Der NIS2-Betroffenheitscheck ist wie eine TÜV-Plakette für die Cybersicherheit — wer sie bekommt, muss nachweisen, dass er Mindeststandards erfüllt, und wird bei Versäumnissen persönlich haftbar gemacht.
Warum jetzt? Die NIS2-Richtlinie ist am 17. Oktober 2024 in Kraft getreten. Das deutsche Umsetzungsgesetz (NIS2UmsuCG) steht vor der Verabschiedung. Betroffene Einrichtungen müssen sich binnen 3 Monaten nach Inkrafttreten beim BSI registrieren. Bußgelder bis 10 Mio. Euro oder 2 Prozent Jahresumsatz.
Was diese Seite bringt: Verbindliche Prüfkriterien, realistische Aufwandseinschätzung und ein strukturierter Betroffenheitscheck für 18 Sektoren. Lesezeit: ca. 11 Minuten.
- Sie arbeiten in Geschäftsführung, CISO-Funktion, IT-Sicherheit oder Compliance
- Ihr Unternehmen hat mehr als 50 Mitarbeiter oder 10 Mio. Euro Umsatz
- Sie sind verantwortlich für Cybersicherheits-Governance, Meldewesen oder Risikomanagement
- Sie müssen klären, ob eine Registrierung beim BSI bis Ende 2026 erforderlich ist
- Rechtsgrundlage
- Richtlinie (EU) 2022/2555 (NIS2), nationales Umsetzungsgesetz NIS2UmsuCG
- EU-Umsetzungsfrist (versäumt)
- 17. Oktober 2024 — Deutschland ist seit diesem Datum im Vertragsverletzungsverfahren
- Erwartetes Inkrafttreten in Deutschland
- Voraussichtlich Sommer 2026
- Anzahl betroffener Sektoren
- 18 (11 „wesentliche" Sektoren + 7 „wichtige" Sektoren)
- Schwelle für Betroffenheit
- ab 50 Mitarbeiter UND 10 Mio. Euro Jahresumsatz oder Bilanzsumme
- Betroffene Unternehmen in Deutschland
- ca. 29.500 (BSI-Schätzung April 2026)
- Registrierungsfrist beim BSI
- 3 Monate ab Inkrafttreten des nationalen Gesetzes
- Meldefrist für erhebliche Sicherheitsvorfälle
- Frühwarnung binnen 24h, Meldung binnen 72h, Abschlussbericht binnen 1 Monat
- Bußgeldrahmen wesentliche Einrichtungen
- bis 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes
- Bußgeldrahmen wichtige Einrichtungen
- bis 7 Mio. Euro oder 1,4 Prozent des weltweiten Jahresumsatzes
- Persönliche Haftung
- Geschäftsleitung bei grober Fahrlässigkeit, flankiert von Schulungspflicht
1. Warum ein strukturierter Betroffenheitscheck unerlässlich ist
Die deutsche Wirtschaft wurde durch NIS2 von rund 4.700 Unternehmen unter der alten IT-Sicherheitsgesetz-Regelung auf geschätzte 29.500 Unternehmen erweitert. Wer erstmalig reguliert wird, hat keine Erfahrung mit BSI-Meldepflichten, keine etablierten Prozesse für Incident Response und häufig keinen dedizierten CISO. Der Betroffenheitscheck legt den Grundstein: Er entscheidet, ob ein Unternehmen überhaupt registrieren muss, und klassifiziert es als „wesentliche" oder „wichtige" Einrichtung. Von dieser Einstufung hängen Aufsichtstiefe, Bußgeldrahmen und Meldeaufwand ab.
Wer den Check unterlässt, riskiert nicht nur Bußgelder, sondern auch die persönliche Haftung der Geschäftsleitung. Das BSI hat angekündigt, die Aufsicht in den ersten 24 Monaten nach Inkrafttreten primär reaktiv zu gestalten — sobald aber ein Vorfall eintritt oder eine Anzeige vorliegt, wird geprüft, ob die Einrichtung sich hätte registrieren müssen.
2. Die drei Stufen des NIS2-Betroffenheitschecks
Die Prüfung folgt einer klaren Logik: Sektor-Zuordnung, Größenschwelle, besondere Kriterien. Nur wenn alle drei Stufen erfüllt sind, gilt eine Einrichtung als betroffen. In der Praxis entstehen die meisten Fehlinterpretationen auf Stufe 1, weil viele Unternehmen ihren Sektor nicht eindeutig zuordnen können oder als Tochtergesellschaft im Konzern übersehen werden.
