NIS2-Checkliste 2026 — 34 Prüffragen für Betroffenheit und Einstufung

So verwenden Sie diese Checkliste

Diese Checkliste ist für einen Mittelständler mit 100 bis 1.000 Mitarbeitern konzipiert. Arbeiten Sie die 34 Fragen in der angegebenen Reihenfolge ab. Am Ende erhalten Sie eine belastbare Aussage zur Betroffenheit, Einstufung als wesentliche oder wichtige Einrichtung sowie zur notwendigen Registrierung beim BSI.

Typische Durchlaufzeit: 8 bis 15 Arbeitstage, verteilt auf CISO, Legal, Compliance und Geschäftsführung.

Block 1 — Sektor-Zuordnung (11 Fragen)

Die Sektor-Zuordnung ist der häufigste Fehlerherd. Viele Unternehmen unterschätzen ihre Rolle in der Lieferkette oder ordnen sich nicht den korrekten Anhang-Kategorien zu.

BeispielEin IT-Dienstleister mit 240 Mitarbeitern erbringt Managed Services für 40 Krankenhäuser. Allein das macht ihn zur wesentlichen Einrichtung (Sektor: ICT-Service-Management) — unabhängig von seiner eigenen IT-Infrastruktur.

Betreibt Ihr Unternehmen Anlagen der Energieversorgung (Strom, Gas, Öl, Fernwärme, Wasserstoff)?
Erbringen Sie Dienste im Verkehr (Luft, Schiene, Straße, Schifffahrt)?
Sind Sie Kreditinstitut, Wertpapierdienstleister oder Finanzmarktinfrastrukturbetreiber nach KWG oder WpHG?
Erbringen Sie Dienste im Gesundheitswesen (Kliniken, Labore, Arzneimittelhersteller, Medizinprodukte-Hersteller mit klinischer Relevanz)?
Betreiben Sie Anlagen der Trinkwasserver- oder Abwasserentsorgung?
Sind Sie Anbieter digitaler Infrastrukturdienste (DNS, TLD-Registrar, IXP, Cloud Computing, Rechenzentrum, Content Delivery Network)?
Erbringen Sie ICT-Service-Management für Dritte (Managed Services, Managed Security Services)?
Sind Sie Einrichtung der öffentlichen Verwaltung auf Bundes- oder Landesebene?
Erbringen Sie Post- oder Kurierdienste?
Sind Sie in Abfallwirtschaft, Chemie, Lebensmittelproduktion oder Herstellung spezifischer Güter (Medizinprodukte, Elektronik, Maschinenbau, Fahrzeugbau) tätig?
Sind Sie Anbieter digitaler Dienste (Online-Marktplatz, Suchmaschine, Social-Media-Plattform, B2B-Cloud-Dienste)?

Block 2 — Größenprüfung nach EU-KMU-Definition (5 Fragen)

Die Schwellen folgen der EU-Empfehlung 2003/361/EG. Maßgeblich ist der aktuellste verfügbare Jahresabschluss; bei Wachstum gilt die Schwelle ab zwei aufeinanderfolgenden Geschäftsjahren.

BeispielEin Maschinenbauer wuchs von 48 auf 72 Mitarbeiter im Berichtsjahr. Bilanzsumme: 12,4 Mio. Euro. Beide Schwellen (MA und Bilanz) wurden überschritten — der Betrieb fällt als wichtige Einrichtung unter NIS2.

Hat Ihr Unternehmen mindestens 50 Mitarbeiter (Vollzeitäquivalente, Stichtag 31.12. des Vorjahres)?
Liegt der Jahresumsatz bei mindestens 10 Mio. Euro?
Liegt die Jahresbilanzsumme bei mindestens 10 Mio. Euro?
Sind mindestens zwei der drei Schwellenwerte für zwei aufeinanderfolgende Geschäftsjahre erreicht?
Sind Sie ein Unternehmen mit mehr als 250 Mitarbeitern oder mehr als 50 Mio. Euro Umsatz (Großunternehmen)?

Block 3 — Konzernstruktur und Beteiligungen (4 Fragen)

Konzernweite Betrachtung nach EU-Verbundenheitsregeln. Minderheitsbeteiligungen ab 25 Prozent werden einbezogen.

BeispielEine Familien-Holding mit 34 MA hält 100 Prozent an drei operativen Töchtern mit je 80 bis 140 MA. In der konsolidierten Betrachtung: 394 MA — die gesamte Gruppe ist betroffen, jede Tochter wird einzeln zu den 18 Sektoren zugeordnet.

