Für viele Unternehmen in Deutschland ist NIS2 kein abstraktes EU-Regelwerk mehr, sondern eine konkrete Managementaufgabe. Spätestens mit dem Start des NIS2-Registrierungsportals des Bundesamt für Sicherheit in der Informationstechnik ist klar: Die Frage „Wer ist von NIS2 betroffen?“ muss jetzt beantwortet werden.

Betroffene Unternehmen und Einrichtungen sind verpflichtet, sich im BSI-Portal zu registrieren und ihre Einstufung selbst vorzunehmen. Ohne eine belastbare NIS2 Betroffenheitsprüfung lässt sich nicht beurteilen, ob diese Pflicht besteht – und ob ein Unternehmen als wichtige Einrichtung gilt.

Für die Geschäftsführung ist diese Einordnung entscheidend, weil NIS2 verankert Verantwortung explizit auf Leitungsebene. Haftung, Organisationspflichten und Nachweisanforderungen lassen sich nicht delegieren. Die IT-Leitung ist gefordert, die fachliche Grundlage zu liefern, häufig ohne klare juristische Orientierung.

In der Praxis zeigt sich: Unternehmen, die ihre Betroffenheit zu spät prüfen, verlieren Zeit und Handlungsspielraum. Budgets und Prioritäten lassen sich dann nur noch reaktiv steuern. Die Frage „Für wen gilt NIS2?“ ist damit keine Nebenfrage, sondern eine strategische Weichenstellung.

„Von NIS2 betroffen“ zu sein ist keine technische Einstufung, sondern eine rechtliche. Die Richtlinie legt fest, welche Unternehmen und Einrichtungen bestimmten gesetzlichen Anforderungen unterliegen – unabhängig davon, wie gut ihre IT aktuell aufgestellt ist.

In der Praxis wird NIS2 häufig mit Sicherheitsmaßnahmen gleichgesetzt. Rechtlich geht es jedoch zunächst ausschließlich um den Geltungsbereich. Die zentrale Frage lautet: Fällt mein Unternehmen nach objektiven Kriterien unter die Richtlinie – ja oder nein?

Die Betroffenheit entsteht kraft Gesetzes. Es gibt keinen Bescheid und keine vorherige Benachrichtigung. Unternehmen sind selbst dafür verantwortlich, ihre Einordnung vorzunehmen und diese im Zweifel gegenüber Behörden zu begründen. Genau deshalb ist die Betroffenheitsprüfung haftungsrelevant für Geschäftsführung und IT-Leitung.

Aussagen wie „Wir betreiben keine kritische Infrastruktur“ oder „Wir sind nur Dienstleister“ sind rechtlich nicht ausreichend. NIS2 bewertet nicht die IT-Architektur, sondern die Rolle eines Unternehmens im wirtschaftlichen und gesellschaftlichen Kontext.

Die Richtlinie unterscheidet zwischen kritischen und wichtigen Einrichtungen. Maßgeblich ist nicht die individuelle Sicherheitslage, sondern die formale Einordnung.

Kritische Einrichtungen (KRITIS-nah)

Zu den betroffenen Einrichtungen zählen insbesondere Betreiber kritischer Infrastruktur (KRITIS) sowie Unternehmen aus Sektoren mit hoher Kritikalität. Dazu gehören unter anderem Energie, Wasser, Verkehr, Gesundheitswesen sowie Teile der digitalen Infrastruktur. Entscheidend ist, dass bestimmte Schwellenwerte erfüllt werden.

Wichtige Einrichtungen

Der Kreis der wichtigen Einrichtungen ist deutlich größer. Er umfasst viele Unternehmen, die sich selbst nicht als kritisch wahrnehmen, etwa aus Industrie, IT-Dienstleistung, Logistik, Chemie oder Anbieter digitaler Dienste. Auch Teile der öffentlichen Verwaltung können betroffen sein.

In der Beratungspraxis zeigt sich, dass gerade mittelständische Unternehmen ihre Betroffenheit unterschätzen. Dennoch nehmen sie zentrale Rollen in Lieferketten ein.

Abgrenzung zu „nicht betroffen“

Nicht jedes Unternehmen ist automatisch betroffen. Kleine Unternehmen unterhalb der Schwellenwerte sind in der Regel ausgenommen. Die Abgrenzung wird jedoch komplex bei Tochtergesellschaften, Konzernstrukturen oder gemischten Geschäftsmodellen.

Ob ein Unternehmen von NIS2 betroffen ist, entscheidet sich nie an einem einzelnen Punkt. Relevant ist das Zusammenspiel mehrerer Kriterien.

Ein zentrales Kriterium ist die Unternehmensgröße. NIS2 richtet sich in der Regel an Unternehmen mit mindestens 50 Mitarbeitenden oder einem Jahresumsatz von über 50 Millionen Euro. In bestimmten Konstellationen greift die sogenannte Size-Cap-Regel, bei der auch Unternehmen mit 43 Millionen Euro Umsatz relevant sein können.

Wichtig: Verbundene Unternehmen können gemeinsam betrachtet werden. In der Praxis werden Gesellschaften häufig isoliert geprüft, obwohl sie wirtschaftlich zusammengehören.

Weitere entscheidende Kriterien sind die Branche, die Rolle in Lieferketten sowie die Kritikalität der erbrachten Services. Diese Bewertung ist funktional, nicht technisch.

Viele Unternehmen versuchen, ihre Betroffenheit intern zu klären. Das ist nachvollziehbar, reicht aber häufig nicht aus. Die Richtlinie lässt Interpretationsspielräume, die ohne regulatorische Erfahrung schwer sauber einzuordnen sind.

In der Praxis werden relevante Aspekte übersehen, etwa verbundene Unternehmen oder tatsächliche Abhängigkeiten in Lieferketten. Zudem bewerten Geschäftsführung und IT-Leitung die Situation oft aus unterschiedlichen Perspektiven.

Wichtig ist die klare Abgrenzung. Die Betroffenheitsprüfung klärt ausschließlich den Geltungsbereich – nicht die Umsetzung.

NIS2 adressiert ausdrücklich die Leitungsebene. Die Verantwortung beginnt bei der korrekten Einschätzung der eigenen Betroffenheit. Eine rein delegierte Bewertung ist nicht ausreichend.

Die Geschäftsführung muss sicherstellen, dass die Entscheidung nachvollziehbar und dokumentiert ist. Die IT-Leitung liefert die fachliche Grundlage. Unklare Zuständigkeiten werden von Aufsichtsbehörden kritisch bewertet.

Die Frage „NIS2 – wer ist betroffen?“ ist eine Managemententscheidung. Sie entscheidet über Pflichten, Verantwortung und strategischen Handlungsbedarf. Unternehmen, die ihre Betroffenheit frühzeitig und strukturiert prüfen, schaffen Klarheit – intern wie extern. Genau das ist der sachliche Einstieg in NIS2.