NIS2 Betroffenheit prüfen — So finden Sie heraus ob Sie betroffen sind
NIS2 betroffene Unternehmen sind Organisationen, die in einem der 18 definierten Sektoren tätig sind und mindestens 50 Mitarbeiter oder 10 Millionen Euro Jahresumsatz beziehungsweise Bilanzsumme haben. Gemäß Art. 2 Abs. 1 i.V.m. Anhang I und II der Richtlinie (EU) 2022/2555 betrifft das in Deutschland rund 29.000 bis 40.000 Unternehmen. Für die Erstprüfung reichen deshalb vier Fragen: Gehört Ihr Unternehmen zu einem NIS2-Sektor, erreicht es die Größenschwelle, greift ein Sonderfall und ist es als wesentliche oder wichtige Einrichtung einzuordnen?
Letzte Aktualisierung: 23. März 2026
Wenn Sie die Grundlagen der Richtlinie zuerst einordnen wollen, lesen Sie ergänzend was die NIS2-Richtlinie ist, die NIS2-Anforderungen aus Artikel 21 und die praktische NIS2-Checkliste für Unternehmen. Für die Verantwortung des Managements ist außerdem der Beitrag NIS2 für Geschäftsführer relevant.
NIS2 Betroffenheit prüfen — Ist Ihr Unternehmen betroffen?
NIS2 betroffene Unternehmen lassen sich im Regelfall über zwei Merkmale bestimmen: Sektor und Größe. Genau diese Logik folgt aus Art. 2 Abs. 1 NIS2 in Verbindung mit Anhang I und II der Richtlinie sowie der KMU-Definition aus Empfehlung 2003/361/EG. Wenn Ihr Unternehmen in einem der 18 erfassten Sektoren tätig ist und mindestens 50 Beschäftigte oder mehr als 10 Millionen Euro Jahresumsatz beziehungsweise Bilanzsumme erreicht, sollten Sie von einer direkten Betroffenheit ausgehen und die Detailprüfung sofort starten.
Die Größenordnung ist erheblich. Während unter dem alten KRITIS-Regime in Deutschland nur wenige tausend Einrichtungen im Fokus standen, erweitert NIS2 den Kreis auf rund 29.000 bis 40.000 Unternehmen. Besonders viele neu erfasste Organisationen finden sich in der Lebensmittelwirtschaft, im verarbeitenden Gewerbe, in der Chemie, im Gesundheitswesen und in der digitalen Infrastruktur. Für viele mittelständische Unternehmen ist das überraschend, weil sie sich bislang nicht als kritische Infrastruktur verstanden haben.
Entscheidend ist dabei, dass NIS2 nicht nur klassische KRITIS-Betreiber betrifft. Die Richtlinie erfasst auch Unternehmen, die zentrale Dienstleistungen für Versorgung, Logistik, Produktion, Forschung oder digitale Geschäftsprozesse bereitstellen. Ein Maschinenbauer, ein pharmazeutischer Hersteller, ein Rechenzentrumsbetreiber oder ein größerer Lebensmittelproduzent kann deshalb genauso betroffen sein wie ein Energieversorger oder ein Krankenhaus. Die Frage lautet also nicht nur, wie wichtig Ihr Unternehmen subjektiv wirkt, sondern ob Ihre Tätigkeit objektiv unter einen der sektorspezifischen Anhänge fällt.
Die gute Nachricht ist: Die Betroffenheit lässt sich strukturiert prüfen. Zuerst ordnen Sie Ihre Haupttätigkeit einem Sektor zu. Danach prüfen Sie die Größenschwellen. Anschließend bewerten Sie Sonderfälle, etwa digitale Infrastrukturdienste oder Konzernstrukturen. Erst am Ende folgt die Einordnung als wesentliche oder wichtige Einrichtung. Diese Reihenfolge vermeidet typische Fehlannahmen wie „Wir sind kein KRITIS-Unternehmen, also sind wir nicht betroffen“ oder „Wir haben unter 50 Mitarbeiter in Deutschland, also gilt NIS2 nicht“. Gerade bei Konzernzugehörigkeit und digitalen Diensten ist diese Schlussfolgerung häufig falsch.
