Ob ein Unternehmen von der NIS-2-Richtlinie und dem deutschen NIS2UmsuCG erfasst wird, hängt von drei Faktoren ab: Sektor, Mitarbeiterzahl und Umsatz. Die Betroffenheitsprüfung nach §28 BSIG liegt in der Eigenverantwortung jeder Organisation — das BSI benachrichtigt betroffene Unternehmen nicht aktiv. Dieser Leitfaden erklärt, wie die Prüfung systematisch durchgeführt wird: welche Schwellenwerte gelten, welche 18 Sektoren erfasst sind, wie der Entscheidungsbaum strukturiert ist und wie das offizielle BSI-Tool unter betroffenheitspruefung-nis-2.bsi.de dabei unterstützt.
Eine vollständige Analyse des Anwendungsbereichs der NIS-2-Richtlinie — einschließlich grenzüberschreitender Szenarien und Ausnahmen — bietet unser Artikel zum NIS-2-Anwendungsbereich.
Was ist die NIS2-Betroffenheitsprüfung?
Die Betroffenheitsprüfung ist der Ausgangspunkt der gesamten NIS2-Compliance: Sie beantwortet die Frage, ob eine Organisation überhaupt zu den rund 29.500 deutschen Einrichtungen gehört, die durch das NIS2UmsuCG reguliert werden. Das Ergebnis bestimmt, ob eine Registrierungspflicht nach §33 BSIG besteht, welche Risikomanagementmaßnahmen nach §30 BSIG umzusetzen sind und welchem Aufsichtsregime das Unternehmen unterliegt.
Ein wesentlicher Unterschied zum bisherigen KRITIS-System: Kein Unternehmen erhält einen behördlichen Bescheid darüber, ob es betroffen ist. Die Selbsteinstufung liegt vollständig in der Verantwortung der Organisation. Wer fälschlicherweise davon ausgeht, nicht betroffen zu sein, setzt sich dem Risiko aus, unregistriert zu bleiben — und damit ab dem 7. März 2026 der aktiven BSI-Vollstreckung ausgesetzt zu sein.
Das BSI hat dafür ein kostenloses Online-Tool entwickelt: Die NIS-2-Betroffenheitsprüfung unter betroffenheitspruefung-nis-2.bsi.de führt Unternehmen schrittweise durch die gesetzliche Prüflogik und gibt eine Einschätzung aus, ob und als welche Kategorie die Organisation voraussichtlich betroffen ist. Das Tool ist kostenlos und erfordert keine Registrierung; es ersetzt jedoch keine rechtliche Beratung bei Grenzfällen.
Schwellenwerte: Besonders wichtige vs. wichtige Einrichtung
Das NIS2UmsuCG kennt zwei Kategorien betroffener Einrichtungen, die sich in Pflichtentiefe und Aufsichtsintensität erheblich unterscheiden. Grundlage ist §28 BSIG in der Fassung des NIS2UmsuCG.
| Kategorie | Mitarbeiter (VZÄ) | Umsatz und Bilanzsumme | Sektoren | BSI-Aufsicht |
|---|---|---|---|---|
| Besonders wichtige Einrichtung (§28 Abs. 1) | ≥250 | ODER: >50 Mio. € Umsatz UND >43 Mio. € Bilanz | Anhang 1 | Proaktiv: unangemeldete Audits möglich |
| Wichtige Einrichtung (§28 Abs. 2) | ≥50 | ODER: >10 Mio. € Umsatz UND >10 Mio. € Bilanz | Anhang 1 oder 2 | Reaktiv: Aufsicht nur bei Verdacht oder Vorfall |
Drei häufige Irrtümer bei der Schwellenwertprüfung, die in der Praxis immer wieder zu Fehleinschätzungen führen:
Irrtum 1 — Mitarbeiterzahl ODER Finanzkennzahlen: Die Schwellen sind alternativ formuliert — es reicht, wenn eines der Kriterien erfüllt ist. Ein Unternehmen mit 60 Mitarbeitern ist damit bereits als wichtige Einrichtung einzustufen, auch wenn Umsatz und Bilanzsumme die Grenzwerte nicht erreichen.
