Zum Inhalt springen

Bin ich von NIS2 betroffen? Betroffenheitscheck für Unternehmen

Viele Geschäftsführer stellen sich dieselbe Frage: Bin ich von NIS2 betroffen? Die Antwort hängt nicht nur davon ab, ob Ihr Unternehmen Kritische Infrastruktur betreibt. Auch mittelständische Unternehmen können unter NIS2 fallen, wenn Tätigkeit, Sektor, Größe oder Sonderregeln zusammenkommen.

Dieser Beitrag konzentriert sich bewusst auf eine Frage: Fällt Ihr Unternehmen wahrscheinlich unter NIS2 oder sollte die Betroffenheit vertieft geprüft werden?

Interner Link: Einen allgemeinen Überblick über Rechtslage, Pflichten, Registrierung, Meldefristen, Bußgelder und Umsetzung finden Sie im Hauptbeitrag NIS2 in Deutschland: Was Unternehmen jetzt wissen und umsetzen müssen .

NIS2-Beratung für Unternehmen

Unsicher, ob Ihr Unternehmen NIS2-betroffen ist?

Lassen Sie Ihre Betroffenheit prüfen und erhalten Sie eine klare Einschätzung zu Pflichten, Fristen und nächsten Schritten.

NIS2-Betroffenheit prüfen lassen Unverbindlich · Persönliche Ersteinschätzung

Das Wichtigste in Kürze

  • NIS2 betrifft nicht nur KRITIS-Betreiber. Auch Unternehmen aus IT, digitaler Infrastruktur, Lebensmittel, Chemie, Gesundheit, Transport, Maschinenbau, Fahrzeugbau oder Elektronik können betroffen sein.
  • Die Größe allein entscheidet nicht. Entscheidend ist immer die Kombination aus Tätigkeit, Sektor, Schwellenwerten und möglichen Sonderregeln.
  • Viele Grenzfälle entstehen durch Nebenleistungen. Eine zentrale IT-Gesellschaft, ein Managed Service, eine Plattform oder eine digitale Infrastrukturleistung kann relevanter sein als die Hauptbranche.
  • Auch indirekte Betroffenheit ist möglich. Wer selbst nicht NIS2-pflichtig ist, kann über Kunden, Konzernvorgaben oder Lieferketten trotzdem Sicherheitsanforderungen erfüllen müssen.
  • Das Ergebnis sollte dokumentiert werden. Auch ein „wahrscheinlich nicht betroffen“ ist belastbarer, wenn die Prüfung nachvollziehbar festgehalten wurde.

Interner Link: Einen Überblick über alle Pflichten finden Sie im Pillar-Beitrag NIS2 in Deutschland: Was Unternehmen jetzt wissen und umsetzen müssen.

Kurzcheck: Die 5 Prüfungsfragen

Eine erste Einschätzung lässt sich mit fünf Fragen strukturieren:

PrüffrageWarum sie wichtig istErgebnis
1. Welche konkrete Tätigkeit erbringen wir?NIS2 knüpft nicht nur an die Branche, sondern an konkrete Einrichtungsarten und Dienste an.möglicher Einstieg in den Anwendungsbereich
2. Gehört diese Tätigkeit zu einem relevanten Sektor?Nur bestimmte Sektoren und Tätigkeitsbereiche sind erfasst.Branchenfilter
3. Erreichen wir die Größenwerte?Für viele Einrichtungen sind Mitarbeitendenzahl, Umsatz und Bilanzsumme entscheidend.Einstufung als wichtige oder besonders wichtige Einrichtung möglich
4. Greift ein Sonderfall?Manche Tätigkeiten müssen unabhängig oder abweichend von den allgemeinen Größenwerten geprüft werden.vertiefte Prüfung erforderlich
5. Gibt es Konzern- oder Lieferkettenbezug?Verbundene Unternehmen, zentrale IT-Strukturen und regulierte Kunden können die Bewertung verändern.direkte oder indirekte Betroffenheit möglich

Wenn Sie mehrere dieser Fragen mit „Ja“ oder „unklar“ beantworten, sollten Sie die Betroffenheit nicht nur grob schätzen, sondern dokumentiert prüfen lassen.

1. Welche Tätigkeit ist entscheidend?

Der häufigste Fehler bei der NIS2-Prüfung ist eine zu grobe Branchenlogik. Viele Unternehmen fragen nur: „Sind wir Energieversorger, Krankenhaus oder Telekommunikationsanbieter?“ Das greift zu kurz.

