NIS 2: Wer ist betroffen? Sektoren und Betroffenheitsprüfung
Rund 29.000 Unternehmen in Deutschland fallen unter die NIS-2-Regulierung. Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) gilt seit dem 6. Dezember 2025, doch geschätzte 80 % der betroffenen Organisationen wissen nicht, dass sie reguliert werden. Bis zur BSI-Registrierungsfrist am 6. März 2026 haben sich gerade einmal 38,5 % registriert. Wer bei NIS 2 betroffen ist, lässt sich eben nicht mit einem Blick ins Handelsregister klären.
Laut einer DIHK-Analyse haben besonders mittelständische Unternehmen Schwierigkeiten, ihre Betroffenheit korrekt einzuschätzen. Die häufigste Fehleinschätzung betrifft die Konzernklausel: Unternehmen setzen isolierte GmbH-Zahlen an statt konsolidierter Gruppenwerte. Dabei bestimmen Sektorzugehörigkeit, Unternehmensgröße und Konzernverflechtungen gemeinsam die Einstufung.
Dieser Artikel beantwortet die zentrale Frage: Ist Ihr Unternehmen von NIS 2 betroffen, und wenn ja, als was? Sie erhalten die Prüflogik mit allen 18 Sektoren, den Size-Cap-Schwellenwerten und der Konzernklausel. Auch die indirekte Betroffenheit über die Lieferkette und die persönliche Haftung der Geschäftsleitung behandeln wir.
Für eine schnelle Ersteinschätzung hat das BSI ein kostenfreies Online-Tool veröffentlicht. Die BSI-Betroffenheitsprüfung zeigt in wenigen Minuten, ob Ihr Unternehmen unter die Regulierung fällt. Sie ersetzt keine rechtliche Prüfung, gibt aber eine erste Orientierung.
Inhaltsverzeichnis
Die 3-Schritte-Prüflogik: So stellen Sie Ihre NIS-2-Betroffenheit fest
Viele der in Deutschland regulierten Unternehmen sind sich ihrer Pflichten nicht bewusst. Häufig heißt es: „Wir sind keine kritische Infrastruktur, also betrifft uns das nicht.“ Doch NIS-2 geht weit über die alte KRITIS-Regulierung hinaus und erfasst 18 Sektoren, darunter Maschinenbau, Chemie und Lebensmittelverarbeitung. Ob Ihr Unternehmen zu den NIS-2-betroffenen Unternehmen zählt, klären Sie in drei Schritten.
1. Gehört Ihr Unternehmen zu einem der 18 NIS-2-Sektoren?
NIS-2 reguliert 18 Sektoren, aufgeteilt in 11 Sektoren hoher Kritikalität (Anlage 1 BSIG, z. B. Energie, Gesundheit, Finanzwesen, Digitale Infrastruktur) und 7 sonstige kritische Sektoren (Anlage 2 BSIG, z. B. Post/Kurier, Abfallbewirtschaftung, Verarbeitendes Gewerbe). Entscheidend ist Ihre tatsächliche Tätigkeit, nicht der Branchencode im Handelsregister. Ein Maschinenbauer mit 150 Mitarbeitern und 30 Mio. EUR Umsatz fällt über den Sektor „Verarbeitendes Gewerbe“ direkt unter die Regulierung.
2. Erfüllt Ihr Unternehmen die Größenkriterien (Size-Cap-Regel)?
Die Size-Cap-Regel bestimmt die NIS-2-Betroffenheit über die Kombination aus Sektorzugehörigkeit und Unternehmensgröße (Mitarbeiterzahl, Jahresumsatz, Jahresbilanzsumme). Die Schwellenwerte im Überblick:
- Wichtige Einrichtung (wE): Ab 50 Beschäftigten oder über 10 Mio. EUR Jahresumsatz und über 10 Mio. EUR Bilanzsumme in einem der 18 Sektoren.
- Besonders wichtige Einrichtung (bwE): Ab 250 Beschäftigten oder über 50 Mio. EUR Jahresumsatz und über 43 Mio. EUR Bilanzsumme in einem Anlage-1-Sektor.
Viele Unternehmen übersehen dabei die Konzernklausel. Nach EU-Empfehlung 2003/361/EG werden Mitarbeiterzahlen und Finanzkennzahlen verbundener Unternehmen konsolidiert betrachtet. Eine GmbH mit 30 Mitarbeitern kann durch Zurechnung der Konzernkennzahlen NIS-2-pflichtig werden, obwohl sie isoliert betrachtet unter den Schwellenwerten liegt. Wer nur die Einzelgesellschaft prüft, unterschätzt die eigene Betroffenheit.
3. Welche Einstufung gilt, und was bedeutet das?
Die Einstufung als besonders wichtige oder wichtige Einrichtung bestimmt den Pflichtumfang und die Sanktionshöhe:
- Besonders wichtige Einrichtungen unterliegen Bußgeldern bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes, proaktiver BSI-Aufsicht und strengeren Meldepflichten.
- Wichtige Einrichtungen unterliegen Bußgeldern bis zu 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes und anlassbezogener Aufsicht.
Bestimmte Einrichtungsarten fallen größenunabhängig unter NIS-2: qualifizierte Vertrauensdiensteanbieter, DNS-Dienste, TLD-Registries und Betreiber öffentlicher Telekommunikationsnetze.
Prüfung absichern: BSI-Entscheidungsbaum und Einzelfallbewertung
Das BSI stellt einen Entscheidungsbaum als PDF bereit, der die vollständige Prüflogik (Sektor → Größe → Einstufung) abbildet. Ergänzend liefert das Online-Tool unter betroffenheitspruefung-nis-2.bsi.de eine automatisierte Ersteinschätzung, ebenfalls kostenlos und anonym.
Beide Hilfsmittel haben jedoch Grenzen. Konzernstrukturen mit mehrstufigen Beteiligungskaskaden bilden sie nur begrenzt ab. Die korrekte Sektorzuordnung erfordert bei Mischkonzernen oft ein juristisches Urteil, und Unternehmen in mehreren Sektoren müssen jede Einrichtungsart separat registrieren. Dass die Prüfung nicht trivial ist, bestätigt auch der BITKOM-Leitfaden: Die Digitalwirtschaft fordert klarere Kriterien zur Betroffenheitsbestimmung und praxistaugliche Umsetzungsfristen.