Gehört Ihr Unternehmen zu einem Konzern mit mehreren Gesellschaften in Deutschland oder der EU?
Haben Sie Tochtergesellschaften mit mehr als 50 Mitarbeitern, die in einem NIS2-Sektor tätig sind?
Bestehen Beherrschungs- oder Gewinnabführungsverträge, die zur Konsolidierung führen?
Gibt es wechselseitige Kapitalbeteiligungen ab 25 Prozent zu anderen Unternehmen?

Block 4 — Besondere Kriterien unabhängig von der Größe (6 Fragen)

Einige Einrichtungen fallen unabhängig von Sektor oder Größe unter NIS2. Prüfen Sie jede Frage.

BeispielEin Unternehmen mit 12 MA und 2,3 Mio. Euro Umsatz betreibt den einzigen Telekommunikationsdienst in einer Gemeinde mit 4.200 Einwohnern. Kriterium „alleiniger Anbieter" greift — NIS2 ist anwendbar.

Sind Sie qualifizierter Vertrauensdiensteanbieter nach eIDAS-Verordnung?
Betreiben Sie Top-Level-Domain-Registries oder Domain-Namensdienste?
Sind Sie Anbieter öffentlich zugänglicher elektronischer Kommunikationsnetze oder -dienste?
Sind Sie alleiniger Anbieter eines kritischen Dienstes in einem geographischen Gebiet oder Sektor?
Wurden Sie nach § 28 Absatz 7 NIS2UmsuCG durch die zuständige Behörde ausdrücklich eingestuft?
Gelten Sie als öffentliche Einrichtung auf Bundes- oder Landesebene?

Block 5 — Grenzüberschreitende Leistungen (4 Fragen)

Wichtig für die Zuständigkeit und die Registrierungspflicht in mehreren EU-Staaten.

BeispielEin deutscher Cloud-Anbieter mit 420 MA hat Kunden in 9 EU-Staaten. Zuständigkeit: Deutschland als Hauptniederlassung, aber Meldepflichten können auch in anderen Mitgliedstaaten anfallen, wenn dortige Kunden erheblich betroffen sind.

Erbringen Sie Dienste in mehreren EU-Mitgliedstaaten?
Liegt die Hauptniederlassung nachweislich in Deutschland?
Gibt es Tochtergesellschaften in anderen EU-Staaten mit eigenen NIS2-Pflichten?
Beliefern Sie als digitale Infrastruktur Kunden außerhalb der EU aus einem deutschen Rechenzentrum?

Block 6 — Dokumentation und Übergabe an die Geschäftsleitung (4 Fragen)

Das Ergebnis des Betroffenheitschecks muss prüffest dokumentiert sein. Bei späteren Regulierungsanfragen oder im Fall eines Sicherheitsvorfalls ist die Dokumentation das zentrale Nachweisinstrument.

BeispielEin Unternehmen lehnt die Betroffenheit ab, weil es die 50-MA-Schwelle knapp unterschreitet. Zwei Jahre später wird die Schwelle überschritten. Das BSI prüft rückwirkend — ohne saubere Dokumentation und jährliche Re-Prüfung ist kein Nachweis möglich.

Wurden alle 34 Prüffragen mit Datum und verantwortlicher Person dokumentiert?
Liegt ein Managementreport für die Geschäftsleitung mit Empfehlung zur Registrierung vor?
Ist ein Termin für die jährliche Re-Prüfung der Betroffenheit im Compliance-Kalender verankert?
Wurde ein Sicherheitsverantwortlicher benannt, der die Registrierung beim BSI vornimmt und als Kontaktperson fungiert?

Häufig gestellte Fragen zur Checkliste

Wie viele Prüffragen umfasst der Betroffenheitscheck?

Der strukturierte Check besteht aus 34 Prüffragen in 6 Blöcken. Die Gewichtung der Blöcke spiegelt die Prüfungslogik wider: Sektor-Zuordnung ist umfangreichster Block, weil die meisten Fehler hier entstehen.

Welche Unterlagen werden benötigt?

Handelsregisterauszug, Jahresabschlüsse der letzten zwei Geschäftsjahre, Mitarbeiterstatistik nach Vollzeitäquivalenten, Konzernorganigramm, Liste der Tochtergesellschaften mit Länderbezug, Leistungsbeschreibung pro Gesellschaft, eine Aufstellung aller erbrachten Dienste mit geographischer Reichweite.

Wer sollte die Prüfung durchführen?

Ein Team aus CISO oder IT-Sicherheit, Compliance, Legal und Finance unter Leitung eines Projektverantwortlichen. Der Check umfasst rechtliche, organisatorische und finanzielle Kriterien. Eine alleinige Delegation an die IT-Abteilung ist nicht ausreichend und führt häufig zu Fehleinstufungen.

Weiter lesen: