Bin ich von NIS2 betroffen? So prüfen Sie es

Ob Ihr Unternehmen unter NIS2 fällt, hängt von zwei Faktoren ab: Sektorzugehörigkeit und Unternehmensgröße. In Deutschland sind rund 29.500 Einrichtungen in 18 Sektoren betroffen. Seit Dezember 2025 gelten alle Pflichten sofort. Der Vor-Check von NIS2Compass zeigt in wenigen Minuten, wo Ihr Unternehmen steht und welche Anforderungen bereits erfüllt sind.

Was regelt das NIS2UmsuCG zur Betroffenheit?

Das NIS2UmsuCG definiert in §28 BSIG, welche Unternehmen als „besonders wichtige" oder „wichtige" Einrichtungen gelten. Maßgeblich sind der Sektor (Anlage 1 und 2 des BSIG) und die Unternehmensgröße. Im Vergleich zum bisherigen IT-Sicherheitsgesetz steigt die Zahl regulierter Einrichtungen von rund 4.500 auf 29.500 — ein Anstieg um über 550 Prozent.

Warum gibt es ein eigenes deutsches Gesetz?

Die EU-Richtlinie NIS2 (2022/2555) verpflichtet alle Mitgliedstaaten, nationale Umsetzungsgesetze zu erlassen. In Deutschland ist das Ergebnis das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Es wurde am 13. November 2025 vom Bundestag verabschiedet und trat am 6. Dezember 2025 in Kraft (BGBl. I Nr. 301).

Entscheidend: Das Gesetz sieht keine Übergangsfrist vor. Alle Pflichten gelten seit Inkrafttreten sofort.

Welche Norm bestimmt, ob ein Unternehmen betroffen ist?

Die zentrale Vorschrift ist §28 BSIG. Dort wird geregelt, welche Einrichtungen als „besonders wichtig" (Absatz 1) und welche als „wichtig" (Absatz 2) eingestuft werden. Die Zuordnung hängt von zwei Kriterien ab:

• Sektorzugehörigkeit: Das Unternehmen muss in einem der 18 Sektoren aus Anlage 1 (hochkritisch) oder Anlage 2 (kritisch) tätig sein.
• Unternehmensgröße: Es gelten die EU-Schwellenwerte für mittlere Unternehmen: mindestens 50 Beschäftigte ODER mehr als 10 Millionen Euro Jahresumsatz.

„In der Beratungspraxis zeigt sich, dass viele KMU ihre Betroffenheit unterschätzen. Besonders die ODER-Verknüpfung bei den Größenschwellen überrascht," erklärt Dr. Markus Hartmann, Senior Compliance-Berater. Ein Unternehmen mit 30 Mitarbeitenden, aber 12 Millionen Euro Umsatz, fällt bereits in den Anwendungsbereich.

Wie groß ist der Sprung gegenüber dem alten IT-Sicherheitsgesetz?

Unter dem bisherigen IT-Sicherheitsgesetz 2.0 waren rund 4.500 Einrichtungen reguliert — überwiegend Betreiber kritischer Infrastrukturen. Das NIS2UmsuCG erfasst nun etwa 29.500 Einrichtungen. Dieser Anstieg um über 550 Prozent betrifft vor allem mittelständische Unternehmen, die bisher keiner Cybersicherheitsregulierung unterlagen.

Die BSI-Registrierungsfrist lief am 6. März 2026 ab. Unternehmen, die sich noch nicht registriert haben, riskieren bereits Bußgelder. Der NIS2 Guide von NIS2Compass führt Schritt für Schritt durch den gesamten Umsetzungsprozess, von der Betroffenheitsprüfung bis zur BSI-Registrierung.

Welche 18 Sektoren sind von NIS2 betroffen?

Das NIS2UmsuCG erfasst 18 Sektoren, aufgeteilt in zwei Anlagen. Anlage 1 listet 11 Sektoren mit hoher Kritikalität, darunter Energie, Gesundheitswesen und digitale Infrastruktur. Anlage 2 nennt 7 sonstige kritische Sektoren wie verarbeitendes Gewerbe, Post- und Kurierdienste und Lebensmittelproduktion.

Mit über 80 verschiedenen Einrichtungsarten handelt es sich um die umfangreichste Cybersicherheitsregulierung, die die EU bisher verabschiedet hat. Entscheidend für die Zuordnung ist nicht der Branchencode Ihres Unternehmens. Es zählt ausschließlich die Art der erbrachten Waren oder Dienstleistungen.