Praxis-Tipp: Nutzen Sie den BSI-Entscheidungsbaum als Einstieg. Bei Konzernverbünden, schwankenden Kennzahlen nahe der Schwellenwerte oder Tätigkeiten in mehreren NIS-2-Sektoren sollten Sie eine juristische Einzelfallprüfung beauftragen.
Alle 18 NIS-2-Sektoren im Überblick
Die NIS-2-Sektoren gliedern sich in zwei Gruppen: 11 Sektoren hoher Kritikalität in Anlage 1 des BSIG und 7 sonstige kritische Sektoren in Anlage 2. Der BMI-Gesetzentwurf definiert beide Listen abschließend.
Die Zuordnung zu Anlage 1 oder 2 bestimmt, ob Ihr Unternehmen als besonders wichtige Einrichtung (bwE) oder als wichtige Einrichtung (wE) gilt. Daraus ergeben sich unterschiedliche Pflichten und Bußgeldrahmen. Die genaue Einstufungslogik folgt im nächsten Abschnitt.
Anlage 1: 11 Sektoren hoher Kritikalität
| Sektor | Teilsektoren | Beispiele |
|---|---|---|
| Energie | Strom, Erdöl, Erdgas, Fernwärme, Wasserstoff | E.ON, regionale Stadtwerke |
| Transport und Verkehr | Luft-, Schienen-, Schiffs-, Straßenverkehr | Deutsche Bahn, Fraport |
| Bankwesen | Kreditinstitute | Deutsche Bank, Sparkassen |
| Finanzmarktinfrastrukturen | Handelsplätze, zentrale Gegenparteien | Deutsche Börse |
| Gesundheitswesen | Krankenhäuser, Labore, Pharmaunternehmen | Charité, BioNTech |
| Trinkwasser | Versorgung und Verteilung | Kommunale Wasserwerke |
| Abwasser | Sammlung, Behandlung, Entsorgung | Stadtentwässerungsbetriebe |
| Digitale Infrastruktur | IXPs, DNS, TLD-Register, Cloud, Rechenzentren, CDNs, TK-Netze, Vertrauensdienste | Deutsche Telekom, DE-CIX |
| IKT-Dienste (B2B) | Managed Service Provider (MSP), Managed Security Service Provider (MSSP) | T-Systems, Bechtle |
| Öffentliche Verwaltung | Stellen des Bundes und der Länder | (staatliche Stellen) |
| Weltraum | Bodeninfrastrukturen | OHB SE |
Unternehmen wie E.ON, Deutsche Bahn oder Deutsche Telekom fallen offensichtlich in diese Sektoren. Doch auch der Mittelstand ist betroffen, etwa ein regionaler Energieversorger mit 80 Mitarbeitern oder ein IT-Dienstleister, der als Managed Service Provider arbeitet.
MSP und MSSP fallen unter IKT-Dienste (B2B) in Anlage 1, und viele Unternehmen übersehen diesen Punkt. Wer IT-Services für andere erbringt, steht in der Kategorie hoher Kritikalität. Entscheidend ist die tatsächliche Geschäftstätigkeit, nicht die Selbstbezeichnung als „IT-Beratung“ oder „Systemhaus“.
Anlage 2: 7 sonstige kritische Sektoren
| Sektor | Teilsektoren | Beispiele |
|---|---|---|
| Post und Kurier | Postdienstanbieter, Kurierdienste | Deutsche Post, DPD |
| Abfallbewirtschaftung | Sammlung, Behandlung, Entsorgung | Remondis |
| Chemie | Herstellung, Produktion, Vertrieb chemischer Stoffe | BASF, Evonik |
| Lebensmittel | Produktion, Verarbeitung, Großhandel | Südzucker, Metro |
| Verarbeitendes Gewerbe | 6 Teilsektoren (siehe unten) | TRUMPF, Continental |
| Digitale Dienste | Online-Marktplätze, Suchmaschinen, soziale Netzwerke | Zalando, CHECK24 |
| Forschung | Forschungseinrichtungen | Fraunhofer, Max-Planck |
Der Sektor Verarbeitendes Gewerbe trifft den Mittelstand besonders hart. Sechs Teilsektoren nach NACE-Klassifikation sind erfasst:
- Medizinprodukte (NACE 26.60)
- Datenverarbeitungsgeräte, Elektronik, Optik (NACE 26)
- Elektroausrüstungen (NACE 27)
- Maschinenbau (NACE 28)
- Kraftfahrzeuge und -teile (NACE 29)
- Sonstiger Fahrzeugbau (NACE 30, inkl. Schiffe, Schienenfahrzeuge, Luft-/Raumfahrt)
Die Bandbreite überrascht viele Unternehmen. Von Autoteilen über MRT-Geräte bis zu E-Mountainbikes reicht die NACE-Liste. Mittelständische Hersteller rechnen oft nicht damit, unter NIS 2 zu fallen. Sie sehen sich nicht als Teil einer kritischen Infrastruktur. Die Sektorzugehörigkeit ergibt sich jedoch allein aus dem NACE-Code und der Unternehmensgröße.
Praxis-Tipp: Prüfen Sie Ihren WZ-/NACE-Code in Ihrer Gewerbeanmeldung oder bei Ihrer IHK. Fällt er unter einen der sechs Bereiche und erreicht Ihr Unternehmen die Schwellenwerte, sind Sie NIS-2-pflichtig.
Für eine erste Orientierung eignet sich die DIHK-Übersicht, die alle 18 NIS-2-Sektoren aus Mittelstandsperspektive einordnet.