Schritt 1: Gehört Ihr Unternehmen zu einem der 18 Sektoren?
Die erste und wichtigste Frage lautet: Fällt Ihre Tätigkeit unter Anhang I oder Anhang II der Richtlinie (EU) 2022/2555? Anhang I enthält Sektoren mit hoher Kritikalität, Anhang II die sonstigen kritischen Sektoren. Für die praktische Betroffenheitsprüfung ist nicht entscheidend, wie Ihr Unternehmen sich selbst beschreibt, sondern welche konkrete wirtschaftliche Haupttätigkeit Sie tatsächlich ausüben. Viele Fehlklassifikationen entstehen, weil Unternehmen nur ihr allgemeines Geschäftsmodell nennen, aber nicht die regulatorisch relevante Funktion.
Die folgende Tabelle fasst alle 18 Sektoren zusammen. Sie eignet sich als erste Zuordnungshilfe, ersetzt aber keine Einzelfallprüfung bei Mischmodellen oder mehreren Geschäftsbereichen.
| Sektor | Anhang | Kategorie | Beispiele |
|---|---|---|---|
| Energie | Anhang I | wesentlich | Strom-, Gas-, Öl-, Fernwärme- und Wasserstoffunternehmen |
| Verkehr | Anhang I | wesentlich | Flughäfen, Airlines, Schiene, Häfen, Straßennetz- und Verkehrsmanagement |
| Bankwesen | Anhang I | wesentlich | Kreditinstitute, Banken, bestimmte Zahlungsdienste |
| Finanzmarktinfrastrukturen | Anhang I | wesentlich | Handelsplätze, zentrale Gegenparteien, zentrale Verwahrer |
| Gesundheitswesen | Anhang I | wesentlich | Krankenhäuser, Labore, Pharmahersteller, Medizinproduktehersteller |
| Trinkwasser | Anhang I | wesentlich | Wasserversorger, Aufbereitung, Verteilung |
| Abwasser | Anhang I | wesentlich | Abwasserentsorgung, Kläranlagen, Netzbetreiber |
| Digitale Infrastruktur | Anhang I | wesentlich | DNS, TLD, Rechenzentren, Cloud, IXP, CDN, Vertrauensdienste |
| Verwaltung von IKT-Diensten | Anhang I | wesentlich | Managed Service Provider, Managed Security Service Provider |
| Öffentliche Verwaltung | Anhang I | wesentlich | Bundes- und bestimmte Landesbehörden, zentrale Verwaltungsstellen |
| Raumfahrt | Anhang I | wesentlich | Satellitenbetrieb, bodengebundene Weltraumdienste |
| Post- und Kurierdienste | Anhang II | wichtig | Paketdienste, Brief- und Logistiknetzwerke |
| Abfallbewirtschaftung | Anhang II | wichtig | Sammlung, Behandlung, Entsorgung gefährlicher und nicht gefährlicher Abfälle |
| Herstellung, Produktion und Vertrieb chemischer Stoffe | Anhang II | wichtig | Chemieproduktion, Verarbeitung, Großhandel |
| Lebensmittel | Anhang II | wichtig | Herstellung, Verarbeitung und Großvertrieb von Lebensmitteln |
| Verarbeitendes Gewerbe | Anhang II | wichtig | Maschinenbau, Automotive, Elektronik, Medizintechnik |
| Digitale Anbieter | Anhang II | wichtig | Online-Marktplätze, Suchmaschinen, soziale Netzwerke |
| Forschung | Anhang II | wichtig | Forschungseinrichtungen, Labore, Technologiezentren |
In der Praxis ist die Sektorprüfung oft schwieriger als sie auf dem Papier klingt. Ein Unternehmen kann etwa gleichzeitig Software entwickeln, industrielle Hardware fertigen und Managed Services anbieten. Dann ist zu prüfen, welche Tätigkeit prägend ist und ob mehrere Tätigkeiten parallel in den Anwendungsbereich fallen. Gerade im digitalen Umfeld ist die Abgrenzung zwischen digitaler Infrastruktur, IKT-Dienstverwaltung und digitalen Anbietern wichtig, weil hiervon auch die Sonderfälle ohne Größenschwelle abhängen können.
