NIS-2 Betroffenheitsprüfung: Ist Ihr Unternehmen reguliert?

Die wichtigste Frage zuerst: Fällt Ihr Unternehmen unter NIS-2? Niemand wird Ihnen das sagen. Es gibt keine automatische Benachrichtigung, keinen Brief vom BSI, keine offizielle Mitteilung. Sie müssen es selbst herausfinden. Und wenn Sie falsch liegen, kann das teuer werden.

In Deutschland rechnet man mit rund 29.500 betroffenen Unternehmen. Das ist eine Verfünfzehnfachung gegenüber der alten KRITIS-Regelung. Die Wahrscheinlichkeit, dass Sie dabei sind, ist also deutlich höher, als viele denken.

Wie die Prüfung funktioniert

Im Kern ist es gar nicht so kompliziert. Zwei Fragen entscheiden: In welchem Sektor sind Sie tätig? Und wie groß ist Ihr Unternehmen?

Wenn beides zusammenpasst – regulierter Sektor plus ausreichende Größe – sind Sie drin. Es gibt ein paar Sonderregeln, die manche Unternehmen unabhängig von der Größe erfassen, aber dazu später mehr.

Die Sektoren: Wo NIS-2 gilt

Die Richtlinie unterscheidet zwischen “Sektoren mit hoher Kritikalität” und “sonstigen kritischen Sektoren”. Der Unterschied klingt akademisch, hat aber praktische Auswirkungen auf die Einstufung als “wichtige” oder “besonders wichtige” Einrichtung.

Sektoren mit hoher Kritikalität umfassen: Energie in allen Formen (Strom, Gas, Öl, Wasserstoff, Fernwärme), Verkehr (Luft, Schiene, Wasser, Straße), Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten (das sind die Managed Service Provider), öffentliche Verwaltung und Weltraum.

Sonstige kritische Sektoren sind: Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, bestimmte Bereiche des verarbeitenden Gewerbes (Medizinprodukte, Elektronik, elektrische Ausrüstungen, Maschinenbau, Fahrzeugbau), Anbieter digitaler Dienste und Forschung.

Hier wird es interessant: “Verarbeitendes Gewerbe” klingt erst mal nach allem, ist aber spezifisch definiert. Nicht jede Fabrik ist betroffen, sondern nur bestimmte Branchen. Wenn Sie Küchenmöbel herstellen, sind Sie wahrscheinlich draußen. Wenn Sie medizinische Geräte produzieren, sind Sie drin.

Die Größe: Die Size-Cap-Regel

Angenommen, Ihr Sektor ist dabei. Jetzt kommt die Größenfrage.

Als wichtige Einrichtung gelten Sie ab 50 Mitarbeitenden. Oder – und das ist ein Oder, nicht ein Und – wenn Sie mindestens 10 Millionen Euro Jahresumsatz und mindestens 10 Millionen Euro Bilanzsumme haben.

Als besonders wichtige Einrichtung gelten Sie ab 250 Mitarbeitenden. Oder bei mindestens 50 Millionen Euro Umsatz plus 43 Millionen Euro Bilanzsumme.

Der Unterschied zwischen “wichtig” und “besonders wichtig” ist relevant für Bußgelder und Aufsichtsintensität, aber die grundlegenden Pflichten sind für beide gleich. Registrierung, Meldepflichten, Risikomanagement – das gilt für alle.

Die Konzernfalle

Hier machen viele einen Fehler. Wenn Ihr Unternehmen zu einem Konzern gehört, werden die Zahlen konsolidiert betrachtet.

Eine deutsche Tochter mit 30 Mitarbeitenden, die zu einem internationalen Konzern mit 10.000 Mitarbeitenden gehört, ist keine “kleine Einrichtung”. Die Konzernzugehörigkeit zählt. Das gilt auch für ausländische Muttergesellschaften.

Prüfen Sie also nicht nur Ihre eigenen Zahlen, sondern auch die Konzernstruktur. Das wird gerne übersehen, besonders bei mittelständischen Unternehmen, die irgendwann von einem größeren Konzern übernommen wurden.