Schwellenwerte: Die Size-Cap-Regel und Konzernklausel erklärt
Ob Ihr Unternehmen unter NIS 2 fällt, bestimmt ein klares Prinzip: Sektorzugehörigkeit plus Unternehmensgröße. Die Size-Cap-Regel legt fest, ab welcher Größe Unternehmen in regulierten Sektoren als betroffen gelten. Die Schwellenwerte gemäß BSI-Betroffenheitsprüfung im Überblick:
| Kriterium | Besonders wichtige Einrichtung (bwE) | Wichtige Einrichtung (wE) |
|---|---|---|
| Beschäftigte | ab 250 | ab 50 |
| Jahresumsatz | über 50 Mio. EUR | über 10 Mio. EUR |
| Jahresbilanzsumme | über 43 Mio. EUR | über 10 Mio. EUR |
| Sektoren | nur Anlage 1 | Anlage 1 und 2 |
Die Kriterien sind über eine ODER/UND-Logik verknüpft: Ihr Unternehmen überschreitet die Schwelle, wenn es die Beschäftigtenzahl erreicht oder sowohl den Umsatz- als auch den Bilanzsummen-Schwellenwert übertrifft. Beide Finanzkennzahlen müssen gleichzeitig überschritten sein.
Ein Beispiel: Ein Unternehmen mit 45 Mitarbeitern, 12 Mio. EUR Umsatz und 11 Mio. EUR Bilanzsumme fällt als wichtige Einrichtung unter NIS 2. Liegt die Bilanzsumme dagegen bei nur 8 Mio. EUR, greift die Regelung nicht, solange weniger als 50 Personen beschäftigt sind.
Wie viele Unternehmen tatsächlich betroffen sind, hat die IW-Köln-Studie sektorspezifisch untersucht. Somit geraten unzählige mittelständische Betriebe in den Regulierungsfokus, die sich bisher nicht als verwundbar oder kritisch eingestuft haben.
Konzernklausel: Wenn die Konzerngröße entscheidet
Bei der Größenberechnung zählen nicht nur die Kennzahlen der einzelnen Gesellschaft. Gehört Ihr Unternehmen zu einem Konzern, müssen verbundene Unternehmen und Partnerunternehmen einbezogen werden. Die Zurechnungslogik folgt der EU-Empfehlung 2003/361/EG: Bei einer Beteiligung über 50 % werden Mitarbeiterzahl, Umsatz und Bilanzsumme vollständig addiert. Anteilig zugerechnet wird bei Beteiligungen zwischen 25 und 50 %. Selbst natürliche Personen können Unternehmen als verbundene Gesellschaften verknüpfen.
**Ein Beispiel verdeutlicht die Auswirkungen: Eine Maschinenbau-Tochter beschäftigt 35 Mitarbeiter und erwirtschaftet 8 Mio. EUR Umsatz. Isoliert betrachtet liegt sie unter beiden Schwellenwerten. Der Mutterkonzern hat jedoch 800 Beschäftigte. Durch die Konzernzurechnung überschreitet die Tochter die Schwelle und wird als NIS-2-pflichtige Einrichtung eingestuft.
Oft betrachten Unternehmen fälschlicherweise nur isolierte GmbH-Zahlen anstatt der konsolidierten Gruppenwerte.
Drei Konstellationen werden regelmäßig übersehen:
- Ausländische Muttergesellschaften: Die Kennzahlen des gesamten Konzerns fließen ein. Eine deutsche GmbH wird durch den internationalen Verbund NIS-2-pflichtig, auch wenn sie lokal nur 20 Mitarbeiter beschäftigt.
- Holdings ohne Sektorzugehörigkeit: Eine reine Holding fällt nicht direkt unter NIS 2. Erbringt sie jedoch IT-Dienstleistungen für operative Tochtergesellschaften, kann sie über die Lieferkettenpflicht vertraglich gebunden werden.
- Ausnahme bei Unabhängigkeit: § 28 Abs. 4 Satz 2 BSIG erlaubt den Verzicht auf Konzernzurechnung, wenn Netz- und Informationssysteme vollständig getrennt betrieben werden. Bei gemeinsamer IT-Infrastruktur greift diese Ausnahme selten.
Das IDW Knowledge Paper erläutert die Size-Cap-Regel und die Größenberechnung bei verbundenen Unternehmen im Detail. Prüfen Sie dort die Zurechnungsregeln, wenn Ihr Unternehmen Teil einer Konzernstruktur ist.
Besonders wichtige vs. wichtige Einrichtungen: Einstufung und Pflichten
Welche Pflichten für NIS-2-betroffene Unternehmen gelten, hängt von ihrer Einstufung ab. Das Gesetz unterscheidet besonders wichtige Einrichtungen (bwE) und wichtige Einrichtungen (wE). Beide müssen dieselben Sicherheitsmaßnahmen umsetzen und Vorfälle melden. Die Unterschiede liegen bei Aufsicht und Bußgeldhöhe.
bwE vs. wE im Vergleich
Die §§ 28 und 29 BSIG definieren beide Kategorien abschließend. Schwellenwerte finden sich in der Betroffenheitsprüfung des BSI.
| Dimension | Besonders wichtige Einrichtung (bwE) | Wichtige Einrichtung (wE) |
|---|---|---|
| Typische Größe | Großunternehmen: ≥ 250 Beschäftigte oder > 50 Mio. EUR Umsatz und > 43 Mio. EUR Bilanzsumme | Mittlere Unternehmen: ≥ 50 Beschäftigte oder > 10 Mio. EUR Umsatz und > 10 Mio. EUR Bilanzsumme |
| Sektorzugehörigkeit | Nur Anlage-1-Sektoren (hohe Kritikalität) | Anlage 1 und Anlage 2; auch Großunternehmen in Anlage-2-Sektoren |
| Aufsichtsart | Proaktiv: Das BSI prüft ohne Anlass | Reaktiv: Das BSI wird nur anlassbezogen tätig |
| Nachweispflicht | Regelmäßige Zyklusnachweise gegenüber dem BSI | Nachweise nur auf Anforderung |
| Bußgeldrahmen | Bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes (der höhere Betrag gilt) | Bis 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes (der höhere Betrag gilt) |
| Meldepflicht bei Vorfällen | Erstmeldung 24 h, Update 72 h, Abschlussbericht 1 Monat | Identisch |
| Registrierung beim BSI | Pflicht | Pflicht (identisch) |
Proaktive vs. reaktive Aufsicht
Für besonders wichtige Einrichtungen kann das BSI jederzeit Sicherheitsaudits anordnen, Dokumentationen anfordern und Vor-Ort-Prüfungen durchführen. Ein konkreter Vorfall ist dafür nicht nötig. Wichtige Einrichtungen werden dagegen nur anlassbezogen geprüft, etwa nach einem Sicherheitsvorfall oder einem Hinweis Dritter.