Welche Sektoren haben hohe Kritikalität?

Anlage 1 des BSIG definiert 11 Sektoren mit hoher Kritikalität:

• Energie — 5 Teilsektoren: Elektrizität, Fernwärme/Kälte, Erdöl, Erdgas, Wasserstoff
• Verkehr — 4 Teilsektoren: Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr
• Bankwesen — Kreditinstitute gemäß CRR
• Finanzmarktinfrastrukturen — Handelsplätze und zentrale Gegenparteien
• Gesundheitswesen — Krankenhäuser, Labore, Medizinproduktehersteller, Forschungseinrichtungen
• Trinkwasser — Gewinnung und Verteilung von Trinkwasser
• Abwasser — Sammlung, Entsorgung und Behandlung von Abwasser
• Digitale Infrastruktur — DNS-Dienste, TLD-Registries, Cloud Computing, Rechenzentren, CDNs
• Verwaltung von IKT-Diensten (B2B) — Managed Service Provider und Managed Security Service Provider
• Öffentliche Verwaltung — Einrichtungen der Bundesverwaltung und bestimmte Landesbehörden
• Weltraum — Betreiber von Bodeninfrastrukturen

Welche sonstigen kritischen Sektoren gibt es?

Anlage 2 des BSIG umfasst 7 weitere Sektoren:

• Post- und Kurierdienste — Anbieter von Postdienstleistungen
• Abfallbewirtschaftung — Sammlung, Transport und Behandlung von Abfällen
• Chemie — Herstellung und Handel chemischer Stoffe
• Lebensmittel — Produktion, Verarbeitung und Vertrieb von Lebensmitteln
• Verarbeitendes Gewerbe — 6 Teilsektoren: Medizinprodukte, DV-Geräte, Elektrogeräte, Maschinenbau, Kfz, sonstiger Fahrzeugbau
• Anbieter digitaler Dienste — Online-Marktplätze, Suchmaschinen, soziale Netzwerke
• Forschung — Forschungseinrichtungen mit kritischer Infrastrukturrelevanz

Was gilt bei mehreren Geschäftsfeldern?

Viele Unternehmen sind in mehreren Bereichen tätig. §28 Abs. 3 BSIG regelt die sogenannte Nebentätigkeitsregel: Erbringt Ihr Unternehmen Dienstleistungen in einem regulierten Sektor, auch wenn dies nicht das Kerngeschäft ist, kann die NIS2-Pflicht trotzdem greifen. Ein Maschinenbauunternehmen mit eigener Logistiksparte fällt beispielsweise potenziell unter zwei Sektoren gleichzeitig.

Die vollständige Sektorenzuordnung erfordert eine sorgfältige Analyse Ihrer Geschäftstätigkeit. Im Knowledge Hub von NIS2Compass finden Sie detaillierte Erläuterungen zu den einzelnen Sektoren und deren Teilbereichen.

Ab welcher Größe gilt NIS2 für mein Unternehmen?

NIS2 gilt grundsätzlich ab 50 Mitarbeitern oder einem Jahresumsatz und einer Jahresbilanzsumme von jeweils über 10 Mio. EUR. Diese Size-Cap-Regel basiert auf der EU-Empfehlung 2003/361/EG. Für bestimmte Einrichtungsarten gelten die Schwellenwerte nicht — sie fallen größenunabhängig unter die Regulierung.

Welche Schwellenwerte definiert §28 BSIG?

Das NIS2-Umsetzungsgesetz unterscheidet zwei Kategorien mit unterschiedlichen Schwellenwerten. Die Einstufung bestimmt den Umfang der Pflichten und die Höhe möglicher Bußgelder.

Besonders wichtige Einrichtungen (§28 Abs. 1 Nr. 4 BSIG): Unternehmen aus Anlage-1-Sektoren ab 250 Mitarbeitern oder mit einem Jahresumsatz über 50 Mio. EUR und einer Jahresbilanzsumme über 43 Mio. EUR.

Wichtige Einrichtungen (§28 Abs. 2 Nr. 3 BSIG): Unternehmen aus Anlage-1- und Anlage-2-Sektoren ab 50 Mitarbeitern oder mit einem Jahresumsatz über 10 Mio. EUR und einer Jahresbilanzsumme über 10 Mio. EUR.

Warum ist die ODER-Verknüpfung so entscheidend?

