NIS2: Welche Unternehmen sind betroffen? Sektoren, Kriterien und Betroffenheitsprüfung

Die NIS2-Richtlinie betrifft in Deutschland rund 30.000 Unternehmen. Seit Dezember 2025 ist das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in Kraft, und die Pflichten gelten ohne Übergangsfrist. Trotzdem herrscht bei vielen Unternehmen Unsicherheit: Fällt mein Betrieb unter die Regulierung? Welcher Kategorie gehöre ich an? Und was bedeutet das konkret?

Dieser Artikel beantwortet diese Fragen mit einer klaren Prüflogik. Drei Kriterien bestimmen, ob ein Unternehmen betroffen ist: Sektor, Größe und Einstufung. Wer alle drei Schritte durchläuft, weiß innerhalb weniger Minuten, wo das eigene Unternehmen steht.

Bin ich betroffen? Die 3 Prüfkriterien nach §28 BSIG

NIS2 betrifft Unternehmen in Deutschland, die drei Kriterien erfüllen: Zugehörigkeit zu einem der 18 regulierten Sektoren, mindestens 50 Mitarbeiter oder über 10 Mio. EUR Jahresumsatz, und Einstufung als besonders wichtige oder wichtige Einrichtung nach §28 BSIG. Die Prüfung folgt einer festen Reihenfolge.

Kriterium 1: Sektor (Anhang I oder II)

Das NIS2UmsuCG reguliert 18 Sektoren, aufgeteilt in zwei Gruppen. Anlage 1 umfasst 11 Sektoren hoher Kritikalität (darunter Energie, Transport, Bankwesen, Gesundheit und digitale Infrastruktur). Anlage 2 ergänzt 7 weitere kritische Sektoren wie Lebensmittelproduktion, Chemie und verarbeitendes Gewerbe. Wer in keinem dieser Sektoren tätig ist, fällt nicht unter NIS2. Die vollständige Sektorenliste mit Beispielunternehmen finden Sie weiter unten.

Kriterium 2: Unternehmensgröße (Size-Cap-Regel)

Die sogenannte Size-Cap-Regel orientiert sich an der EU-KMU-Definition (Empfehlung 2003/361/EG). Ein Unternehmen überschreitet die Schwelle, wenn es mindestens 50 Mitarbeiter beschäftigt oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils mehr als 10 Mio. EUR aufweist. Beachten Sie: Bei der Berechnung zählen beide Bedingungen alternativ. Es reicht, eine der beiden Schwellen zu überschreiten.

Bei Konzernstrukturen werden verbundene Unternehmen zusammengerechnet. Eine GmbH mit 30 Mitarbeitern, die Teil eines Konzerns mit 500 Beschäftigten ist, überschreitet die Schwelle über die Konzernklausel. Diese Regelung überrascht regelmäßig mittelständische Tochtergesellschaften, die sich als eigenständige Kleinunternehmen betrachten. Die EU-Definition schaut auf die wirtschaftliche Einheit, nicht auf die rechtliche Hülle.

Kriterium 3: Besonders wichtig oder wichtig (§28 BSIG)

Wer Sektor und Größe erfüllt, wird in eine von zwei Kategorien eingestuft. Besonders wichtige Einrichtungen (bwE) sind Unternehmen in Sektoren der Anlage 1 mit mindestens 250 Mitarbeitern oder über 50 Mio. EUR Umsatz bei gleichzeitig über 43 Mio. EUR Bilanzsumme. Wichtige Einrichtungen (wE) sind alle übrigen Unternehmen, die die Size-Cap-Schwelle überschreiten. Die Einstufung bestimmt den Umfang der Pflichten und die Höhe möglicher Bußgelder.

Das BSI stellt ein Online-Tool zur Betroffenheitsprüfung bereit. Das Ergebnis ist nicht rechtsverbindlich, gibt aber eine erste Orientierung.

Besonders wichtige vs. wichtige Einrichtungen

Die Unterscheidung zwischen bwE und wE klingt technisch, hat aber konkrete Auswirkungen auf den Alltag betroffener Unternehmen. Der größte Unterschied liegt in der Art der Aufsicht: bwE werden proaktiv vom BSI überwacht, wE nur anlassbezogen.