Das BSI hat angekündigt, aktiv nach nicht registrierten Unternehmen zu suchen. Als Datenquellen dienen Branchen- und Handelsregister, Meldungen von Geschäftspartnern und eigene Erhebungen. Die Registrierungsfrist für bwE endete am 6. März 2026. Nur rund 11.500 der geschätzten 29.500 Betroffenen hatten sich bis dahin registriert.
KRITIS-Betreiber gelten automatisch als bwE
Betreibt Ihr Unternehmen eine kritische Anlage nach der KRITIS-Verordnung? Dann sind Sie laut BSI automatisch besonders wichtige Einrichtung. Die Size-Cap-Prüfung entfällt. Die NIS-2-Pflichten gelten für das gesamte Unternehmen, für die kritische Anlage kommen die erhöhten KRITIS-Anforderungen hinzu.
Bestimmte Einrichtungsarten werden ebenfalls größenunabhängig als bwE eingestuft, darunter qualifizierte Vertrauensdiensteanbieter, TLD-Namenregister und DNS-Diensteanbieter. Der Abschnitt „Sonderfälle“ behandelt diese Fälle im Detail.
Bußgelder im Detail
Der Bußgeldrahmen im BSIG orientiert sich am DSGVO-Modell mit umsatzabhängiger Komponente.
Besonders wichtige Einrichtungen (bwE):
- Bis zu 10 Mio. EUR oder 2 % des weltweiten Konzern-Jahresumsatzes
- Es gilt jeweils der höhere Betrag
- Rechenbeispiel: Bei 600 Mio. EUR Konzernumsatz liegt die Obergrenze bei 12 Mio. EUR (2 % von 600 Mio. > 10 Mio. EUR Festbetrag)
Wichtige Einrichtungen (wE):
- Bis zu 7 Mio. EUR oder 1,4 % des weltweiten Konzern-Jahresumsatzes
- Auch hier gilt der höhere Betrag
Entscheidend ist der weltweite Konzernumsatz, nicht der Einzelgesellschaftsumsatz. Ein Zulieferer mit 30 Mio. EUR eigenem Umsatz, der zu einem 500-Mio.-EUR-Konzern gehört, wird an der Gesamtgröße gemessen.
Praxis-Tipp: Dokumentieren Sie Ihre Einstufung als bwE oder wE schriftlich mit den zugrunde gelegten Kennzahlen. Das BSI kann diese Einordnung jederzeit anfordern.
Sonderfälle: Wer ist größenunabhängig betroffen?
Die Size-Cap-Regel greift nicht immer. Vier Einrichtungstypen stuft das Gesetz automatisch als besonders wichtige Einrichtungen (bwE) ein, unabhängig von Mitarbeiterzahl, Umsatz oder Bilanzsumme. Auch ein Unternehmen mit zehn Beschäftigten fällt hier unter die vollen NIS-2-Pflichten.
Laut BSI-Betroffenheitsprüfung betrifft das konkret:
- Qualifizierte Vertrauensdiensteanbieter: Unternehmen, die qualifizierte elektronische Signaturen, Siegel oder Zeitstempel nach der eIDAS-Verordnung ausstellen
- TLD-Namenregister (Top-Level-Domain-Registries): Organisationen, die eine Top-Level-Domain wie .de oder .eu verwalten
- DNS-Diensteanbieter: Betreiber von DNS-Infrastruktur, die Domainnamen in IP-Adressen auflösen
- Betreiber öffentlicher Telekommunikationsnetze oder -dienste: Anbieter von Telefon-, Mobilfunk- oder Internetdiensten für die Öffentlichkeit
Warum diese Sonderbehandlung?
Diese vier Kategorien stellen elementare Basisfunktionen der digitalen Kommunikation bereit. Fällt ein DNS-Dienst aus, sind Millionen Websites nicht mehr erreichbar. Wird ein qualifizierter Vertrauensdienst kompromittiert, verlieren digitale Signaturen ihre Verlässlichkeit. Die Auswirkungen eines Sicherheitsvorfalls sind hier systemisch, egal ob der Betreiber 15 oder 1.500 Mitarbeiter beschäftigt.
Der Gesetzgeber hat deshalb bewusst entschieden: Bei kritischer Infrastrukturfunktion zählt nicht die Unternehmensgröße, sondern die Tragweite eines Ausfalls. Der BITKOM-Leitfaden liefert dazu detaillierte Handlungsempfehlungen speziell für DNS-Dienste und weitere größenunabhängig betroffene Digitalunternehmen.
Häufige Fehleinschätzung bei IT-Dienstleistern
Nicht nur die vier genannten Kategorien verdienen Aufmerksamkeit. Managed Service Provider (MSP) und Managed Security Service Provider (MSSP) können unter den Sektor IKT-Dienstleistungsmanagement (Anlage 1, hohe Kritikalität) fallen. Entscheidend ist die tatsächliche Geschäftstätigkeit, nicht die Selbstbezeichnung im Handelsregister. Wer IT-Dienste für andere Unternehmen betreibt und die Size-Cap-Schwelle erreicht, ist betroffen.
Praxis-Tipp: Wenn Ihr Unternehmen Vertrauensdienste, DNS-Dienste, TLD-Registries oder öffentliche Telekommunikationsnetze betreibt, greifen sämtliche NIS-2-Pflichten sofort. Eine Prüfung der Schwellenwerte können Sie sich sparen. Stattdessen sollten Sie direkt mit der BSI-Registrierung, dem Aufbau Ihres Risikomanagements und der Einrichtung der Meldeprozesse beginnen. Denn die Bußgelder für besonders wichtige Einrichtungen betragen bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ausfällt.