Entscheidend ist, welche konkrete Tätigkeit Ihr Unternehmen ausübt. Relevant kann zum Beispiel sein:

  • Herstellung bestimmter Produkte
  • Betrieb digitaler Infrastruktur
  • Erbringung von IT- oder Sicherheitsdiensten
  • Betrieb einer Plattform
  • Versorgung, Verarbeitung oder Transport in einem relevanten Sektor
  • zentrale IT-Leistungen innerhalb einer Unternehmensgruppe

Beispiel: Ein Maschinenbauunternehmen ist nicht automatisch betroffen, nur weil es Maschinen herstellt. Relevant wird die Prüfung aber, wenn es in eine erfasste Einrichtungsart fällt, die Größenwerte erreicht oder eine besondere Rolle in einer regulierten Lieferkette hat.

2. Welche Branchen und Sektoren sind relevant?

NIS2 erfasst Bereiche, die für Wirtschaft, Versorgung, Gesellschaft oder digitale Infrastruktur besonders wichtig sind. Für die Betroffenheitsprüfung sind insbesondere diese Bereiche relevant:

BereichTypische Beispiele
Versorgung und InfrastrukturEnergie, Verkehr, Wasser, Abwasser, Gesundheit
Finanzen und VerwaltungBankwesen, Finanzmarktinfrastrukturen, öffentliche Verwaltung
Digitale Infrastruktur und ITCloud, Rechenzentren, DNS, Telekommunikation, Managed Services, Managed Security Services
Produktion und VerarbeitungLebensmittel, Chemie, Medizinprodukte, Elektronik, Maschinenbau, Fahrzeugbau
Digitale DiensteOnline-Marktplätze, Suchmaschinen, soziale Netzwerke
Weitere BereichePost- und Kurierdienste, Abfallwirtschaft, Forschung, Weltraum

Diese Übersicht ersetzt keine Einzelfallprüfung. Sie zeigt aber, ob Ihr Unternehmen überhaupt in den relevanten Suchraum fällt.

3. Welche Schwellenwerte sind entscheidend?

Für viele Unternehmen sind Mitarbeitendenzahl, Jahresumsatz und Jahresbilanzsumme der erste Filter. Die Werte müssen aber immer zusammen mit Tätigkeit und Sektor betrachtet werden.

KategorieTypische OrientierungBeispielhafte Konstellation
Wichtige Einrichtunghäufig ab 50 Mitarbeitenden oder mehr als 10 Mio. Euro Umsatz und mehr als 10 Mio. Euro Bilanzsummemittelständischer IT-Dienstleister, Lebensmittelproduzent oder Maschinenbauer in einem relevanten Bereich
Besonders wichtige Einrichtunghäufig ab 250 Mitarbeitenden oder mehr als 50 Mio. Euro Umsatz und mehr als 43 Mio. Euro Bilanzsummegroßer Hersteller von Medizinprodukten, größerer Transportdienstleister, KRITIS-Betreiber
Sonderfallabhängig von der konkreten TätigkeitDNS-Diensteanbieter, TLD-Registry, qualifizierter Vertrauensdiensteanbieter, bestimmte Telekommunikationsanbieter

Wichtig: Ein Unternehmen mit 50 Mitarbeitenden ist nicht automatisch betroffen. Umgekehrt können kleinere Unternehmen in Sonderfällen trotzdem prüfpflichtig sein.

4. Welche Sonderfälle sollten Sie prüfen?

Eine reine Größenprüfung reicht insbesondere bei digitalen und technischen Diensten nicht aus. Genauer geprüft werden sollten Unternehmen, die eine dieser Rollen übernehmen:

  • Cloud-Computing-Diensteanbieter
  • Rechenzentrumsdiensteanbieter
  • Managed Service Provider
  • Managed Security Service Provider
  • DNS-Diensteanbieter
  • Betreiber von Content Delivery Networks
  • Anbieter öffentlich zugänglicher Telekommunikationsdienste
  • Betreiber öffentlicher Telekommunikationsnetze
  • qualifizierte Vertrauensdiensteanbieter
  • Anbieter von Online-Marktplätzen, Online-Suchmaschinen oder sozialen Netzwerken
  • zentrale IT-Gesellschaften in Unternehmensgruppen

Praxisbeispiel: Eine Unternehmensgruppe betreibt mehrere operative Gesellschaften. Eine eigene IT-Gesellschaft stellt zentrale Sicherheits-, Betriebs- und Supportleistungen bereit. Auch wenn diese Gesellschaft keine klassische KRITIS-Anlage betreibt, kann ihre Rolle für die NIS2-Prüfung entscheidend sein.