Für die Selbstprüfung sollten Sie deshalb mit drei Fragen arbeiten. Erstens: Welche Leistung erzeugt den Hauptumsatz oder ist für Ihre Marktrolle prägend? Zweitens: Entspricht diese Leistung einem ausdrücklich genannten Sektor aus Anhang I oder II? Drittens: Gibt es regulatorisch relevante Nebentätigkeiten, die nicht vernachlässigbar sind? Wenn Sie diese Fragen nicht eindeutig beantworten können, ist eine konservative Einordnung sinnvoll. Wer NIS2 zu spät als relevant erkennt, verliert Zeit bei Risikoanalyse, Registrierung und Management-Governance.
Schritt 2: Erfüllt Ihr Unternehmen die Größenschwellen?
Wenn Ihr Unternehmen einem NIS2-Sektor zugeordnet werden kann, folgt als zweiter Schritt die Größenprüfung. Maßgeblich ist grundsätzlich die KMU-Definition der Empfehlung 2003/361/EG. Ein mittleres Unternehmen hat weniger als 250 Beschäftigte und höchstens 50 Millionen Euro Umsatz oder 43 Millionen Euro Bilanzsumme, aber mindestens 50 Beschäftigte oder mehr als 10 Millionen Euro Umsatz beziehungsweise Bilanzsumme. Große Unternehmen liegen oberhalb dieser Schwellen. Für NIS2 ist diese Logik deshalb wichtig, weil mittelgroße Unternehmen typischerweise als wichtige Einrichtungen und große Unternehmen regelmäßig als wesentliche Einrichtungen eingeordnet werden.
Die folgende Übersicht reicht für die praktische Vorprüfung meist aus:
| Unternehmensgröße | Beschäftigte | Umsatz / Bilanzsumme | Typische NIS2-Einordnung |
|---|---|---|---|
| Klein | unter 50 | bis 10 Mio. Euro | grundsätzlich nicht betroffen, außer Sonderfall |
| Mittel | 50 bis 249 | über 10 Mio. Euro bis 50 Mio. Euro oder Bilanzsumme bis 43 Mio. Euro | regelmäßig wichtige Einrichtung |
| Groß | 250 und mehr | über 50 Mio. Euro Umsatz oder über 43 Mio. Euro Bilanzsumme | regelmäßig wesentliche Einrichtung |
Wichtig ist dabei, dass nicht nur die deutsche Einzelgesellschaft betrachtet wird. Nach der KMU-Empfehlung werden auch Partner- und verbundene Unternehmen einbezogen. Eine deutsche Tochtergesellschaft mit 30 Mitarbeitern kann also trotzdem von NIS2 erfasst sein, wenn sie Teil eines internationalen Konzerns mit insgesamt mehr als 250 Beschäftigten ist und die deutsche Einheit in einem erfassten Sektor tätig wird. Genau deshalb ist die Frage ob NIS2 auch für Geschäftsführer relevant ist nicht nur ein IT-Thema, sondern ein Konzern-Governance-Thema.
Für die Berechnung sollten Sie die letzten verfügbaren Jahreszahlen verwenden und bei Konzernstrukturen die konsolidierte Betrachtung dokumentieren. Unternehmen mit stark schwankenden Kennzahlen sollten nicht auf Grenzfälle spekulieren. Sobald die Schwelle realistisch überschritten wird, ist eine Vorbereitung auf die NIS2-Pflichten die deutlich sicherere Option. Das gilt umso mehr, weil die Umsetzung der Anforderungen aus Art. 21 NIS2 nicht innerhalb weniger Tage nachgeholt werden kann.
Wesentliche vs. wichtige Einrichtungen — Was ist der Unterschied?
Der Unterschied zwischen wesentlichen und wichtigen Einrichtungen liegt vor allem in der Aufsicht, nicht im Kern der Sicherheitsanforderungen. Wesentliche Einrichtungen unterliegen nach Art. 32 NIS2 einer strengeren ex-ante-Aufsicht. Zuständige Behörden können also präventiv überwachen, Unterlagen anfordern, Vor-Ort-Kontrollen durchführen und verbindliche Anordnungen treffen. Wichtige Einrichtungen stehen nach Art. 33 NIS2 primär unter ex-post-Aufsicht, also typischerweise anlassbezogen nach Vorfällen, Beschwerden oder erkennbaren Verstößen.
