NIS22026-04-195 min Lesezeit

NIS2: Wer ist betroffen? Pruefung in 5 Minuten 2026

MW
Malte Wagenbach

Founder & CEO, Matproof

Inhaltsverzeichnis

  1. 01Schnell-Check: die drei Kategorien
  2. 02Schritt 1: Sektor pruefen
  3. 03Schritt 2: Groessenschwelle pruefen
  4. 04Sonderfaelle: immer betroffen, unabhaengig von Groesse
  5. 05Sonderfaelle in Deutschland
  6. 06Praxisbeispiele
  7. 07Lieferkettenpflicht — auch wenn Sie nicht direkt betroffen sind
  8. 08Was tun, wenn Sie betroffen sind?
  9. 09Der schnellste Weg zur Klarheit
  10. 10Weiter lesen

NIS2: Wer ist betroffen? Pruefung in 5 Minuten 2026

Im Unterschied zur alten NIS-Richtlinie (die 2.000 Unternehmen in DE erfasste) umfasst NIS2 etwa 29.000 deutsche Unternehmen. Die grosse Frage bei jedem Gespraech: "Sind wir betroffen?". Dieser Artikel gibt die konkrete Antwort mit Sektorenliste, Schwellenwerten und interaktivem Check.

Schnell-Check: die drei Kategorien

Kategorie Kriterien Pflichten
Wesentliche Einrichtung Grossunternehmen (>= 250 MA ODER >= 50 Mio. Umsatz) in bestimmten Sektoren Volle NIS2-Pflichten + proaktive Aufsicht
Wichtige Einrichtung Mittlere Unternehmen (50-249 MA ODER 10-50 Mio. Umsatz) in erweiterten Sektoren Volle NIS2-Pflichten + reaktive Aufsicht
Nicht betroffen Unternehmen unterhalb der Schwellenwerte oder ausserhalb der Sektoren Keine direkten NIS2-Pflichten (aber ggf. mittelbar ueber Lieferkette)

Achtung: Einige Einrichtungen fallen unabhaengig von der Groesse unter NIS2 — siehe Sonderfaelle weiter unten.

Schritt 1: Sektor pruefen

NIS2 unterscheidet Anhang I (Sektoren mit hoher Kritikalitaet) und Anhang II (weitere kritische Sektoren).

Anhang I — Sektoren mit hoher Kritikalitaet

In diesen Sektoren fallen Grossunternehmen automatisch als "wesentliche Einrichtung", mittlere als "wichtige Einrichtung":

  1. Energie — Strom, Fernwaerme, Oel, Gas, Wasserstoff
  2. Verkehr — Luftfahrt, Schienenverkehr, Schifffahrt, Strassenverkehr
  3. Bankwesen — Kreditinstitute
  4. Finanzmarktinfrastruktur — Handelsplaetze, zentrale Gegenparteien
  5. Gesundheitswesen — Gesundheitsdienstleister, EU-Referenzlaboratorien, Pharma-Forschung, kritische Medizinprodukte-Hersteller
  6. Trinkwasser
  7. Abwasser
  8. Digitale Infrastruktur — IXP, DNS-Anbieter, TLD-Registries, Cloud-Anbieter, Rechenzentren, CDN, Vertrauensdiensteanbieter, elektronische Kommunikationsnetze
  9. IKT-Service-Management (B2B) — Managed Services Provider, Managed Security Services Provider
  10. Oeffentliche Verwaltung — Zentralregierung, ggf. regionale Verwaltung
  11. Weltraum

Anhang II — Weitere kritische Sektoren

In diesen Sektoren fallen mittlere und grosse Unternehmen als "wichtige Einrichtungen":

  1. Post und Kurier
  2. Abfallwirtschaft
  3. Produktion und Handel mit chemischen Stoffen
  4. Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  5. Herstellung von:
    • Medizinprodukten und In-vitro-Diagnostika
    • Datenverarbeitungsgeraeten, elektronischen und optischen Erzeugnissen
    • elektrischen Ausruestungen
    • Maschinen
    • Kraftwagen und Kraftwagenteilen
    • sonstigen Fahrzeugen
  6. Anbieter digitaler Dienste — Online-Marktplaetze, Suchmaschinen, Social Networks
  7. Forschung

Nicht in diesen Sektoren? Sie sind voraussichtlich nicht betroffen — aber pruefen Sie die Sonderfaelle.

Schritt 2: Groessenschwelle pruefen

Wesentliche Einrichtung

  • Mindestens 250 Mitarbeitende ODER
  • Mindestens 50 Mio. EUR Jahresumsatz UND
  • Bilanzsumme mindestens 43 Mio. EUR

Alternativ: Unternehmen in Anhang I Sektoren 9 (IKT-Service-Management B2B) und 10 (oeffentliche Verwaltung) koennen auch mit kleinerer Groesse wesentlich sein.