5. Was gilt bei Konzernen und verbundenen Unternehmen?

Bei Unternehmensgruppen ist die Prüfung oft schwieriger als bei Einzelgesellschaften. Relevant können unter anderem sein:

  • verbundene Unternehmen
  • Partnerunternehmen
  • zentrale IT-Systeme
  • gemeinsame Sicherheitsprozesse
  • konzernweite Dienstleistungen
  • wirtschaftliche und organisatorische Abhängigkeiten

Nicht jede Konzerngesellschaft ist automatisch betroffen. Aber eine einzelne Gesellschaft kann betroffen sein, obwohl die Gruppe nach außen anders wahrgenommen wird.

Leitfrage: Welche Gesellschaft erbringt den relevanten Dienst tatsächlich, betreibt die betroffenen Systeme oder trägt die operative Verantwortung?

Direkt oder indirekt betroffen?

Für die Praxis ist diese Unterscheidung wichtig:

Art der BetroffenheitBedeutungBeispiel
Direkt betroffenDas Unternehmen erfüllt selbst die gesetzlichen Voraussetzungen.IT-Dienstleister erreicht die Schwellenwerte und erbringt relevante Managed Services.
Indirekt betroffenDas Unternehmen fällt nicht selbst unter NIS2, muss aber Anforderungen von Kunden, Konzern oder Lieferkette erfüllen.Zulieferer eines regulierten Kunden muss Sicherheitsnachweise und Incident-Prozesse vertraglich zusichern.
Unklarer GrenzfallTätigkeit, Konzernstruktur oder Sonderrolle lassen keine sichere Einschätzung ohne vertiefte Prüfung zu.interne IT-Gesellschaft mit konzernweiten Services und gemischten Kundenstrukturen.

Gerade indirekte Betroffenheit wird häufig unterschätzt. Sie führt nicht automatisch zu einer BSI-Registrierungspflicht, kann aber wirtschaftlich und vertraglich sehr relevant sein.

Typische Ergebnisse des Betroffenheitschecks

Nach einer ersten Prüfung ergeben sich meist drei Kategorien:

1. Wahrscheinlich betroffen

Das ist naheliegend, wenn Ihr Unternehmen in einem relevanten Sektor tätig ist, die Größenwerte erreicht und eine konkrete Einrichtungsart zugeordnet werden kann. In diesem Fall sollten Einstufung, Pflichten und nächste Schritte zeitnah dokumentiert werden.

2. Vertieft zu prüfen

Das ist häufig der Fall bei Konzernen, Mischbetrieben, IT-Dienstleistern, Plattformen, digitalen Infrastrukturleistungen oder Unternehmen knapp unterhalb der Schwellenwerte. Hier reicht eine grobe Selbsteinschätzung oft nicht aus.

3. Wahrscheinlich nicht direkt betroffen

Das kann der Fall sein, wenn weder ein relevanter Sektor noch eine relevante Tätigkeit noch ein Sonderfall vorliegt. Auch dann ist eine kurze Dokumentation sinnvoll, damit die Entscheidung später nachvollziehbar bleibt.

NIS2-Beratung für Unternehmen

Sie möchten schnell wissen, ob Ihr Unternehmen betroffen ist?

Wir prüfen Branche, Größe, Konzernstruktur und konkrete Tätigkeit und geben Ihnen eine belastbare Ersteinschätzung.

Betroffenheitscheck anfragen Unverbindlich · Persönliche Ersteinschätzung

Checkliste: Bin ich von NIS2 betroffen?

