlage 2 nennt 7 sonstige kritische Sektoren wie verarbeitendes Gewerbe, Post- und Kurierdienste und Lebensmittelproduktion.
Mit über 80 verschiedenen Einrichtungsarten handelt es sich um die umfangreichste Cybersicherheitsregulierung, die die EU bisher verabschiedet hat. Entscheidend für die Zuordnung ist nicht der Branchencode Ihres Unternehmens. Es zählt ausschließlich die Art der erbrachten Waren oder Dienstleistungen.
Viele Unternehmen sind in mehreren Bereichen tätig. §28 Abs. 3 BSIG regelt die sogenannte Nebentätigkeitsregel: Erbringt Ihr Unternehmen Dienstleistungen in einem regulierten Sektor — auch wenn dies nicht das Kerngeschäft ist — kann die NIS2-Pflicht trotzdem greifen. Ein Maschinenbauunternehmen mit eigener Logistiksparte fällt beispielsweise potenziell unter zwei Sektoren gleichzeitig.
Die vollständige Sektorenzuordnung erfordert eine sorgfältige Analyse Ihrer Geschäftstätigkeit. Im Knowledge Hub von NIS2Compass finden Sie detaillierte Erläuterungen zu den einzelnen Sektoren und deren Teilbereichen.
NIS2 gilt grundsätzlich ab 50 Mitarbeitern oder einem Jahresumsatz und einer Jahresbilanzsumme von jeweils über 10 Mio. EUR. Diese Size-Cap-Regel basiert auf der EU-Empfehlung 2003/361/EG. Für bestimmte Einrichtungsarten gelten die Schwellenwerte nicht — sie fallen größenunabhängig unter die Regulierung.
Das NIS2-Umsetzungsgesetz unterscheidet zwei Kategorien mit unterschiedlichen Schwellenwerten. Die Einstufung bestimmt den Umfang der Pflichten und die Höhe möglicher Bußgelder.
Besonders wichtige Einrichtungen (§28 Abs. 1 Nr. 4 BSIG): Unternehmen aus Anlage-1-Sektoren ab 250 Mitarbeitern oder mit einem Jahresumsatz über 50 Mio. EUR und einer Jahresbilanzsumme über 43 Mio. EUR.
Wichtige Einrichtungen (§28 Abs. 2 Nr. 3 BSIG): Unternehmen aus Anlage-1- und Anlage-2-Sektoren ab 50 Mitarbeitern oder mit einem Jahresumsatz über 10 Mio. EUR und einer Jahresbilanzsumme über 10 Mio. EUR.
Ein häufiger Irrtum: Viele Unternehmen prüfen nur die Mitarbeiterzahl. Dabei reicht bereits das Überschreiten der finanziellen Schwellenwerte — unabhängig von der Beschäftigtenzahl. Ein Unternehmen mit 30 Mitarbeitern, aber 15 Mio. EUR Umsatz und 12 Mio. EUR Bilanzsumme fällt unter NIS2.
Umgekehrt gilt: Ab 50 Mitarbeitern greift NIS2 auch bei niedrigem Umsatz. Die Mitarbeiterzahl wird dabei nach Vollzeitäquivalenten berechnet. Teilzeitkräfte zählen anteilig.
Ja. Nach §28 Abs. 4 BSIG müssen Partner- und verbundene Unternehmen bei der Berechnung berücksichtigt werden. Gehört Ihr Unternehmen zu einer Unternehmensgruppe, werden Mitarbeiterzahl, Umsatz und Bilanzsumme auf Gruppenebene betrachtet. Ein eigenständig kleines Tochterunternehmen kann dadurch die Schwellenwerte überschreiten.
Ein mittelständischer Maschinenbauer beschäftigt 80 Mitarbeiter bei 18 Mio. EUR Jahresumsatz und 12 Mio. EUR Bilanzsumme. Das Unternehmen gehört zum Sektor „Verarbeitendes Gewerbe/Herstellung von Waren" — ein Anlage-2-Sektor des NIS2-Umsetzungsgesetzes.
