Zum Inhalt springen
Achtung: Phishing-E-Mails im Namen von DomainProvider.de seit dem 04.07.2026 im Umlauf – bitte keine Links anklicken und keine Daten eingeben. Mehr erfahren

NIS-2-Betroffenheitsprüfung

Zuletzt aktualisiert: 02.06.2025Autor: Redaktion DomainProvider.de · Lesezeit: 4 Min.

Die NIS-2-Betroffenheitsprüfung ist ein Verfahren, mit dem Unternehmen feststellen können, ob sie unter die Pflichten der europäischen NIS-2-Richtlinie und des deutschen NIS-2-Umsetzungsgesetzes (NIS2UmsuCG) fallen. Seit dem Inkrafttreten des Gesetzes am 6. Dezember 2025 gelten für rund 29.500 Unternehmen in Deutschland unmittelbare Pflichten im Bereich der Cybersicherheit – ohne Übergangsfrist. Eine sorgfältige Betroffenheitsprüfung ist daher der erste notwendige Schritt für jedes Unternehmen, das in einem der regulierten Sektoren tätig ist.

Welche Kriterien bestimmen die NIS-2-Betroffenheit?

Ob ein Unternehmen unter die NIS-2-Regulierung fällt, wird anhand von zwei zentralen Faktoren ermittelt: der Branchenzugehörigkeit und der Unternehmensgröße.

Branchenkriterium: Das Gesetz definiert 18 regulierte Sektoren. Dazu gehören unter anderem Energie, Transport und Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser- und Abwasserversorgung, digitale Infrastruktur, Verwaltung von IKT-Diensten, öffentliche Verwaltung, Weltraum, Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste und Forschung.

Größenkriterium (Size-Cap-Regel): Grundsätzlich sind Unternehmen betroffen, die mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz von mehr als 10 Millionen Euro erzielen und in einem der genannten Sektoren tätig sind.

Was ist der Unterschied zwischen besonders wichtigen und wichtigen Einrichtungen?

Das NIS-2-Umsetzungsgesetz unterscheidet zwei Kategorien betroffener Unternehmen mit unterschiedlichen Pflichten und Sanktionsrahmen:

  • Besonders wichtige Einrichtungen: Unternehmen in Sektoren mit hoher Kritikalität, die mindestens 250 Mitarbeiter beschäftigen oder einen Jahresumsatz von über 50 Millionen Euro bei gleichzeitig mehr als 43 Millionen Euro Bilanzsumme aufweisen. Für diese gelten verschärfte Aufsichtsmaßnahmen und Bußgelder von bis zu 10 Millionen Euro.
  • Wichtige Einrichtungen: Alle übrigen Unternehmen, die die Grundschwelle überschreiten. Auch für sie gelten umfangreiche Sicherheitspflichten, jedoch mit etwas geringerem Sanktionsrahmen.

Bestimmte Einrichtungen – etwa Betreiber kritischer Infrastrukturen oder qualifizierte Vertrauensdiensteanbieter – fallen unabhängig von ihrer Größe automatisch in den Anwendungsbereich.

Wie läuft die Betroffenheitsprüfung praktisch ab?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt ein offizielles Online-Tool zur NIS-2-Betroffenheitsprüfung bereit. Unternehmen beantworten dort Fragen zu ihrer Branche, Unternehmensgröße und Tätigkeit und erhalten eine erste Einschätzung, ob und in welcher Kategorie sie betroffen sind.

Die Prüfung sollte folgende Schritte umfassen:

  1. Branche identifizieren: Prüfen Sie, ob Ihre Haupttätigkeit oder wesentliche Geschäftsbereiche einem der 18 regulierten Sektoren zuzuordnen sind.
  2. Unternehmensgröße ermitteln: Stellen Sie Mitarbeiterzahl, Jahresumsatz und Bilanzsumme fest.
  3. Kategorie bestimmen: Ordnen Sie Ihr Unternehmen als besonders wichtige oder wichtige Einrichtung ein.
  4. Sonderfälle prüfen: Bestimmte Unternehmen fallen größenunabhängig in den Anwendungsbereich, etwa Anbieter von DNS-Diensten, Cloud-Computing, Rechenzentren oder Telekommunikationsnetzen.

Welche Pflichten entstehen bei Betroffenheit?

Betroffene Unternehmen müssen umfassende Sicherheitsmaßnahmen umsetzen. Dazu gehören ein systematisches Risikomanagement, technische und organisatorische Schutzmaßnahmen, Meldepflichten bei Sicherheitsvorfällen sowie Schulungen der Geschäftsleitung. Die fünf zentralen Vorschriften sind in den Paragraphen 28 (Betroffenheit), 30 (Risikomanagement), 32 (Meldepflichten), 38 (Geschäftsleitungspflichten) und 65 (Bußgelder) des BSIG geregelt.

Betroffene Einrichtungen mussten sich bis zum 6. März 2026 über das Melde- und Unterrichtungsportal des BSI registrieren. Für Unternehmen, die digitale Infrastruktur betreiben – etwa Server, VPS, DNS-Dienste oder Hosting-Plattformen – sind die NIS-2-Anforderungen besonders relevant, da diese Bereiche zum Sektor digitale Infrastruktur zählen.

Ausführliche Informationen zu den konkreten Umsetzungsanforderungen finden Sie in unserem Lexikon-Eintrag zur NIS2-Compliance.

Warum sollte jedes Unternehmen eine Betroffenheitsprüfung durchführen?

Da keine Übergangsfrist gilt und Verstöße mit erheblichen Bußgeldern geahndet werden können, ist die frühzeitige Prüfung der eigenen Betroffenheit unverzichtbar. Auch Unternehmen, die sich auf den ersten Blick nicht in einem der genannten Sektoren sehen, sollten die Prüfung vornehmen: Die Sektordefinitionen sind teilweise weit gefasst, und Zulieferer kritischer Einrichtungen können über vertragliche Anforderungen ebenfalls betroffen sein.

Die Betroffenheitsprüfung des BSI ist kostenfrei und online verfügbar. Sie liefert eine erste Orientierung und hilft, den eigenen Handlungsbedarf frühzeitig einzuschätzen.