Kostenloses NIS2-Tool
NIS2 betroffen ist ein Unternehmen meist dann, wenn es in einem der 18 NIS2-Sektoren tätig ist und mindestens die Schwelle von 50 Mitarbeitenden, 10 Mio. EUR Umsatz oder 10 Mio. EUR Bilanzsumme erreicht oder in einen Sonderfall fällt. Dieser Check liefert in rund 2 Minuten eine strukturierte Ersteinschätzung.
Der NIS2-Betroffenheitscheck ist eine Ersteinschätzung und ersetzt keine Rechtsberatung. Die endgültige Einstufung nimmt das BSI vor. Wenn Sie die Rechtsgrundlagen zuerst im Detail einordnen möchten, finden Sie die Übersicht unter /nis2-richtlinie-deutschland/.
Wählen Sie den Sektor aus, der Ihre Haupttätigkeit am besten beschreibt. Grundlage sind die 18 NIS2-Sektoren aus Anhang I und II der Richtlinie (EU) 2022/2555.
NIS2 betroffen ist ein Unternehmen typischerweise dann, wenn es in einem der 18 Sektoren aus Anhang I oder II der Richtlinie (EU) 2022/2555 tätig ist und mindestens eine relevante Größenordnung erreicht. Für diesen Check heißt das praktisch: 50 oder mehr Mitarbeitende, mindestens 10 Mio. EUR Jahresumsatz oder mindestens 10 Mio. EUR Bilanzsumme sprechen für eine Einstufung als wichtige Einrichtung. In hochkritischen Sektoren aus Anhang I kann bei Großunternehmen mit 250 oder mehr Mitarbeitenden, mehr als 50 Mio. EUR Umsatz oder mehr als 43 Mio. EUR Bilanzsumme die Kategorie besonders wichtige Einrichtung einschlägig werden.
NIS2 betroffen kann ein Unternehmen aber auch unterhalb dieser Schwellen sein. Das gilt insbesondere bei Sonderfällen wie Vertrauensdiensten, DNS-Diensten, TLD-Registern oder öffentlichen Kommunikationsnetzen. Ebenso relevant ist der Fall, dass ein Unternehmen der einzige Anbieter eines kritischen Dienstes in einem Mitgliedstaat ist. Genau deshalb reicht eine rein größenbasierte Prüfung nicht aus.
Seit dem 6. Dezember 2025 läuft die deutsche NIS2-Umsetzung faktisch nicht mehr als abstraktes Zukunftsthema, sondern als operative Governance-Frage. Wer heute prüft, ob das eigene Unternehmen betroffen ist, schafft die Grundlage für Scope, Rollen, Meldewege, Lieferkettenanforderungen und Schulungsnachweise. Für den strategischen Überblick sollten Sie parallel die Seiten /nis2-compliance/ und /nis2-fuer-unternehmen/ heranziehen.
NIS2 Betroffenheit prüfen heißt zuerst, den richtigen Sektor zu identifizieren. Die Richtlinie (EU) 2022/2555 arbeitet nicht mit allgemeinen Schlagworten wie „kritisches Unternehmen“, sondern mit konkreten Sektoren in Anhang I und II. Zu den hochkritischen Sektoren aus Anhang I zählen Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, ICT-Dienstleistungsmanagement, öffentliche Verwaltung und Weltraum. Zu den kritischen Sektoren aus Anhang II zählen Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste und Forschung.
NIS2 welche Unternehmen konkret erfasst, ergibt sich danach aus der Kombination von Sektor und Größe. Für den Mittelstand besonders relevant ist die mittlere Schwelle: 50 oder mehr Mitarbeitende, 10 Mio. EUR Umsatz oder 10 Mio. EUR Bilanzsumme. In vielen Praxisfällen ist genau diese Zone entscheidend, weil Unternehmen hier zum ersten Mal mit formalen Anforderungen an Risikomanagement, Vorfallmeldung, Lieferkettensicherheit und Managementaufsicht konfrontiert werden. Wer mehr zur KMU-Perspektive wissen möchte, sollte den Beitrag /blog/nis2-kmu/ ergänzend lesen.
NIS2 Selbsttest ohne Sonderfallprüfung bleibt unvollständig. Ein kleines Unternehmen kann direkt betroffen sein, wenn es Vertrauensdienste, DNS, TLD-Register oder öffentliche Kommunikationsnetze betreibt. In diesen Konstellationen ist die Systemrelevanz des Dienstes ausschlaggebend, nicht die reine Mitarbeiterzahl. Gleiches gilt, wenn ein Unternehmen als einziger Anbieter eines kritischen Dienstes in einem Mitgliedstaat tätig ist. Diese Ausnahmen erklären, warum einfache Listenartikel oft zu kurz greifen.