Die Prüfung ergibt: Mit 80 Mitarbeitern überschreitet das Unternehmen den Schwellenwert von 50 Beschäftigten. Es handelt sich um eine wichtige Einrichtung nach §28 Abs. 2 Nr. 3 BSIG. Selbst wenn die Mitarbeiterzahl knapp unter 50 läge, würden Umsatz und Bilanzsumme die finanziellen Schwellenwerte überschreiten.
Die typische Ausgangslage: Der IT-Leiter trägt die Verantwortung für Cybersicherheit allein. Einen dedizierten Informationssicherheitsbeauftragten gibt es nicht. Genau für diese Situation bietet der NIS2 Guide von NIS2Compass einen strukturierten Umsetzungspfad — von der Bestandsaufnahme bis zur BSI-Registrierung.
Das NIS2UmsuCG unterscheidet zwischen „besonders wichtigen" und „wichtigen" Einrichtungen. Der Unterschied ist nicht akademisch: Besonders wichtige Einrichtungen unterliegen strengerer Aufsicht (proaktive Prüfungen durch das BSI) und höheren Bußgeldgrenzen (bis 10 Mio. EUR statt 7 Mio. EUR).
Wichtige Einrichtungen bilden die breitere Kategorie. Hierzu zählen Anlage-1- und Anlage-2-Einrichtungen ab 50 Mitarbeitern, nicht-qualifizierte Vertrauensdiensteanbieter sowie TK-Anbieter unter 50 Mitarbeitern. Die Schwelle liegt deutlich niedriger — viele mittelständische Unternehmen fallen in diese Gruppe.
Die Risikomanagementpflichten nach §30 BSIG gelten für beide Kategorien identisch. Auch die Geschäftsführerhaftung nach §38 BSIG trifft beide gleichermaßen. Die Unterschiede betreffen Aufsicht und Sanktionen:
Aufsichtsregime: Besonders wichtige Einrichtungen unterliegen proaktiven Prüfungen durch das BSI (§61 BSIG). Wichtige Einrichtungen werden nur reaktiv beaufsichtigt — also nach einem Vorfall oder bei konkretem Verdacht (§62 BSIG).
Bußgeldrahmen: Für besonders wichtige Einrichtungen drohen laut §65 BSIG bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes. Für wichtige Einrichtungen liegt die Grenze bei 7 Mio. EUR oder 1,4 % des Umsatzes.
KRITIS-Betreiber haben einen Sonderstatus: Sie gelten immer als besonders wichtig und müssen zusätzliche Anforderungen nach §31 und §39 BSIG erfüllen. Welche Bußgelder im Detail drohen, erklärt der Artikel NIS2-Bußgelder: Welche Strafen drohen bei Verstößen?.
Nicht alle Unternehmen in regulierten Sektoren sind automatisch betroffen — und einige fallen auch unterhalb der Größenschwellen ins Gesetz. Das NIS2UmsuCG kennt größenunabhängige Betroffenheit, Ausnahmebescheide und sektorspezifische Sonderregeln, die eine individuelle Prüfung unverzichtbar machen.
Bestimmte Einrichtungen fallen unabhängig von Mitarbeiterzahl und Umsatz unter das NIS2UmsuCG. Laut §28 Abs. 1 BSIG sind das unter anderem KRITIS-Betreiber, qualifizierte Vertrauensdiensteanbieter, TLD-Registries und DNS-Diensteanbieter. Diese gelten stets als besonders wichtige Einrichtungen (bwE) — mit den strengsten Pflichten.
Hinzu kommt die Nebentätigkeitsregel nach §28 Abs. 3 BSIG: Erbringt ein Unternehmen nur einen geringen Teil seiner Leistungen in einem regulierten Sektor, kann die Einstufung entfallen. Die Schwelle ist jedoch eng gefasst und erfordert eine sorgfältige Prüfung.
Drei Branchen unterliegen teilweise abweichenden Regelungen:
Telekommunikationsanbieter: §28 Abs. 5 BSIG verweist auf das Telekommunikationsgesetz (TKG), das eigene Sicherheitspflichten vorsieht.
Finanzunternehmen: §28 Abs. 6 BSIG stellt klar, dass die DORA-Verordnung (EU 2022/2554) Vorrang hat. Banken und Versicherer erfüllen NIS2-Pflichten primär über DORA.