Ein häufiger Irrtum: Viele Unternehmen prüfen nur die Mitarbeiterzahl. Dabei reicht bereits das Überschreiten der finanziellen Schwellenwerte — unabhängig von der Beschäftigtenzahl. Ein Unternehmen mit 30 Mitarbeitern, aber 15 Mio. EUR Umsatz und 12 Mio. EUR Bilanzsumme fällt unter NIS2.

Umgekehrt gilt: Ab 50 Mitarbeitern greift NIS2 auch bei niedrigem Umsatz. Die Mitarbeiterzahl wird dabei nach Vollzeitäquivalenten berechnet. Teilzeitkräfte zählen anteilig.

Werden verbundene Unternehmen mitgezählt?

Ja. Nach §28 Abs. 4 BSIG müssen Partner- und verbundene Unternehmen bei der Berechnung berücksichtigt werden. Gehört Ihr Unternehmen zu einer Unternehmensgruppe, werden Mitarbeiterzahl, Umsatz und Bilanzsumme auf Gruppenebene betrachtet. Ein eigenständig kleines Tochterunternehmen kann dadurch die Schwellenwerte überschreiten.

Laut Gesetzentwurf (BT-Drs. 20/13184) kalkuliert der Gesetzgeber mit durchschnittlich 86.900 EUR Compliance-Kosten pro betroffener Einrichtung. Was diese Kosten konkret umfassen, analysiert der Artikel NIS2-Berater oder selbst umsetzen? Ein Kostenvergleich.

Wie sieht die Betroffenheitsprüfung in der Praxis aus?

Ein mittelständischer Maschinenbauer beschäftigt 80 Mitarbeiter bei 18 Mio. EUR Jahresumsatz und 12 Mio. EUR Bilanzsumme. Das Unternehmen gehört zum Sektor „Verarbeitendes Gewerbe/Herstellung von Waren" — ein Anlage-2-Sektor des NIS2-Umsetzungsgesetzes.

Die Prüfung ergibt: Mit 80 Mitarbeitern überschreitet das Unternehmen den Schwellenwert von 50 Beschäftigten. Es handelt sich um eine wichtige Einrichtung nach §28 Abs. 2 Nr. 3 BSIG. Selbst wenn die Mitarbeiterzahl knapp unter 50 läge, würden Umsatz und Bilanzsumme die finanziellen Schwellenwerte überschreiten.

Die typische Ausgangslage: Der IT-Leiter trägt die Verantwortung für Cybersicherheit allein. Einen dedizierten Informationssicherheitsbeauftragten gibt es nicht. Genau für diese Situation bietet der NIS2 Guide von NIS2Compass einen strukturierten Umsetzungspfad, von der Bestandsaufnahme bis zur BSI-Registrierung.

Wesentlich vs. wichtig — Was ist der Unterschied?

Das NIS2UmsuCG unterscheidet zwischen „besonders wichtigen" und „wichtigen" Einrichtungen. Der Unterschied ist nicht akademisch: Besonders wichtige Einrichtungen unterliegen strengerer Aufsicht (proaktive Prüfungen durch das BSI) und höheren Bußgeldgrenzen (bis 10 Mio. EUR statt 7 Mio. EUR).

Wer gilt als besonders wichtige Einrichtung?

Das Gesetz definiert in §28 BSIG klar, welche Organisationen als „besonders wichtig" eingestuft werden. Die Kategorie umfasst mehrere Gruppen:

• KRITIS-Betreiber — unabhängig von der Unternehmensgröße immer besonders wichtig
• Qualifizierte Vertrauensdiensteanbieter, TLD-Registries und DNS-Diensteanbieter — ebenfalls größenunabhängig
• TK-Anbieter ab 50 Mitarbeitern — Telekommunikation ist hochkritische Infrastruktur
• Anlage-1-Einrichtungen ab 250 Mitarbeitern oder über 50 Mio. EUR Umsatz — die klassische Großunternehmensschwelle

Wer gilt als wichtige Einrichtung?

Wichtige Einrichtungen bilden die breitere Kategorie. Hierzu zählen Anlage-1- und Anlage-2-Einrichtungen ab 50 Mitarbeitern, nicht-qualifizierte Vertrauensdiensteanbieter sowie TK-Anbieter unter 50 Mitarbeitern. Die Schwelle liegt deutlich niedriger; viele mittelständische Unternehmen fallen in diese Gruppe.