Irrtum 2 — Umsatz UND Bilanzsumme kumulativ: Innerhalb der Finanzkennzahlen gilt eine kumulative Bedingung: Umsatz UND Bilanzsumme müssen die jeweilige Schwelle überschreiten. Ein Unternehmen mit 80 Mio. € Umsatz, aber einer Bilanzsumme von nur 8 Mio. €, erfüllt die Finanzschwelle nicht — sofern es auch weniger als 50 Mitarbeiter hat.
Irrtum 3 — Konzernebene: Die Schwellen werden grundsätzlich auf Ebene der einzelnen juristischen Person geprüft, nicht auf Konzernebene. Konzerngesellschaften sind daher separat zu beurteilen; Ausnahmen für verbundene Unternehmen erfordern eine Einzelfallprüfung.
Die wesentlichen Unterschiede in den Compliance-Pflichten und im BSI-Aufsichtsregime zwischen den beiden Kategorien beschreibt unser Artikel zu wesentlichen und wichtigen Einrichtungen ausführlich.
Die 18 Sektoren nach Anhang 1 und Anhang 2
NIS2 reguliert 18 Sektoren in zwei Anhängen mit unterschiedlichen Kritikalitätsniveaus. Nur wer einem dieser Sektoren angehört, kann überhaupt betroffen sein — Größenschwellen allein genügen nicht.
| Anhang 1 — Sektoren hoher Kritikalität (11) | Anhang 2 — Sonstige kritische Sektoren (7) |
|---|---|
| Energie | Post- und Kurierdienste |
| Verkehr | Abfallbewirtschaftung |
| Bankwesen | Chemische Industrie |
| Finanzmarktinfrastrukturen | Lebensmittelproduktion, -verarbeitung und -vertrieb |
| Gesundheitswesen | Verarbeitendes Gewerbe / Herstellung |
| Trinkwasser | Digitale Dienste |
| Abwasser | Forschung |
| Digitale Infrastruktur | |
| IKT-Dienstleistungsmanagement (B2B) | |
| Öffentliche Verwaltung | |
| Weltraum |
Für jede Hauptkategorie definiert das NIS2UmsuCG Teilkategorien, die für die konkrete Zuordnung entscheidend sind. Im Sektor „Digitale Infrastruktur” sind Cloud-Dienste, Rechenzentren, Content-Delivery-Netzwerke, Trust-Services, öffentliche Kommunikationsnetze und Internet-Austauschknoten separat aufgeführt. Ein Unternehmen, das intern IT-Infrastruktur betreibt, aber keine dieser Dienste Dritten anbietet, gehört diesem Sektor nicht an.
Der Sektor „Verarbeitendes Gewerbe” in Anhang 2 erfasst nach der NIS-2-Richtlinie nicht die gesamte produzierende Industrie. Erfasst sind spezifische Teilbereiche: Hersteller von Medizinprodukten und In-vitro-Diagnostika sowie bestimmte Klassen von Maschinen, Fahrzeugen und elektrischen bzw. elektronischen Geräten. Ein Maschinenbauunternehmen außerhalb dieser Kategorien fällt nicht zwingend in den NIS2-Anwendungsbereich — eine sorgfältige Teilkategorienprüfung ist hier entscheidend.
Im Sektor „Gesundheitswesen” können neben Krankenhäusern und Laboren auch Hersteller kritischer Medizinprodukte erfasst sein. Für diesen Sektor verweist das NIS2UmsuCG ergänzend auf die KRITIS-Verordnung (KritisV), die bestimmte Einrichtungen unabhängig von der Mitarbeiterzahl als betroffen klassifizieren kann.
Entscheidungsbaum: Bin ich nach NIS2 betroffen?