Nutzen Sie diese Fragen für eine erste Vorprüfung:

  • Welche konkrete Tätigkeit erbringt unser Unternehmen?
  • Gehört diese Tätigkeit zu einem NIS2-relevanten Bereich?
  • Lässt sich eine konkrete Einrichtungsart zuordnen?
  • Hat das Unternehmen mindestens 50 Mitarbeitende?
  • Liegen Umsatz und Bilanzsumme jeweils über 10 Mio. Euro?
  • Hat das Unternehmen mindestens 250 Mitarbeitende?
  • Liegen Umsatz über 50 Mio. Euro und Bilanzsumme über 43 Mio. Euro?
  • Erbringen wir Cloud-, Rechenzentrums-, Managed-Service- oder Managed-Security-Leistungen?
  • Sind wir DNS-Diensteanbieter, TLD-Registry, Vertrauensdiensteanbieter oder Telekommunikationsanbieter?
  • Gehören wir zu einer Unternehmensgruppe?
  • Werden IT-Systeme oder Sicherheitsprozesse konzernweit betrieben?
  • Stellen Kunden aus regulierten Bereichen zusätzliche Sicherheitsanforderungen?
  • Ist unklar, ob wir direkt oder nur indirekt betroffen sind?

Wenn mehrere Antworten „Ja“ oder „unklar“ lauten, sollte die Betroffenheit vertieft geprüft werden.

Häufige Grenzfälle und Missverständnisse

Unser Kunde ist NIS2-pflichtig. Sind wir dadurch automatisch auch betroffen?

Nein. Ein NIS2-pflichtiger Kunde macht Sie nicht automatisch selbst zu einer betroffenen Einrichtung. Möglich ist aber eine indirekte Betroffenheit durch Vertragsanforderungen, Sicherheitsnachweise oder Meldepflichten gegenüber dem Kunden.

Wir sind eine interne IT-Gesellschaft. Kann NIS2 trotzdem relevant sein?

Ja. Gerade zentrale IT-Gesellschaften sollten prüfen, ob sie konzernweit Managed Services, Sicherheitsdienste, Rechenzentrumsleistungen oder andere relevante IKT-Dienste erbringen.

Wir liegen knapp unter den Schwellenwerten. Ist das Thema erledigt?

Nicht zwingend. Sonderfälle, Konzernstrukturen, verbundene Unternehmen oder besondere Tätigkeiten können trotzdem eine vertiefte Prüfung erforderlich machen.

Wir haben bereits ISO 27001. Reicht das für die Betroffenheitsprüfung?

Nein. ISO 27001 kann für die spätere Umsetzung hilfreich sein, beantwortet aber nicht automatisch die Frage, ob Ihr Unternehmen unter NIS2 fällt.

Wie muss sich mein Unternehmen beim BSI registrieren?

Betroffene Unternehmen müssen sich beim BSI registrieren. Die Registrierung ist keine freiwillige Formalität, sondern Teil der gesetzlichen Pflichten.

Wichtig ist: Unternehmen müssen ihre Betroffenheit selbst prüfen. Das BSI schreibt Unternehmen in der Regel nicht zuerst an. Wer betroffen ist, muss aktiv werden.

Die Registrierung muss spätestens drei Monate erfolgen, nachdem ein Unternehmen erstmals oder erneut NIS2-betroffen ist. Für Unternehmen, die bereits seit Inkrafttreten des NIS2-Umsetzungsgesetzes am 6. Dezember 2025 betroffen waren, ist die reguläre Registrierungsfrist am 6. März 2026 abgelaufen. Wer die Registrierung noch nicht vorgenommen hat, sollte die Prüfung und Registrierung unverzüglich nachholen und die internen Entscheidungswege dokumentieren.

Bei der Registrierung werden unter anderem Angaben zum Unternehmen, zur Einrichtungsart, zu relevanten Diensten und zu Kontaktpersonen benötigt. Diese Informationen sollten intern vorbereitet und aktuell gehalten werden.

Praxisempfehlung:
Legen Sie früh fest, wer für die Registrierung verantwortlich ist. Benennen Sie außerdem eine fachliche und eine organisatorische Kontaktperson. So vermeiden Sie Verzögerungen, wenn das BSI Nachfragen stellt oder ein Sicherheitsvorfall gemeldet werden muss.

Interner Link: Mehr dazu im Folgebeitrag: NIS2-Registrierung beim BSI: So melden Sie sich richtig an 

Was sollten Sie nach dem Betroffenheitscheck tun?

Der Betroffenheitscheck sollte mit einem klaren Ergebnis enden:

  • betroffen
  • wahrscheinlich nicht direkt betroffen
  • unklar / vertieft zu prüfen

Wenn Ihr Unternehmen betroffen oder wahrscheinlich betroffen ist, sollten Sie anschließend die konkrete Einstufung, BSI-Registrierung, Meldepflichten und Umsetzungsschritte prüfen.

