Achtung: Phishing-E-Mails im Namen von DomainProvider.de seit dem 04.07.2026 im Umlauf – bitte keine Links anklicken und keine Daten eingeben. Mehr erfahren
Die NIS-2-Betroffenheitsprüfung ist ein Verfahren, mit dem Unternehmen feststellen können, ob sie unter die Pflichten der europäischen NIS-2-Richtlinie und des deutschen NIS-2-Umsetzungsgesetzes (NIS2UmsuCG) fallen. Seit dem Inkrafttreten des Gesetzes am 6. Dezember 2025 gelten für rund 29.500 Unternehmen in Deutschland unmittelbare Pflichten im Bereich der Cybersicherheit – ohne Übergangsfrist. Eine sorgfältige Betroffenheitsprüfung ist daher der erste notwendige Schritt für jedes Unternehmen, das in einem der regulierten Sektoren tätig ist.
Ob ein Unternehmen unter die NIS-2-Regulierung fällt, wird anhand von zwei zentralen Faktoren ermittelt: der Branchenzugehörigkeit und der Unternehmensgröße.
Branchenkriterium: Das Gesetz definiert 18 regulierte Sektoren. Dazu gehören unter anderem Energie, Transport und Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser- und Abwasserversorgung, digitale Infrastruktur, Verwaltung von IKT-Diensten, öffentliche Verwaltung, Weltraum, Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste und Forschung.
Größenkriterium (Size-Cap-Regel): Grundsätzlich sind Unternehmen betroffen, die mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz von mehr als 10 Millionen Euro erzielen und in einem der genannten Sektoren tätig sind.
Das NIS-2-Umsetzungsgesetz unterscheidet zwei Kategorien betroffener Unternehmen mit unterschiedlichen Pflichten und Sanktionsrahmen:
Bestimmte Einrichtungen – etwa Betreiber kritischer Infrastrukturen oder qualifizierte Vertrauensdiensteanbieter – fallen unabhängig von ihrer Größe automatisch in den Anwendungsbereich.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt ein offizielles Online-Tool zur NIS-2-Betroffenheitsprüfung bereit. Unternehmen beantworten dort Fragen zu ihrer Branche, Unternehmensgröße und Tätigkeit und erhalten eine erste Einschätzung, ob und in welcher Kategorie sie betroffen sind.
Die Prüfung sollte folgende Schritte umfassen:
Betroffene Unternehmen müssen umfassende Sicherheitsmaßnahmen umsetzen. Dazu gehören ein systematisches Risikomanagement, technische und organisatorische Schutzmaßnahmen, Meldepflichten bei Sicherheitsvorfällen sowie Schulungen der Geschäftsleitung. Die fünf zentralen Vorschriften sind in den Paragraphen 28 (Betroffenheit), 30 (Risikomanagement), 32 (Meldepflichten), 38 (Geschäftsleitungspflichten) und 65 (Bußgelder) des BSIG geregelt.
Betroffene Einrichtungen mussten sich bis zum 6. März 2026 über das Melde- und Unterrichtungsportal des BSI registrieren. Für Unternehmen, die digitale Infrastruktur betreiben – etwa Server, VPS, DNS-Dienste oder Hosting-Plattformen – sind die NIS-2-Anforderungen besonders relevant, da diese Bereiche zum Sektor digitale Infrastruktur zählen.
Ausführliche Informationen zu den konkreten Umsetzungsanforderungen finden Sie in unserem Lexikon-Eintrag zur NIS2-Compliance.
Da keine Übergangsfrist gilt und Verstöße mit erheblichen Bußgeldern geahndet werden können, ist die frühzeitige Prüfung der eigenen Betroffenheit unverzichtbar. Auch Unternehmen, die sich auf den ersten Blick nicht in einem der genannten Sektoren sehen, sollten die Prüfung vornehmen: Die Sektordefinitionen sind teilweise weit gefasst, und Zulieferer kritischer Einrichtungen können über vertragliche Anforderungen ebenfalls betroffen sein.
Die Betroffenheitsprüfung des BSI ist kostenfrei und online verfügbar. Sie liefert eine erste Orientierung und hilft, den eigenen Handlungsbedarf frühzeitig einzuschätzen.
Die bereitgestellten Informationen dienen ausschließlich der allgemeinen Orientierung. Für Richtigkeit, Vollständigkeit und Aktualität wird keine Gewähr übernommen. Die Inhalte sind nicht rechtsverbindlich und nicht Bestandteil einer Leistungsbeschreibung.