Die Tabelle zeigt: Bei Risikomanagement und Meldepflichten gelten für beide Kategorien identische Anforderungen. Der Unterschied liegt vor allem in der Aufsichtsintensität und den Bußgeldhöhen. Für bwE bedeutet die proaktive Aufsicht: Das BSI kann jederzeit Audits anordnen, Dokumentation anfordern und Vor-Ort-Prüfungen durchführen. Bei wE wird das BSI erst aktiv, wenn ein Vorfall gemeldet wird oder konkrete Anhaltspunkte für Verstöße vorliegen.

In der Praxis hat die Einstufung als bwE eine weitere Konsequenz: Der Nachweis nach §39 BSIG muss proaktiv alle drei Jahre erbracht werden. Unternehmen, die bereits ein ISMS nach ISO 27001 betreiben, haben hier einen Vorsprung, weil die bestehende Zertifizierung einen Großteil der Nachweispflichten abdeckt. Wer noch kein ISMS hat, sollte den Aufbau jetzt priorisieren, denn die erste Nachweisfrist läuft. Mit welchen konkreten Strafen Unternehmen bei Verstößen rechnen müssen, erklärt unser Artikel zu NIS2-Strafen und Sanktionen.

\"Die größte Unsicherheit bei NIS2 sehe ich bei mittelständischen Zulieferern: Sie fallen oft nicht direkt unter die Richtlinie, werden aber über die Lieferketten-Anforderungen ihrer Kunden de facto zu NIS2-Compliance verpflichtet. Wer als Zulieferer eines betroffenen Unternehmens arbeitet, sollte die eigene Betroffenheit unabhängig von der formalen Einstufung prüfen.\"

Bettina Stearn, ISO/IEC 27001 Auditorin & QM-Fachexpertin bei SECJUR

Alle 18 Sektoren mit Beispielunternehmen

Die Sektorzuordnung ist in der Praxis weniger eindeutig, als das Gesetz vermuten lässt. Viele Unternehmen agieren in mehreren Branchen gleichzeitig, und die Abgrenzung der Teilsektoren erfordert eine genaue Analyse der eigenen Geschäftsfelder. Die folgende Übersicht zeigt für jeden der 18 Sektoren typische deutsche Unternehmen als Orientierung.

11 Sektoren hoher Kritikalität (Anlage 1)

7 sonstige kritische Sektoren (Anlage 2)

Die Zuordnung zu einem Sektor hängt von der konkreten Geschäftstätigkeit ab, nicht vom Branchencode im Handelsregister. Ein IT-Dienstleister, der Managed Security Services für Energieversorger betreibt, fällt unter IKT-Dienstemanagement, nicht unter Energie. Ein Maschinenbauer, der auch Medizinprodukte fertigt, kann sowohl unter \"Verarbeitendes Gewerbe\" als auch unter \"Gesundheitswesen\" fallen. Im Zweifel lohnt eine systematische Analyse der eigenen Wertschöpfungskette.

Besonders relevant ist der Sektor \"Verarbeitendes Gewerbe\" in Anlage 2: Er umfasst Hersteller von Medizinprodukten, Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen, elektrischen Ausrüstungen, Kraftwagen und Kraftwagenteilen sowie den Maschinenbau. Viele deutsche Mittelständler in diesen Branchen sind sich ihrer NIS2-Betroffenheit nicht bewusst, weil sie sich nicht als \"kritische Infrastruktur\" verstehen. NIS2 geht aber weit über KRITIS hinaus.

Sonderfälle: Kleinunternehmen, Kommunen und Zulieferer

Auch Unternehmen unter der Size-Cap-Schwelle können unter NIS2 fallen. Das Gesetz definiert mehrere Ausnahmen, bei denen die Größe keine Rolle spielt. Wer sich allein auf die 50-Mitarbeiter-Grenze verlässt, wiegt sich möglicherweise in falscher Sicherheit.