Interne Links:

Die nächsten Schritte finden Sie im Hauptbeitrag NIS2 in Deutschland: Was Unternehmen jetzt wissen und umsetzen müssen  und in der NIS2-Checkliste: Diese Maßnahmen müssen Unternehmen jetzt umsetzen.

Wann ist rechtliche Beratung sinnvoll?

Rechtliche Beratung ist besonders sinnvoll, wenn die Betroffenheit nicht eindeutig ist oder wenn mehrere Gesellschaften, Länder, Tätigkeiten oder technische Rollen betroffen sein können.

Typische Fälle sind:

  • Konzernstrukturen und zentrale IT-Gesellschaften
  • Mischbetriebe mit mehreren Tätigkeiten
  • IT-Dienstleistungen für regulierte Kunden
  • Cloud-, Rechenzentrums-, Managed-Service- oder Managed-Security-Angebote
  • Unsicherheit über wichtige oder besonders wichtige Einrichtung
  • direkte und indirekte Betroffenheit in Lieferketten

Nächster Schritt: Betroffenheit sauber einordnen

Eine saubere NIS2-Betroffenheitsprüfung klärt, ob Ihr Unternehmen unter das BSIG fällt, welche Kategorie einschlägig ist und welche Pflichten als Nächstes relevant werden.

Wir prüfen für Sie:

  • Branche und konkrete Einrichtungsart
  • Schwellenwerte und Sonderregeln
  • Konzern- und Dienstleisterkonstellationen
  • direkte und indirekte Betroffenheit
  • Einstufung als wichtige oder besonders wichtige Einrichtung
  • dokumentierbares Ergebnis für Geschäftsleitung und Compliance

Interner Link: Praktische Umsetzung: NIS2-Checkliste: Diese Maßnahmen müssen Unternehmen jetzt umsetzen.

Was sollte die Geschäftsleitung jetzt entscheiden?

Die Geschäftsleitung sollte NIS2 nicht vollständig an die IT-Abteilung delegieren. Technische Umsetzung kann delegiert werden. Verantwortung, Steuerung und Kontrolle bleiben aber auf Leitungsebene.

Geschäftsführer und Vorstände sollten kurzfristig diese Fragen klären:

  • Ist unser Unternehmen NIS2-betroffen?
  • Wer verantwortet die Umsetzung intern?
  • Welche Risiken bestehen für Betrieb, Kunden, Daten und Lieferketten?
  • Welche Sicherheitsmaßnahmen fehlen noch?
  • Ist der Meldeprozess vorbereitet und getestet?
  • Sind Entscheidungen, Budgets und Restrisiken dokumentiert?
  • Wurde die Geschäftsleitung angemessen geschult?
  • Werden Dienstleister und Lieferanten ausreichend geprüft?

Der beste Zeitpunkt für diese Entscheidungen ist nicht erst nach einem Angriff oder einer Anfrage des BSI. Wer dann beginnt, arbeitet unter Zeitdruck und mit erhöhtem Haftungs- und Reputationsrisiko.

Was ist jetzt der nächste Schritt?

Der nächste Schritt ist eine belastbare NIS2-Betroffenheitsprüfung. Erst danach lässt sich sinnvoll entscheiden, welche Pflichten konkret gelten und welche Maßnahmen Priorität haben.

Wir unterstützen Sie bei:

  • Prüfung der NIS2-Betroffenheit
  • rechtlicher Einordnung als wichtige oder besonders wichtige Einrichtung
  • Gap-Analyse bestehender Sicherheitsmaßnahmen
  • Aufbau von Melde- und Notfallprozessen
  • Schulung der Geschäftsleitung
  • Vorbereitung der BSI-Registrierung
  • Dokumentation der Umsetzung
  • Priorisierung konkreter Sicherheitsmaßnahmen

NIS2-Beratung für Unternehmen

Machen Sie Ihr Unternehmen jetzt NIS2-konform

Klären Sie, ob Ihr Unternehmen betroffen ist, welche Pflichten gelten und welche Maßnahmen jetzt priorisiert werden sollten.

Kostenlose Erstberatung sichern Unverbindlich · Persönliche Ersteinschätzung