Für die Praxis ist aber ebenso wichtig, was gleich ist. Beide Gruppen müssen die Risikomanagementmaßnahmen aus Art. 21 NIS2 umsetzen. Dazu gehören unter anderem Risikoanalyse, Incident Handling, Business Continuity, Lieferkettensicherheit, Sicherheitsmaßnahmen bei Entwicklung und Betrieb, Wirksamkeitsprüfung, Cyberhygiene, Kryptografie, Personalsicherheit, Zugriffskontrolle und der Einsatz von Multi-Faktor-Authentifizierung beziehungsweise vergleichbaren gesicherten Kommunikationslösungen. Der Unterschied lautet daher nicht „wesentlich muss viel, wichtig nur wenig“, sondern „beide müssen substanziell umsetzen, nur die Aufsichtsintensität ist unterschiedlich“.
Auch bei den Sanktionen ist die Trennung relevant. Art. 34 Abs. 4 NIS2 sieht für wesentliche Einrichtungen Höchstgrenzen von mindestens 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes vor. Für wichtige Einrichtungen nennt Art. 34 Abs. 4 als Mindestmaßstab 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes. Wer seine Betroffenheit unterschätzt, riskiert daher nicht nur operative Defizite, sondern erhebliche Bußgeldrisiken. Einen vertieften Überblick finden Sie im Beitrag zu NIS2-Bußgeldern und Strafen.
Hinzu kommt die Pflicht des Leitungsorgans. Art. 20 NIS2 verpflichtet die Leitungsorgane, die Cybersicherheitsmaßnahmen zu billigen, ihre Umsetzung zu überwachen und für Verstöße Verantwortung zu tragen. Diese Governance-Pflicht gilt nicht nur für wesentliche Einrichtungen, sondern auch für wichtige. Wer in der Geschäftsleitung noch unsicher ist, sollte deshalb nicht zuerst über technische Details sprechen, sondern über Rollen, Berichtslinien, Freigaben und Nachweise. Genau dafür ist auch die Kombination aus NIS2-Checkliste und Management-Perspektive für Geschäftsführer sinnvoll.
Sonderfälle: Wenn NIS2 trotz kleiner Größe gilt
Kleine Unternehmen sind nicht automatisch ausgenommen. Art. 2 Abs. 2 und 3 NIS2 eröffnet ausdrücklich Fälle, in denen die Richtlinie unabhängig von der Unternehmensgröße gilt. Besonders relevant sind Vertrauensdiensteanbieter, DNS-Dienstleister, Top-Level-Domain-Name-Registries und bestimmte Anbieter öffentlicher elektronischer Kommunikationsnetze oder -dienste. Der Grund ist einfach: Diese Unternehmen können wegen ihrer technischen Stellung erhebliche Kaskadeneffekte auslösen, auch wenn sie personell klein sind.
Daneben kann NIS2 auch dann greifen, wenn ein Unternehmen in einem Mitgliedstaat der einzige Anbieter eines wesentlichen Dienstes ist oder wenn ein erheblicher systemischer Einfluss auf Wirtschaft, Gesellschaft oder öffentliche Sicherheit besteht. Für die Praxis bedeutet das: Ein regional kleiner, aber technisch hochkritischer Anbieter kann reguliert sein, obwohl er die klassische 50-Mitarbeiter-Schwelle nicht erreicht. Dasselbe gilt für Konstellationen, in denen ein Dienst eine zentrale Rolle für viele nachgelagerte Organisationen spielt.
Gerade in der digitalen Infrastruktur und bei hochspezialisierten digitalen Diensten ist deshalb Vorsicht geboten. Wer DNS, Vertrauensdienste, kritische Hosting-Leistungen oder vergleichbare Infrastrukturfunktionen anbietet, sollte seine Betroffenheit nicht allein anhand der Mitarbeiterzahl verneinen. In Zweifelsfällen ist eine konservative Prüfung sinnvoll, zumal die organisatorischen Anforderungen wie Risikoanalyse, Meldewege und Schulungspflichten ohnehin sinnvoller Standard sind als kurzfristige Notmaßnahmen.
