"Unser IT-Dienstleister hatte einen Ransomware-Angriff. Plötzlich standen auch unsere Systeme still."
Seit dem 6. Dezember 2025 ist die NIS2-Richtlinie in Deutschland in Kraft. Rund 30.000 Unternehmen sind direkt betroffen, weitere 100.000 indirekt als Zulieferer. Die zentrale Frage für Geschäftsführer und IT-Verantwortliche lautet: Bin ich NIS2-pflichtig – und wenn ja, was bedeutet das konkret für mein Unternehmen?
In diesem Artikel erhalten Sie eine klare, praxisnahe Anleitung zur Selbstprüfung. In nur 5 Minuten wissen Sie, ob NIS2 für Sie gilt und welche nächsten Schritte erforderlich sind.
Die Unsicherheit ist groß: Viele Unternehmen wissen nicht, ob sie unter die NIS2-Richtlinie fallen. Gleichzeitig drohen bei Nichteinhaltung empfindliche Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Hinzu kommt die persönliche Haftung der Geschäftsführung.
Eine falsche Einschätzung der Betroffenheit ist einer der häufigsten und teuersten Fehler bei der NIS2-Umsetzung. Wer zu spät reagiert, riskiert nicht nur Sanktionen, sondern auch Reputationsverluste und operative Störungen.
Die Betroffenheitsprüfung erfolgt in drei klaren Schritten. Gehen Sie diese systematisch durch, um Klarheit zu gewinnen.
NIS2 gilt für 18 definierte Sektoren. Prüfen Sie, ob Ihr Unternehmen in einem dieser Bereiche tätig ist:
Besonders kritische Sektoren (hohe Kritikalität):
Energie (Strom, Öl, Gas, Fernwärme, Wasserstoff)
Verkehr (Luft-, Schienen-, Wasser-, Straßenverkehr)
Bankwesen und Finanzmarktinfrastrukturen
Gesundheitswesen (Krankenhäuser, Labore, Arzneimittelhersteller)
Trinkwasser und Abwasser
Digitale Infrastruktur (DNS, TLD-Register, Cloud-Dienste, Rechenzentren)
Weltraum (Bodenstationen, Betreiber)
Weitere kritische Sektoren:
Abfallwirtschaft
Chemische Industrie
Lebensmittelproduktion und -vertrieb
Verarbeitendes Gewerbe (Medizinprodukte, Computer, Elektronik, Maschinen, Kraftfahrzeuge)
Digitale Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
Forschungseinrichtungen
Wichtig: Auch wenn Ihr Hauptgeschäft nicht in diesen Sektoren liegt, können Sie als Zulieferer betroffen sein (siehe Stufe 3).
NIS2 unterscheidet zwischen wesentlichen Einrichtungen und wichtigen Einrichtungen. Die Einstufung hängt von der Unternehmensgröße ab:
Wesentliche Einrichtungen (strengere Anforderungen):
Unternehmen mit mehr als 250 Mitarbeitenden ODER
Jahresumsatz über 50 Millionen Euro und Bilanzsumme über 43 Millionen Euro
Alle Einrichtungen in besonders kritischen Sektoren (unabhängig von der Größe)
Wichtige Einrichtungen (etwas geringere Anforderungen):
Unternehmen mit 50 bis 250 Mitarbeitenden ODER
Jahresumsatz bis 50 Millionen Euro oder Bilanzsumme bis 43 Millionen Euro
Tätig in einem der 18 NIS2-Sektoren
Ausnahmen:
Kleinstunternehmen (unter 10 Mitarbeitende und unter 2 Millionen Euro Jahresumsatz) sind grundsätzlich ausgenommen
Ausnahme von der Ausnahme: Wenn das Unternehmen der einzige Anbieter einer kritischen Dienstleistung in einer Region ist
Selbst wenn Ihr Unternehmen nicht direkt in einem NIS2-Sektor tätig ist, können Sie indirekt betroffen sein. Dies gilt insbesondere für:
IT-Dienstleister und Managed Service Provider (MSPs), die kritische Infrastrukturen betreuen
Software-Anbieter, deren Lösungen in NIS2-pflichtigen Unternehmen eingesetzt werden
Zulieferer für kritische Komponenten (z. B. Produktionsanlagen, medizinische Geräte, Sicherheitstechnik)
Cloud-Anbieter und Rechenzentren, die Dienste für NIS2-pflichtige Unternehmen erbringen
NIS2-pflichtige Unternehmen müssen ihre Lieferketten absichern. Das bedeutet: Sie werden von Ihren Kunden aufgefordert, Nachweise über Ihre IT-Sicherheitsmaßnahmen zu erbringen. Ohne diese Nachweise riskieren Sie den Verlust wichtiger Aufträge.
Nutzen Sie diese Schnellprüfung, um Ihre Betroffenheit zu klären:
☑ Schritt 1: Ist mein Unternehmen in einem der 18 NIS2-Sektoren tätig?