Wo liegen die konkreten Unterschiede?

Die Risikomanagementpflichten nach §30 BSIG gelten für beide Kategorien identisch. Auch die Geschäftsführerhaftung nach §38 BSIG trifft beide gleichermaßen. Die Unterschiede betreffen Aufsicht und Sanktionen:

• Aufsichtsregime: Besonders wichtige Einrichtungen unterliegen proaktiven Prüfungen durch das BSI (§61 BSIG). Wichtige Einrichtungen werden nur reaktiv beaufsichtigt, also nach einem Vorfall oder bei konkretem Verdacht (§62 BSIG).
• Bußgeldrahmen: Für besonders wichtige Einrichtungen drohen laut §65 BSIG bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes. Für wichtige Einrichtungen liegt die Grenze bei 7 Mio. EUR oder 1,4 % des Umsatzes. Wie sich diese Obergrenzen auf das eigene Unternehmen herunterbrechen, zeigt der NIS2-Bußgeldrechner.

KRITIS-Betreiber haben einen Sonderstatus: Sie gelten immer als besonders wichtig und müssen zusätzliche Anforderungen nach §31 und §39 BSIG erfüllen. Welche Bußgelder im Detail drohen, erklärt der Artikel NIS2-Bußgelder: Welche Strafen drohen bei Verstößen?.

Welche Ausnahmen und Sonderfälle gibt es?

Nicht alle Unternehmen in regulierten Sektoren sind automatisch betroffen — und einige fallen auch unterhalb der Größenschwellen ins Gesetz. Das NIS2UmsuCG kennt größenunabhängige Betroffenheit, Ausnahmebescheide und sektorspezifische Sonderregeln, die eine individuelle Prüfung unverzichtbar machen.

Welche Unternehmen sind größenunabhängig betroffen?

Bestimmte Einrichtungen fallen unabhängig von Mitarbeiterzahl und Umsatz unter das NIS2UmsuCG. Laut §28 Abs. 1 BSIG sind das unter anderem KRITIS-Betreiber, qualifizierte Vertrauensdiensteanbieter, TLD-Registries und DNS-Diensteanbieter. Diese gelten stets als besonders wichtige Einrichtungen (bwE) — mit den strengsten Pflichten.

Hinzu kommt die Nebentätigkeitsregel nach §28 Abs. 3 BSIG: Erbringt ein Unternehmen nur einen geringen Teil seiner Leistungen in einem regulierten Sektor, kann die Einstufung entfallen. Die Schwelle ist jedoch eng gefasst und erfordert eine sorgfältige Prüfung.

Welche Sonderregeln gelten für bestimmte Sektoren?

Drei Branchen unterliegen teilweise abweichenden Regelungen:

• Telekommunikationsanbieter: §28 Abs. 5 BSIG verweist auf das Telekommunikationsgesetz (TKG), das eigene Sicherheitspflichten vorsieht.
• Finanzunternehmen: §28 Abs. 6 BSIG stellt klar, dass die DORA-Verordnung (EU 2022/2554) Vorrang hat. Banken und Versicherer erfüllen NIS2-Pflichten primär über DORA.
• Energiesektor: Das Energiewirtschaftsgesetz (EnWG) enthält eigene IT-Sicherheitsanforderungen, die teilweise Vorrang genießen.

Zusätzlich kann das Bundesinnenministerium nach §37 BSIG einen Ausnahmebescheid erteilen — etwa wenn nationale Sicherheit oder Verteidigung betroffen sind. In der Praxis kommt das selten vor.

Wie wird ein IT-Dienstleister eingestuft?

Ein mittelständischer Managed-Service-Provider (MSP) beschäftigt 60 Mitarbeiter bei 8 Mio. EUR Umsatz und 6 Mio. EUR Bilanzsumme. Obwohl die finanziellen Kennzahlen unter den Schwellenwerten liegen, reicht die Mitarbeiterzahl ab 50 Beschäftigten für die Einstufung als wichtige Einrichtung (wE). Die Größenkriterien sind als ODER-Verknüpfung definiert: ein einziges überschrittenes Kriterium genügt.

MSPs sind in Anlage 1 des NIS2UmsuCG (Sektor 9: Verwaltung von IKT-Diensten) explizit aufgeführt. Das bedeutet eine doppelte Betroffenheit: direkt durch die eigenen NIS2-Pflichten und indirekt durch die Lieferketten-Anforderungen ihrer Kunden.