Sonderregeln: Größe egal

Manche Einrichtungen sind unabhängig von ihrer Größe betroffen. Das gilt für Vertrauensdiensteanbieter (qualifizierte und nicht-qualifizierte), DNS-Diensteanbieter, TLD-Namensregistrierungsstellen und Betreiber öffentlicher Kommunikationsnetze.

Wenn Sie in einem dieser Bereiche tätig sind, spielt es keine Rolle, ob Sie fünf Mitarbeitende haben oder fünfhundert. Sie sind dabei.

Die indirekte Betroffenheit

Selbst wenn Ihr Unternehmen formal nicht unter NIS-2 fällt, können Sie indirekt betroffen sein. Große Kunden, die NIS-2 erfüllen müssen, werden ihre Lieferanten genauer unter die Lupe nehmen. Lieferkettensicherheit ist eine der zehn Mindestmaßnahmen.

In der Praxis heißt das: Wenn Sie für ein betroffenes Unternehmen arbeiten, werden früher oder später Fragen kommen. Wie ist Ihre Sicherheitslage? Haben Sie einen Notfallplan? Wie schützen Sie unsere Daten?

Das ist keine Theorie. Das passiert bereits.

Typische Fehleinschätzungen

“Wir sind zu klein.” Vielleicht, vielleicht nicht. 50 Mitarbeitende ist keine hohe Schwelle. Und die Konzernbetrachtung wird oft vergessen.

“Wir sind kein KRITIS.” NIS-2 ist nicht KRITIS. Der Anwendungsbereich ist viel breiter. Ein IT-Dienstleister mit 80 Mitarbeitenden, der für Unternehmen im Gesundheitssektor arbeitet, kann betroffen sein, ohne selbst KRITIS zu sein.

“Wir sind nur ein kleiner Zulieferer.” Siehe indirekte Betroffenheit. Auch wenn Sie formal nicht reguliert sind, können die Anforderungen trotzdem zu Ihnen kommen.

“Wir machen nur [XY], das ist doch nicht kritisch.” Die Sektordefinitionen sind breiter, als viele denken. “Lebensmittel” umfasst nicht nur Fleischproduzenten, sondern auch Großhändler und industrielle Verarbeiter.

Was tun bei Unsicherheit?

Wenn Sie nach der Prüfung nicht sicher sind: Dokumentieren Sie zumindest, dass Sie geprüft haben. Schreiben Sie auf, wie Sie zu Ihrem Ergebnis gekommen sind. Falls das BSI später nachfragt, können Sie zeigen, dass Sie sich mit dem Thema befasst haben.

Bei echten Grenzfällen kann es sinnvoll sein, rechtliche Beratung einzuholen. Das kostet Geld, aber weniger als ein Bußgeld wegen unterlassener Registrierung.

Im Zweifel gilt: Lieber annehmen, dass Sie betroffen sind, und entsprechend handeln. Die Maßnahmen, die NIS-2 fordert, sind für jedes Unternehmen sinnvoll, auch ohne gesetzliche Pflicht. Sie verlieren nichts, wenn Sie Ihre Sicherheit verbessern.

Die nächsten Schritte

Wenn die Prüfung ergibt, dass Sie betroffen sind, wird es konkret.

Erstens: Klären Sie, ob Sie als wichtige oder besonders wichtige Einrichtung gelten. Das bestimmt Ihre Kategorie und damit das Aufsichtsregime.

Zweitens: Benennen Sie eine verantwortliche Person. Jemand muss das Thema koordinieren, Fristen im Blick behalten, die Geschäftsleitung informieren.

Drittens: Machen Sie eine Gap-Analyse. Was fordert NIS-2? Was haben Sie davon schon? Was fehlt?

Viertens: Bereiten Sie die BSI-Registrierung vor. Das Portal ist seit dem 6. Januar 2026 aktiv. Legen Sie einen Account an, sammeln Sie die nötigen Informationen.

Fünftens: Erstellen Sie einen Maßnahmenplan. Was muss passieren, bis wann, wer ist verantwortlich, was kostet es?

Das NIS2UmsuCG ist seit dem 6. Dezember 2025 in Kraft. Es gibt keine Übergangsfrist. Wer betroffen ist und noch nicht handelt, riskiert Bußgelder und – nicht zu vergessen – die persönliche Haftung der Geschäftsleitung.

Die Zeit für Abwarten ist vorbei.