NIS2 betroffen ist zudem nicht nur eine juristische Frage, sondern auch eine operative Abgrenzungsfrage. Maßgeblich ist nicht bloß der Handelsregisterzweck, sondern welche Dienste tatsächlich erbracht werden. Ein Unternehmen kann etwa als Hersteller auftreten, gleichzeitig aber Managed Services, Cloud-nahe Plattformen oder digitale Basisdienste erbringen. Gerade diese Mischmodelle machen eine saubere Dokumentation des Scope so wichtig. Hilfreich sind dafür auch die Glossarbegriffe /glossar/nis2-richtlinie/, /glossar/kritis/ und /glossar/cybersicherheit/.
Besonders wichtige Einrichtung ist ein Unternehmen in diesem Tool, wenn es in einem hochkritischen Anhang-I-Sektor tätig ist und ein Großunternehmenskriterium erreicht oder in einen Sonderfall fällt. Wichtige Einrichtung ist ein Unternehmen, wenn es in einem NIS2-Sektor tätig ist und mindestens die mittlere Schwelle überschreitet. Diese Logik vereinfacht die Praxis für eine Ersteinschätzung, ersetzt aber keine Detailprüfung für Konzernstrukturen, DORA-Abgrenzungen oder komplexe Mischmodelle.
Der praktische Unterschied liegt weniger in einem bloßen Etikett als in der Aufsichtsdichte und im erwarteten Reifegrad. Besonders wichtige Einrichtungen müssen typischerweise früher und umfassender nachweisen, dass Management, Technik, Business-Continuity, Lieferkette und Meldewege tragfähig organisiert sind. Wichtige Einrichtungen haben dieselbe Grundrichtung, stehen aber häufig in einer abgestuften Prüflogik. Beiden Gruppen gemeinsam ist: NIS2 verlangt belastbare Prozesse und nicht nur Policies auf dem Papier.
| Kategorie | Typische Auslöser | Pflichtenfokus | Maximales Bußgeld |
|---|---|---|---|
| Besonders wichtige Einrichtung | Anhang I plus Großunternehmensschwelle oder Sonderfall | Managementaufsicht, Vorfallmeldung, Business Continuity, Lieferkette, dokumentierte Steuerung | Bis zu 10 Mio. EUR oder 2 % Umsatz |
| Wichtige Einrichtung | NIS2-Sektor plus mittlere Schwelle bei Größe oder Umsatz/Bilanz | Risikoanalyse, Cyberhygiene, Meldewege, Lieferantensteuerung, Nachweise | Bis zu 7 Mio. EUR oder 1,4 % Umsatz |
| Wahrscheinlich nicht betroffen | Kein NIS2-Sektor, unter Schwellen oder kein bestätigter Sonderfall | Beobachtung, Lieferkettenanforderungen, Re-Evaluierung bei Wachstum | Kein typisches direktes NIS2-Bußgeld ableitbar |
Dieser Schluss ist riskant. Unternehmen unter 50 Mitarbeitenden können über Sonderfälle, Konzernbezüge oder kritische digitale Dienste trotzdem unmittelbar betroffen sein. Selbst wenn keine direkte Einstufung vorliegt, können Kunden aus regulierten Sektoren Sicherheitsnachweise, Trainings- und Vertragsklauseln verlangen.
Viele Unternehmen denken zu eng in Branchenetiketten. Entscheidend ist nicht nur der Marketingbegriff, sondern ob Sie einen Dienst aus Anhang I oder II tatsächlich betreiben. Besonders bei Forschung, Chemie, Lebensmitteln, verarbeitendem Gewerbe und digitalen Diensten ist die Überraschungsquote hoch.
Diese Aussage ist für Deutschland in dieser Form falsch. Seit dem 6. Dezember 2025 ist NIS2 operativ relevant, und die Registrierung bei der zuständigen Behörde war im Frühjahr 2026 bereits ein konkretes Thema. Wer erst 2027 startet, ist in vielen Fällen zu spät. Den nächsten operativen Schritt behandelt /blog/nis2-registrierung-bsi/.
NIS2 Check für KMU ist vor allem dann wertvoll, wenn daraus eine klare Priorisierung entsteht. Der erste Schritt ist immer die Scope-Entscheidung: Welche juristische Einheit, welcher Dienst und welche Standorte fallen in die Betrachtung? Danach folgt die Governance-Frage: Wer im Management verantwortet NIS2, wer koordiniert Risikobewertung, wer hält Meldeprozesse und wer dokumentiert Nachweise? Ohne diese Reihenfolge bleibt Compliance teuer und unpräzise.
NIS2 betroffen zu sein bedeutet nicht automatisch, dass sofort ein komplexes Großprojekt mit sechsstelligen Budgets starten muss. Es bedeutet aber, dass zentrale Mindestbausteine nicht länger optional sind. Dazu gehören Risikoanalyse, Sicherheitsmaßnahmen, Lieferkettensteuerung, Business Continuity, Vorfallbehandlung, Schulung kritischer Rollen und dokumentierte Managementeinbindung. Die wirtschaftliche Perspektive behandelt der Beitrag /blog/nis2-kosten-umsetzung/.