Indirekte Betroffenheit: NIS-2 und die Lieferkette
Die direkte Festlegung regulierter Einheiten löst einen Dominoeffekt aus. Die tatsächliche Reichweite geht über die primär erfassten Unternehmen weitreichend hinaus. § 30 Abs. 2 Nr. 4 BSIG verpflichtet alle NIS-2-betroffenen Einrichtungen, die Cybersicherheit ihrer unmittelbaren Zulieferer und Dienstleister zu berücksichtigen. Die Sicherheit der Lieferkette zählt zu den zehn gesetzlichen Pflichtmaßnahmen, nicht zu den freiwilligen Empfehlungen.
Selbst wenn Sie keinen der 18 NIS-2-Sektoren direkt bedienen und isoliert betrachtet unter den Schwellenwerten liegen, können Sie über vertragliche Anforderungen Ihrer Kunden faktisch mitreguliert werden.
Wie die indirekte Betroffenheit entsteht
Ein Stanzbetrieb mit 40 Mitarbeitern und 8 Mio. EUR Umsatz liefert Teile an einen Automobilhersteller. Der Hersteller fällt unter NIS-2 und muss seine Lieferkette absichern. Also erhält der Stanzbetrieb neue Vertragsbedingungen, die NIS-2-konforme Cybersicherheit fordern. Ohne Nachweis droht Kundenverlust.
Besonders häufig trifft es drei Unternehmenstypen.
- Software-Zulieferer, die Anwendungen für NIS-2-regulierte Kunden entwickeln oder betreiben
- Cloud-Dienstleister, die als zentraler Ausfallpunkt für hunderte Kunden fungieren (Stichwort SolarWinds-Angriff)
- IT-Wartungsfirmen, die über Remote-Zugänge direkt in die Infrastruktur ihrer Auftraggeber eingreifen
Fünf Vertragsklauseln, die auf Zulieferer zukommen
NIS-2-betroffene Unternehmen setzen die Lieferkettenanforderungen über konkrete Vertragsklauseln um:
- Sicherheitsstandards: Verpflichtung auf ISO 27001, BSI-Grundschutz oder TISAX
- Meldepflichten: Vorfälle innerhalb von 24 Stunden melden, damit der Auftraggeber seine gesetzlichen Fristen einhält
- Audit- und Kontrollrechte: Mindestens jährliche Prüfung bei kritischen Lieferanten
- Subunternehmer-Klauseln: Weitergabe der Anforderungen an Sub-Lieferanten
- Kündigungsrechte bei Nichteinhaltung
Standardisierte Instrumente erleichtern den Einstieg. Der BSI CyberRisikoCheck nach DIN SPEC 27076 bietet eine niedrigschwellige Standortbestimmung für KMU. ISO 27001 Annex A 5.19–5.22 liefert vier dedizierte Controls für das Lieferantenmanagement.
Der Kaskadeneffekt: 29.000 sind nur der Anfang
Das Gesetz adressiert unmittelbare Anbieter, also Tier-1-Zulieferer. Über Subunternehmer-Klauseln entsteht ein Dominoeffekt: Tier-1 gibt die Anforderungen an Tier-2 weiter, Tier-2 an Tier-3.
Besonders stark wirkt dieser Effekt in der Automobilindustrie, wo Just-in-Time-Fertigung und die TISAX-Kaskade seit 2017 dafür gesorgt haben, dass Sicherheitsanforderungen konsequent durchgereicht werden. Bei IT und Digitaler Infrastruktur sind Cloud-Provider und Managed-Service-Anbieter für hunderte Kunden gleichzeitig relevant. Ein Vorfall dort betrifft ganze Branchen. Im Gesundheitswesen ziehen Krankenhäuser als KRITIS-Betreiber ihre Medizintechnik-Zulieferer und IT-Dienstleister in die Pflicht.
Die Data-Reverse-Studie 2025 belegt, dass viele Unternehmen ihre indirekte Betroffenheit systematisch unterschätzen. Sie prüfen Sektorzugehörigkeit und Unternehmensgröße, übersehen aber die Lieferkettenanforderungen ihrer Kunden. Wer erst reagiert, wenn die Vertragsanpassung auf dem Tisch liegt, hat wertvolle Vorbereitungszeit verloren.
Praxis-Tipp: Fragen Sie Ihre fünf größten Kunden, ob diese unter NIS-2 fallen. Wenn ja, werden vertragliche Cybersicherheitsanforderungen auf Sie zukommen. Bereiten Sie sich jetzt vor. Ein externer Informationssicherheitsbeauftragter und ein cloudbasiertes ISMS-Tool schaffen die Grundlage, ohne dass Sie eine Vollzeitstelle einrichten müssen.
Geschäftsführerhaftung: Persönliche Verantwortung der Geschäftsleitung
§ 38 BSIG macht Cybersicherheit zur Chefsache. Für NIS-2-betroffene Unternehmen trägt die Geschäftsleitung drei Pflichten, die sich nicht an die IT-Abteilung delegieren lassen:
- Billigung der Risikomanagementmaßnahmen nach § 30 BSIG
- Überwachung der Umsetzung dieser Maßnahmen
- Teilnahme an regelmäßigen Cybersicherheitsschulungen
Wer diese Pflichten verletzt, haftet persönlich mit dem eigenen Privatvermögen.
Was die drei Pflichten konkret bedeuten
Billigung heißt nicht „Zur Kenntnis genommen“. Die Geschäftsleitung muss die zehn Pflichtmaßnahmen nach § 30 BSIG aktiv freigeben und dokumentiert bestätigen, dass sie dem Risikoprofil des Unternehmens entsprechen. Das setzt voraus, dass die Geschäftsführung die Maßnahmen inhaltlich versteht, nicht nur formal abzeichnet.
Überwachung verlangt regelmäßige Kontrolle. Gebilligte Maßnahmen, die nie überprüft werden, erfüllen die gesetzliche Anforderung nicht. Statusberichte, KPIs und feste Eskalationswege gehören in den Governance-Prozess.
Die Schulungspflicht betrifft die Geschäftsleitung persönlich. § 38 BSIG verpflichtet Geschäftsführer, selbst Cybersicherheitsschulungen zu absolvieren und Schulungen für Mitarbeitende zu ermöglichen. Das Gesetz nennt keinen festen Turnus. Die Fachwelt geht von einem Drei-Jahres-Zyklus aus, analog zur Nachweispflicht für Betreiber kritischer Anlagen. Anerkannte Formate reichen von BSI-Webinaren über IHK-Seminare bis zu TÜV- oder Bitkom-Akademie-Kursen.