Ausnahmen unter der Size-Cap-Regel

Unabhängig von Mitarbeiterzahl und Umsatz gelten die NIS2-Pflichten für qualifizierte Vertrauensdiensteanbieter (nach eIDAS-Verordnung), Anbieter von DNS-Diensten, TLD-Namenregistries, Anbieter öffentlicher Telekommunikationsnetze und öffentlich zugänglicher Telekommunikationsdienste. Für diese Unternehmen greift §28 BSIG direkt, unabhängig von der Unternehmensgröße.

Öffentliche Verwaltung (§29 BSIG)

Die Einrichtungen der Bundesverwaltung fallen als besonders wichtige Einrichtungen unter das NIS2UmsuCG. Bei Ländern und Kommunen ist die Lage weniger klar: Das Bundesgesetz gilt für sie nicht direkt, aber Landesgesetze können vergleichbare Pflichten definieren. Kommunen, die IT-Dienstleistungen für Bundesbehörden erbringen, sind über diese Lieferbeziehung indirekt betroffen.

Indirekt betroffene Zulieferer

§30 Abs. 2 Nr. 4 BSIG verpflichtet betroffene Unternehmen, die Sicherheit ihrer Lieferkette zu gewährleisten. In der Praxis bedeutet das: Auch Zulieferer, die selbst nicht unter NIS2 fallen, bekommen die Anforderungen über vertragliche Klauseln ihrer Kunden weitergereicht. Cybersecurity-Vorgaben, Audit-Rechte und Incident-Notification-Klauseln landen in Dienstleistungsverträgen.

Dieser vertragliche Durchgriff betrifft besonders Software-Zulieferer, Cloud-Dienstleister und IT-Wartungsfirmen, die Zugang zu den Systemen betroffener Unternehmen haben. Wer heute keine Antwort auf die Frage \"Wie stellen Sie Ihre Informationssicherheit sicher?\" parat hat, verliert Kunden an Wettbewerber, die ein ISMS vorweisen können. ISMS-Plattformen wie SECJUR Digital Compliance Office helfen Zulieferern, diese Anforderungen strukturiert umzusetzen, ohne bei null anfangen zu müssen. Wie die Lieferketten-Sicherheit im Detail funktioniert, erklärt unser Artikel zur NIS2-Lieferkettensicherheit.

NIS2-Betroffenheitscheck mit SECJUR

Die Betroffenheitsprüfung ist nur der erste Schritt. Wer feststellt, dass sein Unternehmen unter NIS2 fällt, steht vor der nächsten Frage: Wie setze ich die zehn Maßnahmenbereiche aus §30 BSIG um? Die Anforderungen lesen sich wie das Inhaltsverzeichnis eines Informationssicherheitsmanagementsystems (ISMS). Risikoanalyse, Vorfallmanagement, Business Continuity, Lieferkettensicherheit, Kryptografie, Zugriffskontrolle: All das verlangt §30 BSIG. Wer bereits ein ISMS nach ISO 27001 betreibt, deckt damit rund 70-80 % der NIS2-Anforderungen ab.

Für Unternehmen, die noch kein ISMS haben, stellt sich die Frage nach dem effizientesten Weg. Klassische Beratungsprojekte dauern oft 9 bis 12 Monate und binden erhebliche interne Kapazitäten. Mit dem Digital Compliance Office von SECJUR lässt sich ein NIS2-konformes ISMS erfahrungsgemäß bis zu 50 % schneller aufbauen. Die Plattform deckt den gesamten Compliance-Lifecycle ab: von der Risikoanalyse über das Lieferkettenmanagement mit integrierten Lieferantenaudits bis zur Dokumentation für den BSI-Nachweis nach §39 BSIG.

Welche konkreten Maßnahmen betroffene Unternehmen nach §30 BSIG umsetzen müssen, beschreibt unser Leitfaden zu den NIS2-Anforderungen. Wie sich NIS2 von der bisherigen KRITIS-Regulierung unterscheidet und welche Zusatzpflichten für Betreiber kritischer Anlagen gelten, erklärt unser Artikel zur Abgrenzung NIS2 vs. KRITIS.