NIS2Compass-Analysen zeigen, dass die Sektorzuordnung der häufigste Stolperstein bei der Betroffenheitsprüfung ist. Der Vor-Check von NIS2Compass hilft, die eigene Einordnung systematisch zu klären, in wenigen Minuten statt Wochen interner Recherche.

Wie prüfe ich meine NIS2-Betroffenheit Schritt für Schritt?

Die Betroffenheitsprüfung folgt einem klaren Entscheidungsbaum: Zuerst Sonderstatus prüfen (KRITIS, TK, Vertrauensdienste), dann Sektorzugehörigkeit feststellen, anschließend Größenschwellen abgleichen. Das BSI stellt dafür ein Online-Tool bereit. NIS2Compass' Vor-Check geht einen Schritt weiter und zeigt auch die konkreten Handlungsbedarfe.

Gibt es einen Sonderstatus, der die Größenschwellen aushebelt?

Einige Einrichtungen fallen unabhängig von ihrer Größe unter das NIS2-Umsetzungsgesetz. Dazu gehören KRITIS-Betreiber, Vertrauensdiensteanbieter, TLD-Registrierungsstellen, DNS-Diensteanbieter und Telekommunikationsanbieter. Prüfen Sie zuerst, ob Ihr Unternehmen zu einer dieser Kategorien gehört. Falls ja, ist die Betroffenheit bereits festgestellt.

In welchem Sektor ist mein Unternehmen tätig?

§28 BSIG definiert die betroffenen Sektoren in zwei Anlagen. Anlage 1 listet Sektoren mit hoher Kritikalität (Energie, Transport, Bankwesen, Gesundheit, Wasser, digitale Infrastruktur, Weltraum). Anlage 2 umfasst sonstige kritische Sektoren (Post, Abfall, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste, Forschung). Ordnen Sie Ihre Haupttätigkeit einem dieser Sektoren zu.

Überschreitet mein Unternehmen die Größenschwellen?

Die Schwellenwerte gelten als ODER-Verknüpfung: mindestens 50 Mitarbeiter oder mehr als 10 Millionen Euro Jahresumsatz oder mehr als 10 Millionen Euro Bilanzsumme. Bereits ein erfülltes Kriterium reicht aus. Besonders wichtige Einrichtungen (bwE) erreichen Sie ab 250 Mitarbeitern oder 50 Millionen Euro Umsatz — darunter gelten Sie als wichtige Einrichtung (wE).

Welche Pflichten ergeben sich aus der Kategorie?

Im letzten Schritt identifizieren Sie Ihre konkreten Pflichten: §33 BSIG (BSI-Registrierung), §32 BSIG (Meldepflichten bei Sicherheitsvorfällen), §30 BSIG (Risikomanagementmaßnahmen) und §38 BSIG (Geschäftsführerhaftung). Das BSI-Registrierungsportal wurde am 6. Januar 2026 freigeschaltet — die 3-Monats-Frist lief am 6. März 2026 ab. Der NIS2 Guide von NIS2Compass führt Sie durch alle Pflichten in 8 strukturierten Kapiteln.

Was sind die nächsten Schritte, wenn ich betroffen bin?

Betroffene Unternehmen müssen sich beim BSI registrieren, 10 Risikomanagementmaßnahmen nach §30 BSIG umsetzen, Meldeprozesse aufbauen und die Geschäftsleitung einbinden. NIS2Compass begleitet diesen Prozess in 8 Kapiteln mit fertigen Vorlagen und einem strukturierten NIS2-Umsetzungspfad.

Ist die BSI-Registrierung noch möglich?

Die Registrierungsfrist nach §33 BSIG ist am 6. März 2026 abgelaufen; die Pflicht besteht weiterhin. Unternehmen, die sich noch nicht registriert haben, sollten dies umgehend nachholen. Bei Verstoß drohen Bußgelder bis zu 500.000 Euro. Die Registrierung erfolgt über das BSI-Portal und erfordert Angaben zu Kontaktdaten, Sektor und IT-Infrastruktur.

Welche Maßnahmen verlangt das Risikomanagement?

§30 BSIG definiert 10 Maßnahmenbereiche, darunter Risikoanalyse, Vorfallsbewältigung, Business Continuity, Lieferkettensicherheit, Kryptographie und Zugangskontrollen. Diese Maßnahmen müssen dem Stand der Technik entsprechen und verhältnismäßig sein. NIS2Compass deckt alle 10 Bereiche mit konkreten Schritten und über 20 fertigen Vorlagen ab.

