Für viele Unternehmen in Deutschland ist NIS2 kein abstraktes EU-Regelwerk mehr, sondern eine konkrete Managementaufgabe. Spätestens mit dem Start des NIS2-Registrierungsportals des Bundesamt für Sicherheit in der Informationstechnik ist klar: Die Frage „Wer ist von NIS2 betroffen?“ muss jetzt beantwortet werden. Betroffenheit entsteht ohne Bescheid – automatisch. Größe, Sektor & Lieferkette entscheiden. Viele Unternehmen schätzen sich falsch ein. Warum die Frage „Bin ich von NIS2 betroffen?“ jetzt entscheidend ist Betroffene Unternehmen und Einrichtungen sind verpflichtet, sich im BSI-Portal zu registrieren und ihre Einstufung selbst vorzunehmen. Ohne eine belastbare NIS2 Betroffenheitsprüfung lässt sich nicht beurteilen, ob diese Pflicht besteht – und ob ein Unternehmen als besonders wichtige oder wichtige Einrichtung gilt. Für die Geschäftsführung ist diese Einordnung entscheidend, weil NIS2 verankert Verantwortung explizit auf Leitungsebene. Haftung, Organisationspflichten und Nachweisanforderungen lassen sich nicht delegieren. Das betroffene Unternehmen ist gefordert, die fachliche Grundlage zu liefern, häufig ohne klare juristische Orientierung. In der Praxis zeigt sich: Unternehmen, die ihre Betroffenheit zu spät prüfen, verlieren Zeit und Handlungsspielraum. Budgets und Prioritäten lassen sich dann nur noch reaktiv steuern. Die Frage „Für wen gilt NIS2?“ ist damit keine Nebenfrage, sondern eine strategische Weichenstellung. Was bedeutet „NIS2 betroffen“ aus rechtlicher Sicht? „Von NIS2 betroffen“ zu sein ist keine technische Einstufung, sondern eine rechtliche. Die Richtlinie legt fest, welche Unternehmen und Einrichtungen bestimmten gesetzlichen Anforderungen unterliegen – unabhängig davon, wie gut das Thema Informationssicherheit aktuell aufgestellt ist. In der Praxis wird NIS2 häufig mit Sicherheitsmaßnahmen gleichgesetzt. Rechtlich geht es jedoch zunächst ausschließlich um den Geltungsbereich. Die zentrale Frage lautet: Fällt mein Unternehmen nach objektiven Kriterien unter die Richtlinie – ja oder nein? Die Betroffenheit entsteht kraft Gesetzes. Es gibt keinen Bescheid und keine vorherige Benachrichtigung. Unternehmen sind selbst dafür verantwortlich, ihre Einordnung vorzunehmen und diese im Zweifel gegenüber Behörden zu begründen. Genau deshalb ist die Betroffenheitsprüfung haftungsrelevant für die Geschäftsführung. Aussagen wie „Wir betreiben keine kritische Infrastruktur“ oder „Wir sind nur Dienstleister“ sind rechtlich nicht ausreichend. NIS2 bewertet nicht den Status quo der Informationssicherheit, sondern die Rolle eines Unternehmens im wirtschaftlichen und gesellschaftlichen Kontext. Formale Einordnung Diese Unternehmen fallen grundsätzlich unter die NIS2-Richtlinie Die Richtlinie unterscheidet zwischen wichtigen und besonders wichtigen Einrichtungen. Maßgeblich ist nicht die individuelle Sicherheitslage, sondern die formale Einordnung. Große Unternehmen Wesentliche und besonders wichtige Einrichtungen Zu den betroffenen Einrichtungen zählen insbesondere Betreiber kritischer Infrastruktur (KRITIS) sowie Unternehmen aus Sektoren mit hoher Kritikalität. Dazu gehören unter anderem Energie, Wasser, Verkehr, Gesundheitswesen sowie Teile der digitalen Infrastruktur. Entscheidend ist, dass bestimmte Schwellenwerte erfüllt werden. Mittlere Unternehmen Wichtige Einrichtungen Der Kreis der wichtigen Einrichtungen ist deutlich größer. Er umfasst viele Unternehmen, die sich selbst nicht als kritisch wahrnehmen, etwa aus Industrie, IT-Dienstleistung, Logistik, Chemie