Stufe 1 — Sektor-Zuordnung: Der NIS2UmsuCG-Anhang listet 11 wesentliche und 7 wichtige Sektoren. Wesentlich sind unter anderem Energie, Verkehr, Banken, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, digitale Infrastruktur, ICT-Service-Management, öffentliche Verwaltung und Weltraum. Wichtig sind Post und Kurier, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe (Medizinprodukte, Elektronik, Maschinenbau, Fahrzeugbau), digitale Anbieter und Forschung.
Stufe 2 — Größenschwelle: Anwendung der EU-KMU-Definition 2003/361/EG. Mittelgroß sind Unternehmen ab 50 Mitarbeitern und mit 10 bis 50 Mio. Euro Jahresumsatz oder Bilanzsumme. Groß sind Unternehmen ab 250 Mitarbeitern oder 50 Mio. Euro Umsatz oder 43 Mio. Euro Bilanzsumme. Kleine Einrichtungen (unter 50 MA und unter 10 Mio. Euro) sind grundsätzlich ausgenommen — außer in besonderen Fällen nach Stufe 3.
Stufe 3 — Besondere Kriterien: Einige Einrichtungen fallen unabhängig von der Größe unter NIS2, zum Beispiel qualifizierte Vertrauensdiensteanbieter, Top-Level-Domain-Registrare, Anbieter öffentlicher elektronischer Kommunikationsnetze oder Einrichtungen, die alleinige Anbieter eines kritischen Dienstes sind. Auch eine Einstufung nach § 28 Absatz 7 NIS2UmsuCG durch die zuständige Behörde ist möglich.
3. Wesentliche versus wichtige Einrichtungen — was der Unterschied kostet
Die Einteilung in „wesentliche" und „wichtige" Einrichtungen entscheidet über Aufsichtsintensität und Bußgeldhöhe. Wesentliche Einrichtungen werden proaktiv vom BSI beaufsichtigt (Ex-ante). Das heißt: regelmäßige Nachweisprüfungen, Audits, Anordnungsmöglichkeiten. Wichtige Einrichtungen werden reaktiv beaufsichtigt (Ex-post) — erst nach einem Vorfall, einer Beschwerde oder Anhaltspunkten für Nichteinhaltung.
Beide Kategorien unterliegen denselben inhaltlichen Pflichten: Risikomanagementmaßnahmen nach Artikel 21 NIS2, Meldepflicht bei erheblichen Sicherheitsvorfällen nach Artikel 23, Schulung der Geschäftsleitung. Unterschiedlich sind die Überwachungsinstrumente und der Bußgeldrahmen. Für Konzerne entscheidend: Die Einstufung wird pro Tochtergesellschaft vorgenommen, nicht für den Konzern als Ganzes.
4. Aufwand, Budget und typische Dauer des Betroffenheitschecks
Ein strukturierter Betroffenheitscheck benötigt für einen deutschen Mittelständler mit 150 bis 500 Mitarbeitern und einer Tochtergesellschaft typischerweise 8 bis 15 Arbeitstage. Davon entfallen 2 bis 4 Personentage auf Sektor-Zuordnung und Größenprüfung, 3 bis 5 Personentage auf die Analyse der Konzernstruktur und ausländischer Tochtergesellschaften, 2 bis 4 Personentage auf Legal Review und 1 bis 2 Personentage auf Dokumentation und Managementreport.
Unternehmen, die bereits ein ISMS nach ISO 27001 oder BSI-Grundschutz betreiben, liegen im unteren Aufwandsbereich, weil vieles an Dokumentation schon vorhanden ist. Erstregulierte Unternehmen ohne bestehende Cybersicherheits-Governance liegen am oberen Rand. Typische Mittelstandsbudgets für den Gesamtprozess (Betroffenheitscheck plus Gap-Analyse plus Umsetzungsplan): 55.000 bis 180.000 Euro extern über 6 bis 12 Monate.