Der Entscheidungsbaum — NIS2-Betroffenheit in 4 Fragen
Die NIS2-Betroffenheit lässt sich für die meisten Unternehmen mit einem vierstufigen Entscheidungsbaum sauber prüfen. Die Reihenfolge ist wichtig, weil sie Sektorlogik, Größenschwelle, Sonderfälle und Aufsichtskategorie voneinander trennt.
- Gehört Ihre Haupttätigkeit zu einem der 18 Sektoren aus Anhang I oder II der Richtlinie (EU) 2022/2555?
- Erreicht Ihr Unternehmen mindestens 50 Beschäftigte oder mehr als 10 Millionen Euro Umsatz beziehungsweise Bilanzsumme, einschließlich verbundener und Partnerunternehmen?
- Greift unabhängig von der Größe ein Sonderfall, etwa Vertrauensdienste, DNS, TLD, besondere Monopolstellung oder systemische Relevanz?
- Sind Sie bei positiver Prüfung als wesentliche oder wichtige Einrichtung einzuordnen?
Wenn Sie Frage 1 mit Nein beantworten, ist eine direkte NIS2-Betroffenheit meist ausgeschlossen. Wenn Frage 1 Ja und Frage 2 ebenfalls Ja lautet, sind Sie in der Regel betroffen. Wenn Frage 2 Nein lautet, entscheidet Frage 3 über die Ausnahme. Erst wenn die Betroffenheit feststeht, folgt mit Frage 4 die Einordnung in die richtige Kategorie. Diese Systematik ist praxistauglicher als pauschale Aussagen wie „NIS2 gilt nur für KRITIS“ oder „NIS2 gilt erst ab 250 Mitarbeitern“.
Für viele Unternehmen lohnt sich zusätzlich eine Gegenprobe mit der operativen Realität: Fragen Kunden, Partner, Versicherer oder Behörden bereits nach NIS2-relevanten Nachweisen, Incident-Prozessen oder Lieferkettenmaßnahmen? Wenn ja, ist das ein starkes Indiz dafür, dass eine vertiefte Prüfung sofort sinnvoll ist. Als nächsten operativen Schritt können Sie die NIS2-Checkliste danebenlegen und die ersten Lücken dokumentieren.
Was tun wenn Sie betroffen sind? — Nächste Schritte
Wenn Ihr Unternehmen zu den NIS2 betroffenen Unternehmen gehört, sollten Sie nicht mit Technik beginnen, sondern mit Governance und Bestandsaufnahme. Der erste Schritt ist eine saubere Dokumentation, warum Ihr Unternehmen betroffen ist: Sektor, Größeneinordnung, Konzernbezug, Sonderfall und vorläufige Kategorie. Diese Einordnung gehört in die Geschäftsleitung, weil Art. 20 NIS2 gerade das Management in die Verantwortung nimmt.
Der zweite Schritt ist eine Gap-Analyse gegen Art. 21 NIS2. Prüfen Sie systematisch, welche der zehn Maßnahmen bereits vorhanden sind und wo Nachweise fehlen. Besonders häufig fehlen belastbare Risikoanalysen, Incident-Meldewege, Lieferantensteuerung, Schulungsnachweise und dokumentierte Business-Continuity-Prozesse. Genau diese Punkte sollten Sie priorisieren, bevor Sie einzelne Tools einkaufen. Eine gute Arbeitsgrundlage ist der Beitrag zu den NIS2-Anforderungen aus Artikel 21.
Der dritte Schritt ist ein konkreter Umsetzungsplan mit Verantwortlichkeiten, Fristen und Schulung. Dazu gehören Registrierungs- und Meldepflichten nach nationaler Umsetzung, die interne Eskalationslogik, Management-Reporting und rollenspezifische Schulungen für Führungskräfte, IT, Compliance und operative Teams. Wenn Sie den Einstieg strukturiert angehen wollen, starten Sie mit der NIS2-Checkliste und schaffen Sie im Management ein gemeinsames Grundverständnis der Pflichten.