NIS2 welche Unternehmen belastet, zeigt sich im Mittelstand oft indirekt über Lieferketten. Ein Hersteller unterhalb der Schwelle kann von einem regulierten Kunden dennoch verpflichtet werden, Incident-Prozesse, Sicherheitsfragen, MFA, Logging, Notfallpläne oder Schulungsnachweise vorzulegen. Deshalb ist eine pragmatische Vorbereitung auch dann sinnvoll, wenn der Check auf „wahrscheinlich nicht betroffen“ hinausläuft. Sie reduzieren damit Umsetzungsdruck, sobald Kunden oder Behörden mehr Nachweise verlangen.
NIS2 Schulung ist in diesem Kontext kein isoliertes Awareness-Format, sondern ein Beschleuniger für Governance. Management, IT, Einkauf, Operations und Fachbereiche müssen dieselben Begriffe verstehen: Scope, kritischer Dienst, Meldefrist, Lieferkette, Verantwortlichkeit, Eskalation und Nachweis. Genau deshalb führt die CTA dieser Seite bewusst zur /nis2-schulung/. Wer die Pflichten besser im Gesamtkontext verstehen möchte, sollte außerdem die zentrale Hub-Seite /nis2-richtlinie-deutschland/ parallel lesen.
Prüfen Sie zuerst, ob Ihre Tätigkeit in einem der 18 NIS2-Sektoren aus Anhang I oder II der Richtlinie (EU) 2022/2555 liegt. Danach betrachten Sie Beschäftigte, Jahresumsatz, Bilanzsumme und Sonderfälle wie Vertrauensdienste, DNS oder öffentliche Kommunikationsnetze. Genau diese Reihenfolge bildet der Betroffenheitscheck ab.
NIS2 erfasst 18 Sektoren. Dazu zählen unter anderem Energie, Verkehr, Gesundheitswesen, digitale Infrastruktur, ICT-Dienstleistungsmanagement, Post und Kurier, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste und Forschung.
Ja, in Sonderfällen. Unternehmen unter 50 Mitarbeitenden können betroffen sein, wenn sie Vertrauensdienste, DNS-Dienste, TLD-Register oder öffentliche Kommunikationsnetze anbieten oder der einzige Anbieter eines kritischen Dienstes in einem Mitgliedstaat sind. Außerhalb solcher Ausnahmen spricht vieles gegen eine direkte Betroffenheit, aber Lieferkettenpflichten bleiben möglich.
Besonders wichtige Einrichtungen stehen typischerweise in Anhang-I-Sektoren und überschreiten die Großunternehmensschwellen oder fallen in einen Sonderfall. Wichtige Einrichtungen liegen meist in einem NIS2-Sektor und überschreiten die mittleren Schwellen. Beide Gruppen müssen Risikomanagement betreiben, Vorfälle melden und Governance nachweisen; bei besonders wichtigen Einrichtungen ist die Aufsicht regelmäßig intensiver.
Nicht jeder Zulieferer fällt direkt unter die Richtlinie. Zulieferer können aber mittelbar stark betroffen sein, weil NIS2-Lieferkettenanforderungen, Sicherheitsfragebögen, Vertragsklauseln und Audit-Rechte entlang der Wertschöpfungskette weitergereicht werden.
Nein. Der Betroffenheitscheck ist eine strukturierte Ersteinschätzung anhand der Richtlinie (EU) 2022/2555, der Anhänge I und II sowie der deutschen NIS2-Logik. Die endgültige Einstufung nimmt in Deutschland das BSI vor, und komplexe Konzern- oder Mischfälle sollten rechtlich geprüft werden.
NIS2 betroffen zu sein ist kein Selbstzweck für Compliance, sondern ein klares Signal für organisatorischen Handlungsdruck. Wenn Ihr Ergebnis auf besonders wichtige oder wichtige Einrichtung hindeutet, sollten Sie Scope, Rollen, Maßnahmen und Nachweise nicht in Einzelmaßnahmen zersplittern. Eine saubere NIS2-Schulung bringt Geschäftsführung, IT, Compliance und operative Bereiche auf einen gemeinsamen Pflichtstand und verkürzt die Zeit bis zur umsetzbaren Maßnahmenliste.
Der pragmatische Weg lautet deshalb: Betroffenheit prüfen, den Scope dokumentieren, Verantwortlichkeiten festlegen, Meldewege definieren und dann mit strukturiertem Training in die Umsetzung gehen. Dafür finden Sie unter /nis2-schulung/ den passenden Einstieg. Wenn Sie vorab die regulatorische Gesamteinordnung vertiefen möchten, ergänzen Sie die Lektüre um /nis2-compliance/.
Hinweis: Diese Seite bietet eine strukturierte Ersteinschätzung und keine Rechtsberatung.