Die folgende Prüfsequenz bildet die gesetzliche Betroffenheitslogik als Entscheidungsbaum ab. Jede Frage führt entweder zu einer Einordnung oder zum nächsten Prüfschritt. Das BSI-Tool unter betroffenheitspruefung-nis-2.bsi.de folgt identischer Logik in geführter Form.
Schritt 1: EU-Präsenz
Hat die Organisation eine Niederlassung in der EU oder erbringt sie wesentliche Dienste in der EU?
→ Nein: Nicht betroffen
→ Ja: Weiter zu Schritt 2
Schritt 2: Sektorzugehörigkeit
Gehört die Kerntätigkeit zu einem der 18 NIS2-Sektoren (Anhang 1 oder 2)?
→ Nein: Nicht betroffen
→ Ja, Anhang 1: Weiter zu Schritt 3a
→ Ja, Anhang 2: Weiter zu Schritt 3b
Schritt 3a: Anhang-1-Einrichtung — Größenschwelle
→ ≥250 Beschäftigte (VZÄ) ODER (>50 Mio. € Umsatz UND >43 Mio. € Bilanzsumme): Besonders wichtige Einrichtung
→ ≥50 Beschäftigte ODER (>10 Mio. € Umsatz UND >10 Mio. € Bilanzsumme): Wichtige Einrichtung
→ Keine Schwelle erfüllt: Sonderfälle prüfen (Schritt 4), sonst nicht betroffen
Schritt 3b: Anhang-2-Einrichtung — Größenschwelle
→ ≥50 Beschäftigte ODER (>10 Mio. € Umsatz UND >10 Mio. € Bilanzsumme): Wichtige Einrichtung
→ Keine Schwelle erfüllt: Sonderfälle prüfen (Schritt 4), sonst nicht betroffen
Schritt 4: Sonderfälle (Größenschwelle irrelevant)
→ KRITIS-Betreiber, Qualifizierter Vertrauensdienstleister, DNS-Resolver/Root-Server, TLD-Registrierung, Anbieter öffentlicher Kommunikationsnetze: Besonders wichtige Einrichtung — unabhängig von Größe
→ Keine dieser Kategorien: Prüfung abgeschlossen — nicht betroffen
Praxishinweis: Bei mehreren Tätigkeitsfeldern in verschiedenen Sektoren ist der Entscheidungsbaum für jeden Sektor separat durchzuführen. Maßgeblich ist die höchste Einstufung, die sich aus einer der Tätigkeiten ergibt.
Sonderregelungen: Automatische Betroffenheit ohne Größenschwelle
Für bestimmte Einrichtungstypen entfällt die Größenschwelle vollständig. Sie gelten nach §28 Abs. 3 BSIG automatisch als besonders wichtige Einrichtungen — unabhängig von Mitarbeiterzahl, Umsatz oder Bilanzsumme:
- KRITIS-Betreiber nach §2 Abs. 10 BSIG: Alle bisherigen Betreiber kritischer Infrastrukturen sind kraft Gesetzes besonders wichtige Einrichtungen. Die bestehenden KRITIS-Pflichten werden durch NIS2-Pflichten ergänzt und verschärft.
- Qualifizierte Vertrauensdienstleister nach der eIDAS-Verordnung (EU) Nr. 910/2014 — unabhängig von ihrer Unternehmensgröße.
- DNS-Dienstleister und Betreiber kritischer Internetinfrastruktur: Top-Level-Domain-Registrierungen, Betreiber von Root-Name-Servern und öffentliche DNS-Resolver sind besonders wichtige Einrichtungen unabhängig von Mitarbeiterzahl und Umsatz.
- Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste — unabhängig von ihrer Größe.
Öffentliche Verwaltungen auf Bundes- und Landesebene sind gesondert geregelt: Sie gelten als wichtige oder besonders wichtige Einrichtungen unabhängig von Größenkriterien, sofern sie in einem NIS2-relevanten Sektor tätig sind. Das BSI hat für Bundesbehörden spezifische Umsetzungshinweise veröffentlicht; Landesbehörden unterliegen ergänzenden Landesregelungen.