oder Anbieter digitaler Dienste. Auch Teile der öffentlichen Verwaltung können betroffen sein. In der Beratungspraxis zeigt sich, dass gerade mittelständische Unternehmen ihre Betroffenheit unterschätzen. Dennoch nehmen sie zentrale Rollen in Lieferketten ein. Kleine Unternehmen Abgrenzung zu „nicht betroffen“ Nicht jedes Unternehmen ist automatisch betroffen. Kleine Unternehmen unterhalb der Schwellenwerte sind in der Regel ausgenommen. Die Abgrenzung wird jedoch komplex bei Tochtergesellschaften, Konzernstrukturen oder gemischten Geschäftsmodellen. NIS2 Sektoren und Kriterien NIS2-Betroffenheit: Welche Kriterien wirklich zählen Ob ein Unternehmen von NIS2 betroffen ist, entscheidet sich nie an einem einzelnen Punkt. Relevant ist das Zusammenspiel mehrerer Kriterien. Ein zentrales Kriterium ist die Unternehmensgröße. NIS2 richtet sich in der Regel an Unternehmen ab 50 Mitarbeitenden oder einem Jahresumsatz von über 50 Millionen Euro. In bestimmten Konstellationen greift die sogenannte Size-Cap-Regel, bei der auch Unternehmen mit 43 Millionen Euro Umsatz relevant sein können. Wichtig: Verbundene Unternehmen können gemeinsam betrachtet werden. In der Praxis werden Gesellschaften häufig isoliert geprüft, obwohl sie wirtschaftlich zusammengehören. Weitere entscheidende Kriterien sind die Branche, die Rolle in Lieferketten sowie die Kritikalität der erbrachten Services. Diese Bewertung ist funktional, nicht technisch. Kriterien zur zur Einordnung der NIS2-Betroffenheit Welche Sektoren definiert NIS2? Energie Transport Banken Finanzmarktinfrastrukturen Gesundheitswesen Trinkwasserversorgung Abwasserentsorgung Digitale Infrastruktur Digitale Dienste & IKT-Dienstleistungen Öffentliche Verwaltung Raumfahrt Post- und Kurierdienste Abfallwirtschaft Chemische Industrie Lebensmittelproduktion und -verarbeitung Verarbeitendes Gewerbe Anbieter von Managed Services Forschungseinrichtungen mit hoher Kritikalität Sektoren im Vergleich von NIS1 zu NIS2 Gegenüberstellung der NIS1 und NIS2 Sektoren Warum viele Unternehmen ihre NIS2-Betroffenheit falsch einschätzen Häufige FehlerWarum das problematisch istNIS2 wird mit KRITIS gleichgesetztFehleinschätzungen entstehen selten aus Unwissen, sondern aus falschen Annahmen. Ein häufiger Fehler ist die Gleichsetzung von NIS2 mit klassischer kritischer Infrastruktur (KRITIS). NIS2 erweitert den Kreis der betroffenen Unternehmen deutlich.Dienstleister fühlen sich nicht betroffenDienstleister spielen eine zentrale Rolle in Lieferketten und sind daher häufig indirekt von NIS2 betroffen. Auch wenn sie nicht selbst als betroffene Einrichtung gelten, übernehmen sie in der Praxis Anforderungen von Unternehmen, die unter die NIS2-Richtlinie fallen.Tochtergesellschaften werden isoliert betrachtetEin weiterer Fehler liegt in der isolierten Betrachtung von Tochtergesellschaften. Erst bei konsolidierter Prüfung werden Schwellenwerte überschritten.Die Betroffenheitsprüfung wird häufig zu technisch angegangenChecklisten oder Reifegradmodelle beantworten nicht die Frage, wer von NIS2 betroffen ist, sondern wie gut ein Unternehmen aufgestellt ist. NIS2 Betroffenheitsprüfung: Warum eine Selbsteinschätzung nicht ausreicht Viele Unternehmen versuchen, ihre Betroffenheit intern zu klären. Das ist nachvollziehbar, reicht aber häufig nicht aus. Die Richtlinie lässt Interpretationsspielräume, die ohne regulatorische Erfahrung schwer sauber einzuordnen sind. In der Praxis werden relevante Aspekte übersehen, etwa verbundene Unternehmen oder tatsächliche Abhängigkeiten