5. Pflichten nach positiver Betroffenheitsfeststellung
Ergibt der Check eine Betroffenheit, beginnt die eigentliche Arbeit. Die Einrichtung muss sich binnen 3 Monaten nach Inkrafttreten beim BSI registrieren (sektorabhängig zum Teil auch beim Bundesamt für Landwirtschaft und Ernährung oder anderen zuständigen Behörden). Die Meldedaten umfassen Name, Anschrift, Sektorzuordnung, Kontaktdaten eines Sicherheitsverantwortlichen und Angaben zur Erbringung grenzüberschreitender Dienste.
Parallel sind die Risikomanagementmaßnahmen nach Artikel 21 zu implementieren: Konzepte zu Risikoanalyse und Informationssicherheit, Bewältigung von Sicherheitsvorfällen, Backup-Management, Lieferkettensicherheit, Sicherheit bei Erwerb und Entwicklung, Grundregeln der Cyberhygiene, Kryptographie, Personalsicherheit und Zugriffskontrolle, Einsatz von Multi-Faktor-Authentifizierung. Die Geschäftsleitung ist persönlich verantwortlich und muss regelmäßige Schulungen absolvieren.
Zum kontinuierlichen Betrieb gehört das Meldewesen für erhebliche Sicherheitsvorfälle: Frühwarnung binnen 24 Stunden, förmliche Meldung binnen 72 Stunden, Abschlussbericht binnen 1 Monat. Die Meldefristen sind strikt — auch an Wochenenden und Feiertagen. Unternehmen ohne 24/7-Bereitschaft müssen entsprechende Dienstleister einbinden oder rotierende Rufbereitschaft einrichten.
6. Häufig gestellte Fragen zum NIS2-Betroffenheitscheck
Wer ist von NIS2 betroffen?
Wesentliche und wichtige Einrichtungen in 18 Sektoren ab 50 Mitarbeitern und 10 Mio. Euro Jahresumsatz. Dazu zählen Energie, Verkehr, Banken, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser und Abwasser, digitale Infrastruktur, ICT-Service-Management, öffentliche Verwaltung und Weltraum sowie Post und Kurier, Abfall, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Anbieter und Forschung.
Wie läuft der Betroffenheitscheck ab?
In drei Schritten: Sektor-Zuordnung anhand des NIS2UmsuCG-Anhangs, Größenprüfung nach EU-KMU-Definition (Mitarbeiter, Umsatz, Bilanzsumme) und Prüfung besonderer Kriterien wie alleiniger Anbieter eines Dienstes oder Vertrauensdiensteanbieter. Binnen 3 Monaten nach bestätigter Betroffenheit ist die Registrierung beim BSI Pflicht.
Welche Fristen gelten 2026?
Die EU-Frist zur Umsetzung war bereits der 17. Oktober 2024. Deutschland ist seitdem im Vertragsverletzungsverfahren. Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wird voraussichtlich im Sommer 2026 in Kraft treten. Ab Inkrafttreten: 3 Monate Registrierungsfrist, 21 Monate zur vollständigen Umsetzung der Risikomanagementmaßnahmen.
Welche Bußgelder drohen?
Wesentliche Einrichtungen bis 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes (der höhere Wert gilt). Wichtige Einrichtungen bis 7 Mio. Euro oder 1,4 Prozent. Zusätzlich persönliche Haftung der Geschäftsleitung bei grober Fahrlässigkeit. In Extremfällen kann das BSI die Zertifizierung entziehen oder eine temporäre Untersagung des Dienstes anordnen.
Was ist der Unterschied zwischen wesentlich und wichtig?
Wesentliche Einrichtungen (essential entities) unterliegen proaktiver Aufsicht durch das BSI mit regelmäßigen Nachweisprüfungen und höheren Bußgeldern. Wichtige Einrichtungen (important entities) werden reaktiv beaufsichtigt — erst nach einem Vorfall oder konkretem Anlass. Die Einteilung ergibt sich aus dem Sektor und der Größe der Einrichtung.
Wie lange dauert ein Betroffenheitscheck?
Ein gründlicher Check benötigt für einen Mittelständler 8 bis 15 Arbeitstage, für einen Konzern mit mehreren Tochtergesellschaften 18 bis 30 Arbeitstage. Inklusive Legal Review, Dokumentation und Managementpräsentation. Externe Dienstleister berechnen 15.000 bis 45.000 Euro je nach Komplexität der Konzernstruktur.