Wie funktionieren die Meldepflichten?

§32 BSIG schreibt ein dreistufiges Meldeverfahren vor. Innerhalb von 24 Stunden ist eine Erstmeldung an das BSI erforderlich. Nach 72 Stunden folgt eine aktualisierte Meldung mit erster Bewertung. Spätestens nach einem Monat muss ein Abschlussbericht vorliegen. Wer keinen Meldeprozess etabliert hat, riskiert nicht nur Bußgelder, sondern auch verspätete Reaktionen bei echten Vorfällen.

Warum betrifft NIS2 auch die Geschäftsleitung persönlich?

Die Geschäftsführerhaftung nach §38 BSIG ist nicht delegierbar. Geschäftsführer und Vorstände müssen die Risikomanagementmaßnahmen billigen, ihre Umsetzung überwachen und regelmäßig an Schulungen teilnehmen. Bei Pflichtverletzung haften sie persönlich. Dieses Thema erfordert frühzeitige Einbindung — der Artikel zu NIS2 und ISMS zeigt, welche Lücken bestehende Managementsysteme typischerweise haben.

Häufig gestellte Fragen

Gilt NIS2 auch für Unternehmen unter 50 Mitarbeitern?

Grundsätzlich nicht — die Size-Cap-Regel greift bei 50 Mitarbeitern oder 10 Mio. EUR Jahresumsatz. Der Gesetzgeber hat jedoch Ausnahmen definiert: Qualifizierte Vertrauensdiensteanbieter, TLD-Registries, DNS-Diensteanbieter und KRITIS-Betreiber fallen unabhängig von ihrer Größe unter das NIS2UmsuCG. Zusätzlich kann eine indirekte Betroffenheit über Lieferketten-Anforderungen entstehen, wenn regulierte Kunden Sicherheitsnachweise verlangen.

Muss ich mich beim BSI registrieren?

Ja — besonders wichtige und wichtige Einrichtungen sind zur Registrierung beim BSI verpflichtet (§33 BSIG). Die Frist ist am 6. März 2026 abgelaufen. Eine verspätete Registrierung bleibt dennoch Pflicht. Das BSI-Portal ist seit dem 6. Januar 2026 freigeschaltet. Bei Nicht-Registrierung drohen Bußgelder bis zu 500.000 EUR. Der NIS2 Guide von NIS2Compass führt Schritt für Schritt durch den Registrierungsprozess.

Was ist der Unterschied zwischen NIS2 und dem IT-Sicherheitsgesetz?

Das NIS2UmsuCG löst das IT-Sicherheitsgesetz 2.0 ab. Die wichtigste Änderung: Der Kreis betroffener Unternehmen wächst von rund 4.500 auf etwa 29.500 Einrichtungen. Statt 10 reguliert das Gesetz nun 18 Sektoren. Die Größenschwellen sinken deutlich. Neu ist die persönliche Haftung der Geschäftsführung bei Pflichtverletzungen. Bisherige KRITIS-Betreiber bleiben als Teilmenge weiterhin reguliert.

Zählen verbundene Unternehmen bei der Größenprüfung mit?

Grundsätzlich ja. Nach §28 Abs. 4 BSIG in Verbindung mit der EU-Empfehlung 2003/361/EG werden Mitarbeiterzahl, Umsatz und Bilanzsumme verbundener Unternehmen zusammengerechnet. Eine Ausnahme besteht, wenn die IT-Systeme nachweislich unabhängig voneinander betrieben werden. Der Vor-Check von NIS2Compass hilft bei der ersten Einschätzung Ihrer Betroffenheit.

Kann ich einen Ausnahmebescheid beantragen?

§37 BSIG ermöglicht dem BMI Befreiungen in drei Fällen: nationale Sicherheit, Verteidigung oder Strafverfolgung. Voraussetzung ist, dass gleichwertige Sicherheitsvorgaben bereits gelten. Für typische KMU im Privatsektor ist dieser Weg nicht relevant. Stattdessen empfiehlt sich die strukturierte Umsetzung der NIS2-Anforderungen — der NIS2 Guide von NIS2Compass bietet dafür einen klaren Umsetzungspfad.

Weitere Antworten zu Sektoreinteilung, Schwellenwerten und Sonderfällen finden Sie in der offiziellen BSI-FAQ zu NIS-2.