NIS2-Autopilot
Start/Blog/NIS2-Betroffenheit prüfen — Ist Ihr Unternehmen betroffen?
NIS2BetroffenheitSektorenCompliance

NIS2-Betroffenheit prüfen — Ist Ihr Unternehmen betroffen?

NIS2-Autopilot Team17. April 20263 Min. Lesezeit

Was ist NIS2?

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist eine EU-Richtlinie, die in Deutschland durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht umgesetzt wird. Sie verpflichtet Unternehmen bestimmter Sektoren, konkrete Maßnahmen zur Cybersicherheit einzuführen, Sicherheitsvorfälle zu melden und Verantwortliche zu benennen.

Das Besondere: Erstmals haftet auch die Geschäftsführung persönlich — nicht nur das Unternehmen als juristische Person.

Die 18 betroffenen Sektoren

NIS2 unterscheidet zwischen Sektoren mit hoher Kritikalität (Anhang I) und sonstigen kritischen Sektoren (Anhang II).

Anhang I — Sektoren mit hoher Kritikalität:

  • Energie (Strom, Gas, Öl, Fernwärme, Wasserstoff)
  • Verkehr (Luftfahrt, Schiene, Wasserfahrt, Straße)
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen (Krankenhäuser, Labore, Forschung, Pharma)
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur (Cloud-Anbieter, Rechenzentren, DNS, TLD, Internet-Knoten)
  • ICT-Dienstleistungsmanagement (B2B-IT-Dienstleister)
  • Öffentliche Verwaltung
  • Weltraum

Anhang II — Sonstige kritische Sektoren:

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Chemie (Herstellung, Handel)
  • Lebensmittel (Produktion, Verarbeitung, Vertrieb)
  • Verarbeitendes Gewerbe / Herstellung (Medizinprodukte, Elektronik, Maschinenbau, Kraftfahrzeuge)
  • Digitale Anbieter (Suchmaschinen, soziale Netzwerke, Online-Marktplätze)
  • Forschungseinrichtungen

Wenn Ihr Unternehmen in keinem dieser Sektoren tätig ist, sind Sie von NIS2 in der Regel nicht direkt betroffen — können aber als Zulieferer indirekt in die Pflicht genommen werden.

Die Size-Cap-Regel: Wer ist groß genug?

NIS2 gilt grundsätzlich nur ab einer bestimmten Unternehmensgröße. Maßgeblich sind zwei Schwellenwerte — es genügt, wenn einer davon überschritten ist:

  • Mindestens 50 Mitarbeiter (Vollzeitäquivalente), oder
  • Mindestens 10 Millionen Euro Jahresumsatz (und Bilanzsumme in vergleichbarer Höhe)

Unternehmen, die beide Schwellenwerte unterschreiten, fallen in der Regel nicht unter NIS2 — außer es greift einer der Sonderfälle (siehe unten).

Wichtig: Die Mitarbeiterzahl umfasst alle Beschäftigten, nicht nur Vollzeitstellen. Teilzeitkräfte werden anteilig berechnet.

Besonders wichtige vs. wichtige Einrichtungen

Innerhalb der betroffenen Unternehmen unterscheidet das Gesetz zwei Kategorien mit unterschiedlichen Anforderungen und Bußgeldrahmen:

Besonders wichtige Einrichtungen (BWE):

  • Unternehmen aus Anhang I mit mindestens 250 Mitarbeitern oder mindestens 50 Millionen Euro Jahresumsatz
  • Unterliegen proaktiver Aufsicht durch das BSI
  • Höhere Bußgelder: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes

Wichtige Einrichtungen (WE):

  • Alle anderen betroffenen Unternehmen (mittelgroße Unternehmen aus Anhang I sowie alle Anhang-II-Unternehmen)
  • Reaktive Aufsicht — das BSI prüft erst bei konkreten Hinweisen auf Verstöße
  • Bußgelder: bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes

Die Konzernklausel: Vorsicht bei Unternehmensgruppen

Für die Size-Cap-Prüfung werden verbundene Unternehmen im Sinne der EU-KMU-Definition zusammengerechnet. Eine Tochtergesellschaft mit eigenem 30-köpfigen Team kann trotzdem betroffen sein, wenn die Unternehmensgruppe insgesamt mehr als 50 Mitarbeiter beschäftigt.

Tochtergesellschaften von Großkonzernen sind daher fast unabhängig von ihrer eigenen Größe betroffen.

Sonderfälle: Automatisch betroffen ohne Größenprüfung

  • Alleinige Anbieter einer für einen EU-Mitgliedstaat systemrelevanten Dienstleistung
  • Kritische Infrastruktur nach dem KRITIS-Dachgesetz
  • Qualifizierte Vertrauensdiensteanbieter
  • Top-Level-Domain-Registrierungsstellen und DNS-Anbieter
  • Betreiber öffentlicher elektronischer Kommunikationsnetze
  • Einrichtungen der öffentlichen Verwaltung auf Bundes- und Länderebene

Selbstcheck: Drei Fragen zur schnellen Orientierung

Frage 1: Ist mein Unternehmen in einem der 18 Sektoren tätig — direkt oder als relevanter Zulieferer?

Frage 2: Beschäftige ich mindestens 50 Mitarbeiter oder erziele ich mindestens 10 Millionen Euro Jahresumsatz (unter Berücksichtigung der Konzernzurechnung)?

Frage 3: Greift einer der Sonderfälle, der eine Betroffenheit unabhängig von der Größe begründet?

Wenn Sie mindestens eine Frage mit Ja beantwortet haben, sollten Sie Ihre Betroffenheit sorgfältig prüfen.

Jetzt kostenlos prüfen ob Sie betroffen sind

Der Betroffenheitscheck führt Sie in wenigen Minuten durch alle relevanten Fragen — ohne Registrierung.

Betroffenheitscheck starten
Alle Artikel