☑ Schritt 2: Habe ich mehr als 50 Mitarbeitende oder einen Jahresumsatz über 10 Millionen Euro?
☑ Schritt 3: Bin ich Zulieferer für NIS2-pflichtige Unternehmen?
☑ Schritt 4: Biete ich IT-Dienstleistungen, Cloud-Services oder kritische Infrastruktur an?
☑ Schritt 5: Bin ich der einzige Anbieter einer kritischen Dienstleistung in meiner Region?
Wenn Sie mindestens eine Frage mit „Ja" beantwortet haben, sollten Sie eine detaillierte Betroffenheitsprüfung durchführen.
Praxishilfe: Detaillierte Betroffenheitsanalyse
Unsere kostenlose Checkliste führt Sie Schritt für Schritt durch die vollständige Betroffenheitsprüfung. Sie erhalten:
Detaillierte Prüffragen für alle 18 Sektoren
Sobald Sie Ihre Betroffenheit festgestellt haben, beginnt die Uhr zu ticken. Diese Schritte sind erforderlich:
1. Registrierung beim BSI
Alle NIS2-pflichtigen Unternehmen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Die Registrierung erfolgt über das BSI-Portal und umfasst Angaben zu Ihrem Unternehmen, Ihren Dienstleistungen und Ihrem Ansprechpartner für Cybersicherheit.
2. Umsetzung der technischen und organisatorischen Maßnahmen
NIS2 fordert konkrete Sicherheitsmaßnahmen, darunter:
Risikoanalyse und Sicherheitskonzept
Incident-Management und Meldepflichten
Business-Continuity-Planung
Lieferkettenmanagement
Schulungen für Mitarbeitende
Regelmäßige Audits und Tests
3. Meldepflichten einhalten
Sicherheitsvorfälle müssen innerhalb von 24 Stunden an das BSI gemeldet werden. Eine Erstmeldung ist Pflicht, auch wenn noch nicht alle Details bekannt sind.
4. Dokumentation und Nachweisführung
Sie müssen nachweisen können, dass Sie die NIS2-Anforderungen erfüllen. Dies umfasst Dokumentationen, Protokolle und regelmäßige Überprüfungen.
Viele Unternehmen bewegen sich in einer Grauzone. Typische Unsicherheiten:
→ Ja, ab 50 Mitarbeitenden sind Sie potenziell betroffen, sofern Sie in einem NIS2-Sektor tätig sind
"Wir bieten IT-Services an, aber nicht für kritische Infrastrukturen."
Unser Rat: Im Zweifelsfall sollten Sie eine Betroffenheit annehmen und proaktiv handeln. Die Kosten einer freiwilligen Umsetzung sind deutlich geringer als die Risiken bei Nichteinhaltung.
Viele Unternehmen übersehen ihre indirekte Betroffenheit als Zulieferer. Prüfen Sie nicht nur Ihre eigene Tätigkeit, sondern auch Ihre Kundenstruktur.
Die Schwellenwerte (50 bzw. 250 Mitarbeitende) gelten konzernweit. Auch Tochtergesellschaften und verbundene Unternehmen müssen eingerechnet werden.
„Wir warten ab, bis das BSI uns kontaktiert" ist keine Strategie. Die Behörde kann nicht alle 30.000 Unternehmen proaktiv ansprechen. Eigenverantwortung ist gefordert.
Wenn Sie festgestellt haben, dass NIS2 für Sie gilt, sollten Sie strukturiert vorgehen:
Sofortmaßnahmen (Woche 1–2):
Geschäftsführung und relevante Abteilungen informieren
Verantwortlichen für NIS2-Umsetzung benennen
Kurzfristig (Monat 1–3):
Registrierung beim BSI vorbereiten und durchführen
Gap-Analyse: Wo stehen wir, was fehlt noch?
Priorisierung der erforderlichen Maßnahmen
Mittelfristig (Monat 4–6):
Umsetzung der technischen und organisatorischen Maßnahmen
Schulungen für Mitarbeitende
Incident-Response-Prozesse etablieren
Langfristig (ab Monat 7):
Regelmäßige Audits und Tests
Kontinuierliche Verbesserung
Lieferkettenmanagement optimieren
Die Betroffenheitsprüfung ist der erste und wichtigste Schritt auf dem Weg zur NIS2-Compliance. Mit der 3-Stufen-Prüfung (Sektor, Größe, Zulieferer-Status) gewinnen Sie in wenigen Minuten Klarheit über Ihre Situation.
Handeln Sie jetzt: Je früher Sie Ihre Betroffenheit klären und mit der Umsetzung beginnen, desto geringer sind die Risiken und desto besser können Sie die Anforderungen in Ihre bestehenden Prozesse integrieren.
Benötigen Sie Unterstützung bei der Betroffenheitsprüfung oder der NIS2-Umsetzung? Vereinbaren Sie ein kostenloses Erstgespräch mit unseren Experten.