in Lieferketten. Zudem bewerten Geschäftsführung und IT-Leitung die Situation oft aus unterschiedlichen Perspektiven. Wichtig ist die klare Abgrenzung. Die Betroffenheitsprüfung klärt ausschließlich den Geltungsbereich – nicht die Umsetzung. Verantwortung der Geschäftsführung NIS2 adressiert ausdrücklich die Leitungsebene. Die Verantwortung beginnt bei der korrekten Einschätzung der eigenen Betroffenheit. Eine rein delegierte Bewertung ist nicht ausreichend. Die Geschäftsführung muss sicherstellen, dass die Entscheidung nachvollziehbar und dokumentiert ist. Unklare Zuständigkeiten werden von Aufsichtsbehörden kritisch bewertet. NIS2-Betroffenheits-Checker: Klarheit in wenigen Minuten Finden Sie jetzt heraus, ob Ihr Unternehmen von der NIS2-Richtlinie betroffen ist: Erneut starten NIS2-Whitepaper herunterladen und Compliance-Lücken beheben Fazit Die Frage „NIS2 – wer ist betroffen?“ ist eine Managemententscheidung. Sie entscheidet über Pflichten, Verantwortung und strategischen Handlungsbedarf. Unternehmen, die ihre Betroffenheit frühzeitig und strukturiert prüfen, schaffen Klarheit – intern wie extern. Genau das ist der sachliche Einstieg in NIS2. FAQ: Häufige Fragen zur NIS2-Betroffenheit Wer ist von NIS2 betroffen? Unternehmen und Einrichtungen, die einem der 18 Sektoren zuzuordnen sind und die relevanten Größen- oder Bedeutungsmerkmale erfüllen. Für wen gilt NIS2 konkret? In der Regel für Unternehmen mit mindestens 50 Mitarbeitenden oder mehr als 50 Millionen Euro Umsatz. In bestimmten Fällen greift die Size-Cap-Regel. Gilt NIS2 auch für Dienstleister? In der Praxis sind Dienstleister häufig indirekt betroffen. Sie nehmen eine wichtige Rolle in der Lieferkette ein und erbringen wesentliche Dienste für Unternehmen, die nach NIS2 als kritische oder wichtige Einrichtungen gelten. In diesen Fällen „erben“ Dienstleister Anforderungen, etwa über vertragliche Pflichten, Sicherheitsvorgaben oder Nachweisanforderungen ihrer Kunden. Zählt meine Tochtergesellschaft dazu? Häufig ja. Verbundene Unternehmen können gemeinsam betrachtet werden. Ab wann muss die Betroffenheit nachgewiesen sein? Mit der nationalen Umsetzung und insbesondere im Zusammenhang mit der Registrierung im BSI-Portal. Weitere NIS2 Artikel Diese Artikel könnten Sie auch interessieren: Frist zur NIS2 Registrierung beim BSI abgelaufen Die NIS2-Registrierungsfrist lief am 6. März 2026 ab. Nur 39 % der betroffenen Unternehmen haben sich beim BSI registriert. Warum so viele gescheitert sind – und wie Sie die Registrierung jetzt rechtssicher nachholen. NIS2 Weiterlesen → So setzen Sie die NIS2-Anforderungen effizient um Seit dem 6. Dezember 2025 gilt NIS2 verbindlich. Jetzt zählt: Risiken kennen, Verantwortlichkeiten klären, Security verankern – wir zeigen, wie es gelingt. NIS2 Weiterlesen → NIS2: Umgang mit IT-Sicherheitsvorfällen im Unternehmen Steigende IT-Abhängigkeit und komplexe Bedrohungen machen Sicherheitsvorfälle für Unternehmen unvermeidbar. Erfahren Sie in unserem Blog, wie ein adäquater Umgang Schäden minimiert, Geschäftskontinuität sichert und EU-Richtlinie NIS-2 erfüllt wird. Informationssicherheit Weiterlesen → NIS2 Checkliste: Der Guide für Verantwortliche Die NIS2 Checkliste unterstützt Sie Schritt für Schritt, die wichtigsten Anforderungen zu verstehen und auf Ihr Unternehmen anzuwenden. Nutzen Sie sie als einfaches NIS2 Tool zur Selbstbewertung und zur Vorbereitung auf Gespräche. IT Security Weiterlesen → NIS2-Haftung: Was Geschäftsführer jetzt wissen müssen Die NIS2 fordert von kritischen