Einführungspreis endet in
--T--Std--Minoder erste 20 Plätze
Jetzt sichern →
← Zur Glossar-Übersicht

Glossar

Betroffenheitsprüfung — Definition und Bedeutung für die Cybersicherheit

Was bedeutet Betroffenheitsprüfung? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.

Veröffentlicht: 23. März 2026Letzte Aktualisierung: 23. März 20264 Min. Lesezeit

Kurzdefinition

Betroffenheitsprüfung ist die systematische Prüfung, ob ein Unternehmen nach NIS2 und der deutschen Umsetzung in den Anwendungsbereich der Cybersicherheitsregeln fällt.

Primaerquelle

Art. 2 und Art. 3 Richtlinie (EU) 2022/2555, Anhang I und II, § 28 BSIG

Rechtsgrundlage ansehen

Betroffenheitsprüfung — Definition und Bedeutung für die Cybersicherheit

Betroffenheitsprüfung ist die systematische Prüfung, ob ein Unternehmen in den Anwendungsbereich der NIS2-Regeln fällt. Maßgeblich sind Sektorzugehörigkeit, Unternehmensgröße und einzelne Sonderfälle, die unabhängig von Mitarbeitendenzahl oder Umsatz reguliert sind.

Letzte Aktualisierung: 23. März 2026

Definition

Im Rahmen der NIS2-Richtlinie ist Betroffenheitsprüfung relevant, weil Unternehmen ihre Registrierungs-, Sicherheits- und Meldepflichten nur mit sauberer Einordnung korrekt umsetzen können. Die Rechtsgrundlage beginnt auf EU-Ebene bei Art. 2 der Richtlinie (EU) 2022/2555, der den Anwendungsbereich festlegt, und bei Art. 3, der zwischen wesentlichen und wichtigen Einrichtungen unterscheidet.

Für die Praxis heißt Betroffenheitsprüfung: Sie prüfen erstens, ob Ihre Tätigkeit einem Sektor aus Anhang I oder Anhang II der NIS2-Richtlinie zugeordnet ist. Zweitens prüfen Sie, ob Ihr Unternehmen mindestens 50 Mitarbeitende beschäftigt oder mehr als 10 Millionen Euro Jahresumsatz beziehungsweise Jahresbilanzsumme erreicht. Drittens prüfen Sie Sonderfälle, etwa DNS-Dienstleister, TLD-Registries, Vertrauensdiensteanbieter oder Betreiber kritischer Anlagen, für die die Betroffenheit unabhängig von klassischen KMU-Schwellen greifen kann.

Relevanz für NIS2

Betroffenheitsprüfung ist für NIS2-betroffene Unternehmen wichtig, weil von ihr die gesamte Compliance-Kette abhängt. Wer die eigene Betroffenheit früh sauber bewertet, kann Registrierung, Risikomanagement, Verantwortungszuweisung und Vorfallprozesse geordnet aufbauen.

Die EU-Systematik folgt dabei einer Logik:

  • Art. 2 NIS2 definiert, dass die Richtlinie für öffentliche und private Einrichtungen der in Anhang I und Anhang II genannten Arten gilt.
  • Art. 3 NIS2 ordnet betroffene Einrichtungen als wesentliche Einrichtung oder wichtige Einrichtung ein.
  • Anhang I enthält Sektoren mit hoher Kritikalität, etwa Energie, Verkehr, Gesundheit oder digitale Infrastruktur.
  • Anhang II enthält weitere kritische Sektoren, etwa Post, Abfallwirtschaft, Chemie, Lebensmittel oder bestimmte Hersteller.

In Deutschland konkretisiert heute § 28 BSIG diese Einordnung. Das BSI erläutert dazu, dass betroffene Unternehmen typischerweise einem Sektor aus Anlage 1 oder 2 angehören und zugleich die Größenschwellen erfüllen müssen. Für eine erste Einordnung stellt das BSI die offizielle Betroffenheitsprüfung bereit.

Wenn Sie die Begriffe und Kategorien vertiefen möchten, hilft zuerst der Überblick zur NIS2-Richtlinie, danach die Hub-Seite zur NIS2-Richtlinie in Deutschland und schließlich der organisatorische Rahmen von Compliance.