Die Schulung muss vier Bereiche abdecken: Grundlagen des Risikomanagements, aktuelle Bedrohungslagen, die NIS-2-spezifischen Pflichten des Unternehmens und die persönlichen Haftungsfolgen. Ohne Dokumentation kein Nachweis. Teilnahmebestätigung mit Datum, Inhalt und Umfang, unterschrieben von jedem Mitglied der Geschäftsleitung.
Haftung ohne Ausweg
Bei Pflichtverletzung haftet die Geschäftsleitung mit ihrem Privatvermögen. Ein Haftungsverzicht durch die Gesellschaft ist gesetzlich ausgeschlossen. Im Vergleich zur DSGVO ist das eine deutliche Verschärfung. Die DSGVO kennt zwar höhere Bußgelder (bis 20 Mio. EUR oder 4 % des Umsatzes), aber weder eine persönliche Geschäftsführerhaftung noch ein Tätigkeitsverbot.
NIS-2 geht weiter: Bei besonders wichtigen Einrichtungen kann das BSI ein vorübergehendes Berufsverbot für Geschäftsführer verhängen. Die Bußgelder reichen bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes. Welche monetären Risiken bei Untätigkeit konkret entstehen, zeigt eine Analyse von IT-Daily mit Aufwandsschätzungen und Haftungsszenarien.
Stand März 2026 gibt es noch keine Sanktionsfälle. Berater und Anwälte rechnen damit, dass das BSI zunächst bei Sektoren wie Energie, Gesundheit und digitaler Infrastruktur durchgreifen wird. Für alle anderen NIS-2-betroffenen Unternehmen wird die Zeit, sich vorzubereiten, knapper.
Praxis-Tipp: Lassen Sie Ihre D&O-Versicherung auf NIS-2-Deckung prüfen. Mehrere Versicherer überarbeiten derzeit ihre Policen. Nicht jede bestehende Police deckt die persönliche Haftung nach § 38 BSIG automatisch ab.
So handeln Sie jetzt
Stellen Sie sicher, dass die Geschäftsleitung nicht nur informiert ist, sondern die Maßnahmen aktiv billigt und deren Wirksamkeit überwacht.
- Billigungsnachweise für alle Risikomanagementmaßnahmen erstellen und archivieren
- Überwachungsrhythmus mit festen Berichtsterminen und Verantwortlichkeiten definieren
- Schulungsplan für die Geschäftsleitung aufsetzen und Teilnahme lückenlos dokumentieren
- D&O-Police auf NIS-2-Deckung prüfen lassen
Wir erstellen das Schulungskonzept für Ihre Geschäftsleitung, dokumentieren die Billigungsnachweise und begleiten die BSI-Registrierung.
Nach der Betroffenheit: Diese Pflichten kommen auf Sie zu
Nach der Feststellung der eigenen NIS-2-Betroffenheit geht es an die zielgerichtete Umsetzung. Das Gesetz verlangt drei Dinge: die Registrierung beim BSI, die Umsetzung von zehn Maßnahmenbereichen und die Fähigkeit, Sicherheitsvorfälle innerhalb enger Fristen zu melden.
Registrierung beim BSI
Betroffene Einrichtungen müssen sich im BSI-Portal registrieren und Kontaktdaten hinterlegen. Damit stellt das BSI sicher, dass es Sie im Krisenfall erreichen und warnen kann.
Das Portal ist seit dem 6. Januar 2026 online. Für besonders wichtige Einrichtungen lief die Registrierungsfrist am 6. März 2026 ab. Bis dahin hatten sich rund 11.500 der geschätzten 29.500 betroffenen Unternehmen registriert, also 38,5 %. Über 4.000 Registrierungen erfolgten allein in der letzten Woche vor dem Stichtag.
Ein häufiger Stolperstein: Die Registrierung erfordert ein ELSTER-Organisationszertifikat. Die Bearbeitungszeit beträgt 5 bis 10 Werktage inklusive Postversand. Falls Sie noch nicht registriert sind, handeln Sie sofort. Das BSI prüft aktiv über Handelsregister und Branchendaten, welche Unternehmen fehlen. Zu erwarten ist eine Eskalationskette von der formlosen Aufforderung über den formellen Bescheid bis zum Bußgeldverfahren.
Die Registrierung ist lediglich der erste formelle Schritt, keine abschließende Erfüllung der rechtlichen IT-Compliance.
Die 10 Maßnahmenbereiche nach § 30 BSIG
§ 30 BSIG schreibt zehn Risikomanagementmaßnahmen vor, die jede betroffene Einrichtung umsetzen muss:
- Risikoanalyse und Sicherheitskonzepte für Informationssysteme
- Vorfallsbewältigung (Erkennung, Analyse, Reaktion)
- Business Continuity und Krisenmanagement
- Sicherheit der Lieferkette einschließlich Bewertung der Zulieferer
- Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen
- Bewertung der Wirksamkeit der eigenen Maßnahmen
- Cyberhygiene und Schulungen für alle Mitarbeitenden
- Kryptografie und Verschlüsselungskonzepte
- Personalsicherheit und Zugriffskontrolle
- Multi-Faktor-Authentifizierung und gesicherte Kommunikation
Das IDW Knowledge Paper ordnet diese zehn Maßnahmen in bestehende Prüfungsstandards ein und liefert eine fachliche Einordnung für die Umsetzung.
Drei dieser Bereiche verursachen den größten Umsetzungsaufwand.
Die Lieferkettensicherheit (Nr. 4) verlangt, dass Sie die Cybersicherheit aller unmittelbaren Zulieferer bewerten und vertraglich absichern. Qualifikationen und Sicherheitsüberprüfungen des Personals bei Dienstleistern entziehen sich dabei Ihrer Kontrolle. Genau das macht diese Anforderung so aufwendig.
Bei der Wirksamkeitsmessung (Nr. 6) reicht es nicht, Maßnahmen einzuführen. Sie müssen nachweisen, dass diese tatsächlich wirken. Der Übergang von „audit-ready“ zu „incident-ready“ ist die Kernaufgabe.