Unternehmen und öffentlichen Einrichtungen umfangreiche Maßnahmen zum Schutz gegen Cyberattacken. Unternehmen, die diese Pflichten missachten, haben mit erheblichen NIS2-Folgen zu rechnen. Dieser Blog fasst die wichtigsten Informationen dazu zusammen. NIS2 Weiterlesen → NIS2: Wer ist betroffen? So prüfen Geschäftsführung und IT-Leitung ihre Betroffenheit Seit Anfang Mai gibt es einen neuen Entwurf zur Umsetzung der NIS2-Richtlinie (Network Information Security) in deutsches Recht. Am 1. Oktober soll er in Kraft treten. Ziel ist es, dass mehr Unternehmen aus sensiblen Industrien sich besser vor Cyberangriffen schützen. In diesem Blogbeitrag gehen wir also kurz der Frage nach: NIS2 – Wer ist betroffen? NIS2 Weiterlesen → Was ist NIS2? Die EU-NIS2-Richtlinie einfach erklärt In diesem Artikel erhalten Sie einen Überblick über die NIS2-Richtlinie. Darunter über Anforderungen und notwendige Maßnahmen. Jetzt mehr erfahren! NIS2 Weiterlesen → NIS2 Umsetzungsgesetz (NIS2UmsuCG) Die NIS2-Richtlinie bringt neue Sicherheitsmaßnahmen und Meldepflichten für Unternehmen in kritischen Sektoren. Das Ziel: eine stärkere Cybersicherheit in der EU. In Deutschland wird dies durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz umgesetzt. Was bedeutet das für Ihr Unternehmen? Erfahren Sie hier mehr. NIS2 Weiterlesen → NIS2 Security: Effiziente Angriffserkennung & Reporting Die NIS2-Richtlinie muss bis Oktober 2024 von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden. Sie bringt dabei für viele Unternehmen wichtige Neuerungen mit sich. Eine der bedeutendsten Änderungen betrifft die Angriffserkennung und Meldepflicht für Vorfälle. Was das ist, erfahren Sie im Blog! NIS2 Weiterlesen → Der EU Data Act: Neue Vorschriften für den Umgang mit Daten in Unternehmen Der EU Data Act legt Regeln für den Austausch und die gemeinsame Nutzung von Daten (Interoperabilität) zwischen verschiedenen Akteuren auf dem Markt fest. Ziel sind faire Verträge über die gemeinsame Nutzung von Daten. KRITIS Weiterlesen → NIS2: Höhere Sicherheit für kritische Infrastrukturen in Europa Seit Anfang Januar 2023 ist die NIS2-Richtlinie (Network Information Security) in Kraft. Sie soll die Sicherheit kritischer Infrastrukturen (KRITIS) europaweit signifikant erhöhen und vereinheitlichen. Pentest Weiterlesen → < Zurück zur Übersicht NIS2 Compliance
Große Unternehmen Wesentliche und besonders wichtige Einrichtungen Zu den betroffenen Einrichtungen zählen insbesondere Betreiber kritischer Infrastruktur (KRITIS) sowie Unternehmen aus Sektoren mit hoher Kritikalität. Dazu gehören unter anderem Energie, Wasser, Verkehr, Gesundheitswesen sowie Teile der digitalen Infrastruktur. Entscheidend ist, dass bestimmte Schwellenwerte erfüllt werden.
Mittlere Unternehmen Wichtige Einrichtungen Der Kreis der wichtigen Einrichtungen ist deutlich größer. Er umfasst viele Unternehmen, die sich selbst nicht als kritisch wahrnehmen, etwa aus Industrie, IT-Dienstleistung, Logistik, Chemie oder Anbieter digitaler Dienste. Auch Teile der öffentlichen Verwaltung können betroffen sein. In der Beratungspraxis zeigt sich, dass gerade mittelständische Unternehmen ihre Betroffenheit unterschätzen. Dennoch nehmen sie zentrale Rollen in Lieferketten ein.
Kleine Unternehmen Abgrenzung zu „nicht betroffen“ Nicht jedes Unternehmen ist automatisch betroffen. Kleine Unternehmen unterhalb der Schwellenwerte sind in der Regel ausgenommen. Die Abgrenzung wird jedoch komplex bei Tochtergesellschaften, Konzernstrukturen oder gemischten Geschäftsmodellen.