Das BSI-Tool zur Betroffenheitsprüfung nutzen
Das BSI stellt unter betroffenheitspruefung-nis-2.bsi.de ein strukturiertes Online-Tool bereit, das Unternehmen kostenfrei und ohne Registrierung durch die Betroffenheitsprüfung führt.
Der Ablauf ist in vier Schritten strukturiert: Zunächst wählt die Organisation ihren primären Sektor aus den 18 NIS2-Kategorien aus, dann wird die relevante Teilkategorie innerhalb des Sektors spezifiziert. Im dritten Schritt werden Mitarbeiterzahl (Vollzeitäquivalente), Jahresumsatz und Bilanzsumme eingegeben. Das Tool gibt dann eine Einschätzung zur Betroffenheit und Einrichtungskategorie aus.
Das Ergebnis ist eine Orientierungshilfe, keine verbindliche Behördenentscheidung. Für Grenzfälle — Konzernstrukturen, gemischte Tätigkeiten, Unternehmen nahe an den Schwellenwerten — empfiehlt sich ergänzende rechtliche Beratung. Für die anschließende BSI-Registrierung nach §33 BSIG bildet die Einschätzung aus dem Tool die Grundlage der Selbstauskunft im BSI-Registrierungsportal.
Nach der Betroffenheitsprüfung: Die nächsten Schritte
Wer nach der Prüfung als besonders wichtige oder wichtige Einrichtung eingestuft ist, hat vier unmittelbar relevante Pflichten aus dem NIS2UmsuCG zu erfüllen.
Registrierung beim BSI (§33 BSIG): Innerhalb von drei Monaten nach Identifikation als betroffene Einrichtung muss die Registrierung im BSI-Portal erfolgen. Seit dem 7. März 2026 kann das BSI gegen nicht registrierte Einrichtungen Zwangsgelder festsetzen.
Risikomanagementmaßnahmen (§30 BSIG): Die zehn Pflichtmaßnahmen — darunter Risikoanalyse, Incident-Response-Plan, Business-Continuity-Management, Lieferkettensicherheit und Multi-Faktor-Authentifizierung — müssen implementiert und für BSI-Audits nachweisbar dokumentiert werden.
Meldepflichten (§32 BSIG): Bei erheblichen Sicherheitsvorfällen gelten dreistufige Fristen: 24-Stunden-Frühwarnung, 72-Stunden-Erstmeldung und 30-Tage-Abschlussbericht gegenüber dem BSI.
Geschäftsleitungspflichten (§38 BSIG): Vorstände und Geschäftsführer müssen die Umsetzung der Maßnahmen genehmigen und überwachen sowie Cybersicherheitsschulungen absolvieren. Die persönliche Haftung nach §38 BSIG tritt unabhängig davon ein, ob intern delegiert wurde.
Den vollständigen deutschen Rechtsrahmen mit Bußgeldrahmen nach §65 BSIG, BSI-Aufsichtsbefugnissen und aktuellen Registrierungszahlen erklärt unser NIS2-Deutschland-Leitfaden. Die vollständige Compliance-Checkliste mit allen Umsetzungsschritten finden Sie unter NIS-2-Compliance-Checkliste.
Häufig gestellte Fragen
Muss die Betroffenheitsprüfung regelmäßig wiederholt werden?
Ja. Die Betroffenheit ist kein einmalig festgestellter Zustand. Überschreitet ein Unternehmen durch Wachstum oder Unternehmensveränderungen die Schwellenwerte, entsteht die Registrierungspflicht innerhalb von drei Monaten. Das BSI empfiehlt, die Prüfung jährlich oder nach wesentlichen Veränderungen zu wiederholen. Wesentliche Änderungen der Einstufung sind dem BSI innerhalb von zwei Wochen nach dem Registrierungsdatum mitzuteilen.