Die Vorfallsbewältigung (Nr. 2) scheitert selten am Melden selbst, sondern am Erkennen. Ohne funktionierendes Monitoring erfahren Sie möglicherweise erst Tage nach einem Angriff davon. Die 24-Stunden-Frist können Sie dann nicht mehr einhalten.
ISO 27001 als Ausgangsbasis: Ein bestehendes ISMS nach ISO 27001 deckt ca. 70–80 % der NIS-2-Anforderungen ab. Die verbleibenden 20–30 % betreffen NIS-2-spezifische Pflichten, die ISO 27001 nicht kennt:
- Meldepflichten nach § 32 BSIG mit dem dreistufigen 24-h/72-h/30-Tage-Regime, das über das ISO-Incident-Management hinausgeht
- Persönliche Geschäftsleitungshaftung nach § 38 BSIG (Billigung, Überwachung, Schulungspflicht)
- BSI-Registrierung innerhalb von drei Monaten
- Erweiterung des Geltungsbereichs, da ISO-27001-Scopes oft nur Teile der Organisation abdecken
- Explizitere Lieferkettenabsicherung als die ISO-27001-Controls A.5.19–A.5.23 vorsehen
Wer TISAX oder ISO 27001 bereits hat, steht bei 70–80 %. Die verbleibenden 20–30 % entscheiden über persönliche Haftung und Bußgelder.
Meldepflichten und Fristen
Bei einem erheblichen Sicherheitsvorfall greift eine dreistufige Meldepflicht an das BSI:
| Frist | Meldung | Inhalt |
|---|---|---|
| ⏱ 24 Stunden | Erstmeldung (Frühwarnung) | Art des Vorfalls, betroffene Dienste |
| ⏱ 72 Stunden | Aktualisierte Bewertung | Schweregrad, Auswirkungen, Kompromittierungsindikatoren |
| ⏱ 1 Monat | Abschlussbericht | Ursachenanalyse, ergriffene Gegenmaßnahmen |
Alle Fristen laufen ab Kenntnis des Vorfalls. Genau hier liegt das Problem: Ohne automatisiertes Monitoring erfahren Sie möglicherweise erst Tage nach einem Angriff davon. Die 24-Stunden-Frist ist dann nicht mehr einzuhalten. International tätige Unternehmen stehen zusätzlich vor der Herausforderung, dass verschiedene EU-Mitgliedstaaten unterschiedliche nationale Anforderungen an den Meldeweg stellen.
Praxis-Tipp: Definieren Sie vorab, wer in Ihrem Unternehmen eine Meldung auslöst, über welchen Kanal sie ans BSI geht und welche Informationen die Erstmeldung mindestens enthält. Dieser Prozess passt auf eine halbe Seite. Testen Sie ihn einmal als Trockenübung, bevor der Ernstfall eintritt.
Abgrenzung: NIS-2 vs. KRITIS vs. DORA
Viele betroffene Organisationen in Deutschland fallen nicht nur unter das NIS2UmsuCG. Wer als Einrichtung im Finanzsektor, in der Energieversorgung oder in der Telekommunikation tätig ist, steht vor Mehrfachregulierung. Die drei Regelwerke überschneiden sich teilweise, setzen aber unterschiedliche Schwerpunkte.
| Kriterium | NIS-2 (BSIG) | KRITIS (KRITIS-DachG) | DORA |
|---|---|---|---|
| Zielgruppe | 18 Sektoren, ca. 29.000 Unternehmen | Betreiber kritischer Anlagen (Strom, Wasser, Gesundheit u. a.) | Finanzunternehmen (Banken, Versicherer, Zahlungsdienstleister) |
| Schwerpunkt | IT-Sicherheit und Risikomanagement | Physische und IT-Resilienz kritischer Anlagen | Digitale operationale Resilienz |
| Rechtscharakter | Nationale Umsetzung der EU-Richtlinie | Nationale Regulierung | Direkt geltende EU-Verordnung |
| Aufsicht | BSI | BSI + BBK | BaFin |
| Meldepflichten | 24 h/72 h/1 Monat an BSI | Zusätzliche Meldepflichten für Anlagenbetreiber | Meldung an BaFin |
| Überschneidung | KRITIS-Betreiber gelten automatisch als bwE | NIS-2-Pflichten gelten zusätzlich | Ersetzt NIS-2-Kernpflichten im Finanzsektor |
Eine OpenKRITIS-Übersicht dokumentiert die Abgrenzung und Vorbereitungs-Timelines für Betreiber unter beiden Regulierungen.
Welches Gesetz gilt vorrangig?
Die Abgrenzung folgt dem Lex-specialis-Prinzip: Sektorspezifische Regelungen gehen vor, soweit sie mindestens gleichwertige Anforderungen stellen.
Finanzsektor: DORA ist als EU-Verordnung direkt anwendbar und hat Vorrang. § 28 Abs. 5 BSIG nimmt Finanzunternehmen von wesentlichen NIS-2-Pflichten aus. Die Meldung erfolgt an die BaFin, nicht ans BSI.
KRITIS-Betreiber: Wer eine kritische Anlage betreibt, zählt automatisch als besonders wichtige Einrichtung (bwE). Beide Pflichtenkataloge gelten parallel: NIS-2 für das gesamte Unternehmen, KRITIS-spezifische Auflagen für die kritische Anlage selbst.
Energie und Telekommunikation: Hier greifen zusätzlich EnWG bzw. TKG. Im selben Unternehmen gelten dann NIS-2-Pflichten für die allgemeine IT und sektorspezifische Pflichten für die regulierte Infrastruktur.
Doppelaufwand vermeiden, Unterschiede erkennen
Unternehmen, die unter mehrere Regelwerke fallen, müssen Maßnahmen oder Nachweise nicht doppelt erbringen. Risikomanagement, Incident Response und Schulungsprogramme lassen sich über ein integriertes ISMS nach ISO 27001 konsolidieren. Wer bereits ein ISMS betreibt, kann auf diesem aufbauen.