Frist zur NIS2 Registrierung beim BSI abgelaufen Die NIS2-Registrierungsfrist lief am 6. März 2026 ab. Nur 39 % der betroffenen Unternehmen haben sich beim BSI registriert. Warum so viele gescheitert sind – und wie Sie die Registrierung jetzt rechtssicher nachholen. NIS2 Weiterlesen →
So setzen Sie die NIS2-Anforderungen effizient um Seit dem 6. Dezember 2025 gilt NIS2 verbindlich. Jetzt zählt: Risiken kennen, Verantwortlichkeiten klären, Security verankern – wir zeigen, wie es gelingt. NIS2 Weiterlesen →
NIS2: Umgang mit IT-Sicherheitsvorfällen im Unternehmen Steigende IT-Abhängigkeit und komplexe Bedrohungen machen Sicherheitsvorfälle für Unternehmen unvermeidbar. Erfahren Sie in unserem Blog, wie ein adäquater Umgang Schäden minimiert, Geschäftskontinuität sichert und EU-Richtlinie NIS-2 erfüllt wird. Informationssicherheit Weiterlesen →
NIS2 Checkliste: Der Guide für Verantwortliche Die NIS2 Checkliste unterstützt Sie Schritt für Schritt, die wichtigsten Anforderungen zu verstehen und auf Ihr Unternehmen anzuwenden. Nutzen Sie sie als einfaches NIS2 Tool zur Selbstbewertung und zur Vorbereitung auf Gespräche. IT Security Weiterlesen →
NIS2-Haftung: Was Geschäftsführer jetzt wissen müssen Die NIS2 fordert von kritischen Unternehmen und öffentlichen Einrichtungen umfangreiche Maßnahmen zum Schutz gegen Cyberattacken. Unternehmen, die diese Pflichten missachten, haben mit erheblichen NIS2-Folgen zu rechnen. Dieser Blog fasst die wichtigsten Informationen dazu zusammen. NIS2 Weiterlesen →
NIS2: Wer ist betroffen? So prüfen Geschäftsführung und IT-Leitung ihre Betroffenheit Seit Anfang Mai gibt es einen neuen Entwurf zur Umsetzung der NIS2-Richtlinie (Network Information Security) in deutsches Recht. Am 1. Oktober soll er in Kraft treten. Ziel ist es, dass mehr Unternehmen aus sensiblen Industrien sich besser vor Cyberangriffen schützen. In diesem Blogbeitrag gehen wir also kurz der Frage nach: NIS2 – Wer ist betroffen? NIS2 Weiterlesen →
Was ist NIS2? Die EU-NIS2-Richtlinie einfach erklärt In diesem Artikel erhalten Sie einen Überblick über die NIS2-Richtlinie. Darunter über Anforderungen und notwendige Maßnahmen. Jetzt mehr erfahren! NIS2 Weiterlesen →
NIS2 Umsetzungsgesetz (NIS2UmsuCG) Die NIS2-Richtlinie bringt neue Sicherheitsmaßnahmen und Meldepflichten für Unternehmen in kritischen Sektoren. Das Ziel: eine stärkere Cybersicherheit in der EU. In Deutschland wird dies durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz umgesetzt. Was bedeutet das für Ihr Unternehmen? Erfahren Sie hier mehr. NIS2 Weiterlesen →
NIS2 Security: Effiziente Angriffserkennung & Reporting Die NIS2-Richtlinie muss bis Oktober 2024 von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden. Sie bringt dabei für viele Unternehmen wichtige Neuerungen mit sich. Eine der bedeutendsten Änderungen betrifft die Angriffserkennung und Meldepflicht für Vorfälle. Was das ist, erfahren Sie im Blog! NIS2 Weiterlesen →
Der EU Data Act: Neue Vorschriften für den Umgang mit Daten in Unternehmen Der EU Data Act legt Regeln für den Austausch und die gemeinsame Nutzung von Daten (Interoperabilität) zwischen verschiedenen Akteuren auf dem Markt fest. Ziel sind faire Verträge über die gemeinsame Nutzung von Daten. KRITIS Weiterlesen →
NIS2: Höhere Sicherheit für kritische Infrastrukturen in Europa Seit Anfang Januar 2023 ist die NIS2-Richtlinie (Network Information Security) in Kraft. Sie soll die Sicherheit kritischer Infrastrukturen (KRITIS) europaweit signifikant erhöhen und vereinheitlichen. Pentest Weiterlesen →