Jetzt NIS2-Schulung starten: Jetzt NIS2-Schulung starten
Wer die Verantwortlichkeiten im Unternehmen klar verankern will, sollte außerdem den Beitrag NIS2 für Geschäftsführer lesen und das Bußgeldrisiko aus NIS2-Bußgeldern und Strafen einordnen. So wird aus einer abstrakten Betroffenheitsfrage ein belastbarer Umsetzungsplan.
FAQ (Schema-relevant)
Wie finde ich heraus ob mein Unternehmen von NIS2 betroffen ist?
Prüfen Sie zuerst, ob Ihre Haupttätigkeit unter einen der 18 Sektoren aus Anhang I oder II der Richtlinie (EU) 2022/2555 fällt. Prüfen Sie danach die Größenschwellen von mindestens 50 Beschäftigten oder mehr als 10 Millionen Euro Umsatz beziehungsweise Bilanzsumme und berücksichtigen Sie verbundene Unternehmen. Greift zusätzlich ein Sonderfall wie DNS, TLD oder Vertrauensdienst, kann NIS2 auch unterhalb der Standardschwelle gelten.
Welche 18 Sektoren fallen unter die NIS2-Richtlinie?
Die 18 Sektoren verteilen sich auf Anhang I und II der Richtlinie (EU) 2022/2555. Dazu zählen Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten, öffentliche Verwaltung und Raumfahrt sowie Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Anbieter und Forschung.
Ab welcher Unternehmensgröße gilt NIS2?
Im Regelfall gilt NIS2 ab mittlerer Unternehmensgröße. Relevant sind mindestens 50 Beschäftigte oder mehr als 10 Millionen Euro Jahresumsatz oder Bilanzsumme gemäß Empfehlung 2003/361/EG. Ab 250 Beschäftigten oder oberhalb der höheren finanziellen Schwellen ist regelmäßig von einer wesentlichen Einrichtung auszugehen, sofern der Sektor erfasst ist.
Was ist der Unterschied zwischen wesentlichen und wichtigen Einrichtungen?
Wesentliche Einrichtungen unterliegen einer strengeren präventiven Aufsicht, wichtige Einrichtungen eher einer anlassbezogenen nachgelagerten Aufsicht. Beide müssen jedoch die Sicherheitsmaßnahmen aus Art. 21 NIS2 umsetzen, erhebliche Sicherheitsvorfälle melden und ihre Leitungsorgane in die Verantwortung einbinden.
Gilt NIS2 auch für Tochtergesellschaften internationaler Konzerne?
Ja. Bei der Einordnung der Unternehmensgröße sind nach der KMU-Empfehlung auch verbundene und Partnerunternehmen zu berücksichtigen. Eine kleine deutsche Tochter kann deshalb betroffen sein, wenn der Gesamtkonzern die Schwellenwerte überschreitet und die deutsche Gesellschaft in einem erfassten Sektor tätig ist.
Muss mein Unternehmen NIS2 umsetzen?
Ihr Unternehmen muss NIS2 umsetzen, wenn es in einem der 18 erfassten Sektoren tätig ist und die relevanten Größenschwellen überschreitet oder unter einen der Sonderfälle fällt. Unternehmen außerhalb der Sektoren sind typischerweise nicht direkt erfasst, können aber mittelbar über Lieferkettenanforderungen unter Druck geraten.
Welche Branchen sind von NIS2 betroffen?
Betroffen sind vor allem Energie, Verkehr, Gesundheit, Wasser, digitale Infrastruktur, Managed Services, Logistik, Chemie, Lebensmittel, Industrie, digitale Plattformen und Forschung. Besonders viele neu erfasste mittelständische Unternehmen finden sich im verarbeitenden Gewerbe, in der Lebensmittelwirtschaft und bei digitalen Diensten.
Bin ich als Zulieferer auch von NIS2 betroffen?
Als Zulieferer sind Sie nicht automatisch direkt von NIS2 betroffen. Sie können aber mittelbar betroffen sein, wenn regulierte Kunden Anforderungen aus Lieferkettensicherheit, Incident Reporting oder Sicherheitsnachweisen vertraglich an Sie weitergeben. Für kleine Zulieferer ist daher zumindest eine indirekte Betroffenheitsprüfung sinnvoll.