Die Herausforderung liegt im Detail. Drei Punkte erfordern bewusste Koordination:
- Meldewege: BSI (NIS-2/KRITIS) und BaFin (DORA) erwarten unterschiedliche Formate und Fristen.
- Registrierungspflichten: Jedes Regelwerk verlangt eigene Registrierungen bei der zuständigen Behörde.
- Audit-Zyklen: Prüfintervalle und Nachweispflichten unterscheiden sich je nach Regulierung.
Wer die Regelwerke isoliert abarbeitet, vervielfacht den Aufwand. Eine übergreifende Gap-Analyse deckt Überschneidungen auf und zeigt, wo tatsächlich zusätzlicher Handlungsbedarf besteht.
Praxis-Tipp: Wir erstellen Ihre Gap-Analyse über alle drei Regulierungen, identifizieren Überschneidungen und priorisieren die verbleibenden Maßnahmen nach Aufwand und Risiko.
Fazit: NIS-2-Betroffenheit prüfen und fokussiert handeln
Das NIS2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 geltendes Recht. Rund 29.000 Unternehmen in Deutschland sind direkt betroffen, doch am Stichtag der BSI-Registrierungsfrist im März 2026 hatten sich nur 38,5 % registriert. Wer bisher nicht gehandelt hat, verstößt bereits gegen geltendes Recht.
Drei Punkte entscheiden, ob Ihr Unternehmen handeln muss:
- Sektor → Größe → Einstufung: Die Betroffenheitsprüfung folgt einer klaren Logik. Gehört Ihr Unternehmen zu einem der 18 NIS-2-Sektoren und überschreitet die Schwellenwerte (ab 50 Beschäftigten oder über 10 Mio. EUR Umsatz und Bilanzsumme), fallen Sie unter die Regulierung. Die BSI-Betroffenheitsprüfung liefert Ihnen innerhalb weniger Minuten eine erste Einschätzung.
- Indirekte Betroffenheit nicht unterschätzen: Auch ohne eigene Sektorzugehörigkeit können Sie über zwei Wege in den Geltungsbereich fallen. Die Konzernklausel rechnet Mitarbeiterzahlen und Umsätze verbundener Unternehmen zusammen. Und als Zulieferer eines NIS-2-pflichtigen Kunden treffen Sie dessen Anforderungen an die Lieferkettensicherheit, vertraglich durchgereicht.
- Pflichten nach der Feststellung: Betroffene Unternehmen müssen 10 Risikomanagementmaßnahmen nach § 30 BSIG umsetzen, sich beim BSI registrieren und die dreistufige Meldepflicht bei Sicherheitsvorfällen einhalten: Erstmeldung binnen 24 Stunden, Bewertung nach 72 Stunden, Abschlussbericht nach einem Monat. Die Geschäftsleitung haftet persönlich für die Umsetzung.
Das BSI hat angekündigt, über Handelsregister und Branchendaten aktiv nach nicht registrierten Unternehmen zu suchen. Bei besonders wichtigen Einrichtungen drohen Bußgelder bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes. Abwarten ist keine Option mehr.
Klare nächste Schritte
Wir erstellen Ihre Gap-Analyse, begleiten die BSI-Registrierung und schulen Ihr Führungsteam zu den persönlichen Haftungspflichten. Buchen Sie jetzt ein unverbindliches Erstgespräch.
FAQ: Häufige Fragen zur NIS-2-Betroffenheit
Ja, die Pflicht zur Selbstidentifizierung liegt bei Ihnen. Anders als bei KRITIS gibt es keine behördliche Benachrichtigung, und das BSI-Betroffenheitstool dient lediglich als Orientierungshilfe ohne rechtliche Indizwirkung. Wer die BSI-Registrierung versäumt, riskiert Bußgelder, auch ohne vorherigen Sicherheitsvorfall.
Ja, in mehreren Konstellationen. Über die Konzernklausel (EU-Empfehlung 2003/361/EG) werden Mitarbeiterzahlen und Umsätze verbundener Unternehmen konsolidiert, sodass eine kleine GmbH durch den Konzernverbund die Schwellenwerte überschreitet. Bestimmte Einrichtungsarten wie DNS-Dienste oder qualifizierte Vertrauensdiensteanbieter fallen größenunabhängig unter NIS-2, und Kunden können Ihnen NIS-2-Anforderungen vertraglich über die Lieferkette auferlegen.
Ein bestehendes ISMS deckt ca. 70–80 % der NIS-2-Anforderungen ab. Die typischen Lücken liegen bei den gesetzlichen Meldepflichten (24h/72h/30 Tage an das BSI), der persönlichen Geschäftsleitungshaftung nach § 38 BSIG, der BSI-Registrierung und den Lieferketten-Anforderungen, die über die ISO-Controls hinausgehen. Eine gezielte Gap-Analyse zeigt Ihnen, welche Maßnahmen Sie konkret ergänzen müssen.
Die Rechtsform ist für die NIS-2-Betroffenheit irrelevant. Ob kommunaler Betrieb oder gemeinnütziger Träger: Entscheidend sind Sektorzugehörigkeit und Größe. Stadtwerke oder kommunale IT-Dienstleister fallen unter NIS-2, sobald sie in einem regulierten Sektor tätig sind und die Schwellenwerte erreichen.
Beide Pflichten bestehen parallel, unterscheiden sich aber in Adressat und Fristen. NIS-2-Meldungen gehen an das BSI in drei Stufen (24 Stunden, 72 Stunden, 1 Monat), DSGVO-Meldungen an die Datenschutzaufsichtsbehörde innerhalb von 72 Stunden. Da ein Cyberangriff mit Datenabfluss beide Pflichten gleichzeitig auslöst, brauchen Sie einen Incident-Response-Prozess, der beide Meldewege abdeckt.
„Seit 1996 berate ich verschiedenste Kunden – von KMU bis zu Großkonzernen. Meine Beratungsschwerpunkte liegen im Bereich der Informationssicherheit und der Managementsysteme. Neben den Projekteinsätzen in unterschiedlichen Branchen bin ich als Dozent für verschiedene Bildungsträger tätig. Meine Devise ist einfache, praktikable und wirtschaftliche Lösungen für unsere Kund*innen zu finden.“