Energiesektor: Das Energiewirtschaftsgesetz (EnWG) enthält eigene IT-Sicherheitsanforderungen, die teilweise Vorrang genießen.
Zusätzlich kann das Bundesinnenministerium nach §37 BSIG einen Ausnahmebescheid erteilen — etwa wenn nationale Sicherheit oder Verteidigung betroffen sind. In der Praxis kommt das selten vor.
Ein mittelständischer Managed-Service-Provider (MSP) beschäftigt 60 Mitarbeiter bei 8 Mio. EUR Umsatz und 6 Mio. EUR Bilanzsumme. Obwohl die finanziellen Kennzahlen unter den Schwellenwerten liegen, reicht die Mitarbeiterzahl ab 50 Beschäftigten für die Einstufung als wichtige Einrichtung (wE). Die Größenkriterien sind als ODER-Verknüpfung definiert — ein einziges überschrittenes Kriterium genügt.
MSPs sind in Anlage 1 des NIS2UmsuCG (Sektor 9: Verwaltung von IKT-Diensten) explizit aufgeführt. Das bedeutet eine doppelte Betroffenheit: direkt durch die eigenen NIS2-Pflichten und indirekt durch die Lieferketten-Anforderungen ihrer Kunden.
NIS2Compass-Analysen zeigen, dass die Sektorzuordnung der häufigste Stolperstein bei der Betroffenheitsprüfung ist. Der Vor-Check von NIS2Compass hilft, die eigene Einordnung systematisch zu klären — in wenigen Minuten statt Wochen interner Recherche.
Die Betroffenheitsprüfung folgt einem klaren Entscheidungsbaum: Zuerst Sonderstatus prüfen (KRITIS, TK, Vertrauensdienste), dann Sektorzugehörigkeit feststellen, anschließend Größenschwellen abgleichen. Das BSI stellt dafür ein Online-Tool bereit. NIS2Compass' Vor-Check geht einen Schritt weiter und zeigt auch die konkreten Handlungsbedarfe.
Einige Einrichtungen fallen unabhängig von ihrer Größe unter das NIS2-Umsetzungsgesetz. Dazu gehören KRITIS-Betreiber, Vertrauensdiensteanbieter, TLD-Registrierungsstellen, DNS-Diensteanbieter und Telekommunikationsanbieter. Prüfen Sie zuerst, ob Ihr Unternehmen zu einer dieser Kategorien gehört — falls ja, ist die Betroffenheit bereits festgestellt.
Die Schwellenwerte gelten als ODER-Verknüpfung: mindestens 50 Mitarbeiter oder mehr als 10 Millionen Euro Jahresumsatz oder mehr als 10 Millionen Euro Bilanzsumme. Bereits ein erfülltes Kriterium reicht aus. Besonders wichtige Einrichtungen (bwE) erreichen Sie ab 250 Mitarbeitern oder 50 Millionen Euro Umsatz — darunter gelten Sie als wichtige Einrichtung (wE).
Im letzten Schritt identifizieren Sie Ihre konkreten Pflichten: §33 BSIG (BSI-Registrierung), §32 BSIG (Meldepflichten bei Sicherheitsvorfällen), §30 BSIG (Risikomanagementmaßnahmen) und §38 BSIG (Geschäftsführerhaftung). Das BSI-Registrierungsportal wurde am 6. Januar 2026 freigeschaltet — die 3-Monats-Frist lief am 6. März 2026 ab. Der NIS2 Guide von NIS2Compass führt Sie durch alle Pflichten in 8 strukturierten Kapiteln.
Betroffene Unternehmen müssen sich beim BSI registrieren, 10 Risikomanagementmaßnahmen nach §30 BSIG umsetzen, Meldeprozesse aufbauen und die Geschäftsleitung einbinden. NIS2Compass begleitet diesen Prozess in 8 Kapiteln mit fertigen Vorlagen und einem strukturierten NIS2-Umsetzungspfad.
Die Registrierungsfrist nach §33 BSIG ist am 6. März 2026 abgelaufen — die Pflicht besteht weiterhin. Unternehmen, die sich noch nicht registriert haben, sollten dies umgehend nachholen. Bei Verstoß drohen Bußgelder bis zu 500.000 Euro. Die Registrierung erfolgt über das BSI-Portal und erfordert Angaben zu Kontaktdaten, Sektor und IT-Infrastruktur.