Typische Prüffragen

Betroffenheitsprüfung wird in der Praxis meist über wenige Kernfragen entschieden:

  1. Erbringt Ihr Unternehmen Leistungen in einem Sektor aus Anhang I oder II?
  2. Erreichen Sie mindestens 50 Mitarbeitende oder mehr als 10 Millionen Euro Jahresumsatz beziehungsweise Jahresbilanzsumme?
  3. Liegt ein Sonderfall vor, bei dem die Betroffenheit unabhängig von der Größe greift?
  4. Ist die einschlägige Tätigkeit nur eine vernachlässigbare Nebentätigkeit oder ein wesentlicher Teil Ihres Geschäftsmodells?

Gerade mittelständische Unternehmen scheitern häufig an der sektoralen Einordnung. Deshalb ist die Betroffenheitsprüfung eine strategische Vorfrage für Cybersicherheit, Governance und Ressourcenplanung.

Praxisbeispiel

Ein deutsches Unternehmen betreibt ein Rechenzentrum in Nordrhein-Westfalen, beschäftigt 42 Mitarbeitende und erzielt 8 Millionen Euro Jahresumsatz. Nach klassischer KMU-Logik könnte die Geschäftsführung meinen, unterhalb der Schwellenwerte zu liegen. Die Betroffenheitsprüfung fällt hier aber trotzdem streng aus, weil digitale Infrastruktur unter NIS2 besonders sensibel behandelt wird und bestimmte Dienste unabhängig von der Größe erfasst sein können.

Ein anderes Beispiel ist ein Lebensmittelhersteller in Bayern mit 180 Mitarbeitenden und 24 Millionen Euro Umsatz. Hier spricht die Kombination aus Sektorzugehörigkeit und Unternehmensgröße für eine NIS2-Betroffenheit. Das Unternehmen sollte deshalb früh prüfen, ob es als wichtige oder wesentliche Einrichtung einzuordnen ist und welche Mindestmaßnahmen für Risikoanalyse, Lieferkettensicherheit, Vorfallmanagement und Schulung zu dokumentieren sind.

Verwandte Begriffe

Häufig gestellte Fragen (FAQ)

Was ist Betroffenheitsprüfung?

Betroffenheitsprüfung ist die strukturierte Prüfung, ob ein Unternehmen wegen Sektor, Größe oder Sonderstatus unter NIS2 und die deutsche Umsetzung fällt. Sie ist damit der Ausgangspunkt für Registrierung, Cybersicherheitsmaßnahmen und Meldepflichten.

Welche Rolle spielt Betroffenheitsprüfung unter NIS2?

Betroffenheitsprüfung entscheidet darüber, ob ein Unternehmen als wesentliche oder wichtige Einrichtung behandelt wird. Davon hängen Aufsicht, Risikomanagement, Nachweispflichten und Meldeprozesse unmittelbar ab.

Gilt NIS2 immer erst ab 50 Mitarbeitenden?

Nein. Die Schwelle von 50 Mitarbeitenden oder 10 Millionen Euro Umsatz ist der Regelfall, aber nicht die einzige Konstellation. Bestimmte digitale und vertrauensbezogene Dienste können unabhängig von der Unternehmensgröße in den Anwendungsbereich fallen.

Betroffenheitsprüfung sollte deshalb nicht erst kurz vor einer BSI-Registrierung beginnen. Wenn Sie NIS2-Pflichten und Schulungsbedarf einordnen wollen, ist die NIS2-Schulung der sinnvolle nächste Schritt.

Nächster Schritt

Begriffe einordnen ist der Anfang. Umsetzung und Nachweis entscheiden im Unternehmen.

Wenn Sie KI-Kompetenz, Rollen, rote Linien und Schulungsnachweis nicht nur nachschlagen, sondern sauber ausrollen wollen, ist der Kurs der direkte nächste Schritt. Für typische Rückfragen zu Umfang, Nachweis und Team-Rollout steht zusätzlich die FAQ-Seite bereit.

Zur KursübersichtFAQ ansehen