Was passiert, wenn ein Unternehmen die Schwellen vorübergehend unterschreitet?
Eine einmal als besonders wichtig oder wichtig registrierte Einrichtung verliert diesen Status nicht automatisch. Das Gesetz sieht keine automatische Abmeldung vor; wesentliche Änderungen sind dem BSI aktiv mitzuteilen. Eine formelle Neueinstufung wäre mit dem BSI zu klären. Bis dahin gelten die Pflichten der registrierten Kategorie fort.
Wie wird die Mitarbeiterzahl für die Schwellenwertprüfung berechnet?
Als Beschäftigte im Sinne des NIS2UmsuCG gelten alle Arbeitnehmer einschließlich Teilzeitkräften in Vollzeitäquivalenten (VZÄ). Die Berechnung richtet sich nach den KMU-Definitionen der EU-Kommission (Empfehlung 2003/361/EG). Freiberufler und Leiharbeiter können je nach vertraglicher Einbindung hinzuzurechnen sein. In Zweifelsfällen empfiehlt sich eine Einzelfallprüfung.
Kann das BSI eine falsche Selbsteinstufung rückwirkend sanktionieren?
Ja. Eine unzutreffende Selbsteinstufung — insbesondere die irrtümliche Nichteinstufung als betroffene Einrichtung trotz erfüllter gesetzlicher Voraussetzungen — kann als Verstoß gegen das NIS2UmsuCG gewertet werden. Das BSI hat die Befugnis, bei hinreichendem Verdacht eine korrekte Einstufung zu erzwingen und Bußgelder nach §65 BSIG zu verhängen.
Was unterscheidet die Betroffenheitsprüfung von der BSI-Registrierung?
Die Betroffenheitsprüfung ist der erste Schritt: Sie stellt fest, ob eine Organisation betroffen ist und in welche Kategorie sie fällt. Die BSI-Registrierung nach §33 BSIG ist der zweite, formale Schritt: Sie meldet die Organisation offiziell beim BSI an und ist Voraussetzung für die weitere Compliance-Arbeit. Das BSI-Tool unter betroffenheitspruefung-nis-2.bsi.de unterstützt den ersten Schritt; das BSI-Registrierungsportal ist für den zweiten Schritt erforderlich.
Gilt die NIS2-Betroffenheitsprüfung auch für Unternehmen mit Sitz im EU-Ausland und Niederlassung in Deutschland?
Ja. Unternehmen mit einer Niederlassung in Deutschland, die in einem NIS2-Sektor tätig sind und die Größenschwellen erfüllen, sind nach dem NIS2UmsuCG registrierungspflichtig beim BSI — auch wenn der Hauptsitz in einem anderen EU-Mitgliedstaat liegt. Bei Hauptsitz in einem anderen EU-Staat besteht die Möglichkeit, dass die zuständige ausländische Behörde die Federführung übernimmt. Für Unternehmen mit Hauptsitz in der Schweiz gilt die NIS-2-Richtlinie nicht direkt; dort greift das revidierte Informationssicherheitsgesetz (ISG).
Dieser Artikel stellt allgemeine Informationen bereit und stellt keine Rechts- oder Regulierungsberatung dar. Die Anforderungen können je nach Organisationstyp und spezifischer Tätigkeitskategorie variieren. Wenden Sie sich für eine auf Ihre Situation zugeschnittene Beratung an einen qualifizierten Rechtsanwalt oder Compliance-Spezialisten.
Quellen
- NIS-2-Betroffenheitsprüfung — Bundesamt für Sicherheit in der Informationstechnik (BSI)
- NIS-2-Pflichten — Bundesamt für Sicherheit in der Informationstechnik (BSI)
- §28 BSIG — Betroffene Einrichtungen — Bundesministerium der Justiz
- Das NIS2-Umsetzungsgesetz NIS2UmsuCG — OpenKRITIS
- Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau (NIS2) — EUR-Lex