§30 BSIG definiert 10 Maßnahmenbereiche, darunter Risikoanalyse, Vorfallsbewältigung, Business Continuity, Lieferkettensicherheit, Kryptographie und Zugangskontrollen. Diese Maßnahmen müssen dem Stand der Technik entsprechen und verhältnismäßig sein. NIS2Compass deckt alle 10 Bereiche mit konkreten Schritten und über 20 fertigen Vorlagen ab.
§32 BSIG schreibt ein dreistufiges Meldeverfahren vor. Innerhalb von 24 Stunden ist eine Erstmeldung an das BSI erforderlich. Nach 72 Stunden folgt eine aktualisierte Meldung mit erster Bewertung. Spätestens nach einem Monat muss ein Abschlussbericht vorliegen. Wer keinen Meldeprozess etabliert hat, riskiert nicht nur Bußgelder, sondern auch verspätete Reaktionen bei echten Vorfällen.
Die Geschäftsführerhaftung nach §38 BSIG ist nicht delegierbar. Geschäftsführer und Vorstände müssen die Risikomanagementmaßnahmen billigen, ihre Umsetzung überwachen und regelmäßig an Schulungen teilnehmen. Bei Pflichtverletzung haften sie persönlich. Dieses Thema erfordert frühzeitige Einbindung — der Artikel zu NIS2 und ISMS zeigt, welche Lücken bestehende Managementsysteme typischerweise haben.
Grundsätzlich nicht — die Size-Cap-Regel greift bei 50 Mitarbeitern oder 10 Mio. EUR Jahresumsatz. Der Gesetzgeber hat jedoch Ausnahmen definiert: Qualifizierte Vertrauensdiensteanbieter, TLD-Registries, DNS-Diensteanbieter und KRITIS-Betreiber fallen unabhängig von ihrer Größe unter das NIS2UmsuCG. Zusätzlich kann eine indirekte Betroffenheit über Lieferketten-Anforderungen entstehen, wenn regulierte Kunden Sicherheitsnachweise verlangen.
Ja — besonders wichtige und wichtige Einrichtungen sind zur Registrierung beim BSI verpflichtet (§33 BSIG). Die Frist ist am 6. März 2026 abgelaufen. Eine verspätete Registrierung bleibt dennoch Pflicht. Das BSI-Portal ist seit dem 6. Januar 2026 freigeschaltet. Bei Nicht-Registrierung drohen Bußgelder bis zu 500.000 EUR. Der NIS2 Guide von NIS2Compass führt Schritt für Schritt durch den Registrierungsprozess.
Das NIS2UmsuCG löst das IT-Sicherheitsgesetz 2.0 ab. Die wichtigste Änderung: Der Kreis betroffener Unternehmen wächst von rund 4.500 auf etwa 29.500 Einrichtungen. Statt 10 reguliert das Gesetz nun 18 Sektoren. Die Größenschwellen sinken deutlich. Neu ist die persönliche Haftung der Geschäftsführung bei Pflichtverletzungen. Bisherige KRITIS-Betreiber bleiben als Teilmenge weiterhin reguliert.
Grundsätzlich ja. Nach §28 Abs. 4 BSIG in Verbindung mit der EU-Empfehlung 2003/361/EG werden Mitarbeiterzahl, Umsatz und Bilanzsumme verbundener Unternehmen zusammengerechnet. Eine Ausnahme besteht, wenn die IT-Systeme nachweislich unabhängig voneinander betrieben werden. Der Vor-Check von NIS2Compass hilft bei der ersten Einschätzung Ihrer Betroffenheit.
§37 BSIG ermöglicht dem BMI Befreiungen in drei Fällen: nationale Sicherheit, Verteidigung oder Strafverfolgung. Voraussetzung ist, dass gleichwertige Sicherheitsvorgaben bereits gelten. Für typische KMU im Privatsektor ist dieser Weg nicht relevant. Stattdessen empfiehlt sich die strukturierte Umsetzung der NIS2-Anforderungen — der NIS2 Guide von NIS2Compass bietet dafür einen klaren Umsetzungspfad.