Wichtige Einrichtung

  • Mindestens 50 Mitarbeitende ODER
  • Mindestens 10 Mio. EUR Jahresumsatz UND
  • Bilanzsumme mindestens 10 Mio. EUR

Kleinstunternehmen

  • Unter 10 Mitarbeitende UND unter 2 Mio. EUR Umsatz
  • Nicht von NIS2 erfasst — ausser Sonderfaelle

Sonderfaelle: immer betroffen, unabhaengig von Groesse

Einige Einrichtungstypen fallen unabhaengig von Mitarbeiterzahl und Umsatz unter NIS2:

  1. Vertrauensdiensteanbieter (eIDAS) — egal wie klein
  2. TLD-Registries (z.B. DENIC fuer .de) — unabhaengig von Groesse
  3. Bestimmte oeffentliche Einrichtungen — Zentralregierung, ggf. Laender
  4. Anbieter oeffentlicher elektronischer Kommunikationsnetze
  5. Anbieter oeffentlicher elektronischer Kommunikationsdienste
  6. Als KRITIS-Betreiber nach deutscher KritisV eingestufte Unternehmen
  7. Einzige Anbieter eines wesentlichen Dienstes in einem Mitgliedstaat
  8. Stoerung wuerde erhebliche Auswirkungen auf oeffentliche Sicherheit, Gesundheit, Ordnung haben

Sonderfaelle in Deutschland

Das NIS2UmsuCG (deutsches Umsetzungsgesetz) geht teilweise ueber die EU-Richtlinie hinaus:

  • Bundesverwaltung und bestimmte Landesverwaltungen sind explizit erfasst
  • KRITIS-Sektoren werden in NIS2 ueberfuehrt und erweitert
  • Bestimmte Finanzdienstleister werden erfasst, die unter DORA fallen

Bei Ueberlappung mit DORA gilt: DORA ist lex specialis — fuer Finanzinstitute gehen DORA-Pflichten vor, NIS2 gilt subsidiär.

Praxisbeispiele

Beispiel 1: IT-Dienstleister, 80 MA, Managed Services fuer Mittelstand

  • Sektor: IKT-Service-Management (Anhang I)
  • Groesse: >= 50 MA
  • Ergebnis: wichtige Einrichtung (nicht wesentlich, da < 250 MA und < 50 Mio. Umsatz)

Beispiel 2: Mittelstaendischer Maschinenbauer, 350 MA, 80 Mio. Umsatz

  • Sektor: Herstellung Maschinen (Anhang II)
  • Groesse: >= 250 MA UND >= 50 Mio. Umsatz
  • Ergebnis: wichtige Einrichtung (da Anhang II, nicht wesentlich)

Beispiel 3: Cloud-Anbieter, 500 MA, 150 Mio. Umsatz

  • Sektor: Digitale Infrastruktur (Anhang I)
  • Groesse: >= 250 MA UND >= 50 Mio. Umsatz
  • Ergebnis: wesentliche Einrichtung

Beispiel 4: Online-Shop, 30 MA, 8 Mio. Umsatz (Fashion)

  • Sektor: Nicht in Anhang I oder II (Einzelhandel nicht erfasst)
  • Ergebnis: nicht direkt betroffen — aber Lieferkettenpflichten eines betroffenen Kunden koennen indirekt gelten

Beispiel 5: Startup, 12 MA, 1,8 Mio. Umsatz, Anbieter eines IAM-SaaS

  • Sektor: Digitale Infrastruktur (Anhang I)
  • Groesse: unter Schwellenwert
  • Ergebnis: nicht direkt betroffen — aber Kunden koennen vertraglich NIS2-Niveau fordern

Beispiel 6: DENIC eG, TLD-Registry fuer .de

  • Sektor: Digitale Infrastruktur, TLD-Registry
  • Groesse: unabhaengig (Sonderfall)
  • Ergebnis: wesentliche Einrichtung (unabhaengig von Groesse)

Lieferkettenpflicht — auch wenn Sie nicht direkt betroffen sind

Betroffene Einrichtungen muessen die Sicherheit ihrer Lieferkette sicherstellen (NIS2 Art. 21 Abs. 2 lit. d). In der Praxis:

  • Sie werden als Lieferant eines NIS2-pflichtigen Unternehmens aufgefordert, Sicherheitsnachweise zu erbringen
  • Ihr Kunde verlangt ISO 27001, SOC 2 oder NIS2-Konformitaetsnachweis
  • Sie muessen bei Audits Ihres Kunden mitwirken
  • Das gilt selbst, wenn Sie selbst nicht direkt unter NIS2 fallen

Fazit: auch Nicht-Betroffene sollten NIS2-nahe Sicherheitsmassnahmen umsetzen, sonst verlieren sie Kunden.

Mehr: NIS2 Lieferkette und Lieferantenmanagement.

Was tun, wenn Sie betroffen sind?

  1. Konkrete Einstufung klaeren — wesentlich oder wichtig? Unterschied relevant fuer Bussgeldhoehe und Aufsicht
  2. Betroffenheit dokumentieren — fuer interne Transparenz und BSI-Registrierung
  3. Readiness-Assessment durchfuehren — wo stehen Sie, was fehlt?
  4. 10 Massnahmen-Programm aufsetzen — NIS2 Umsetzungsleitfaden
  5. Registrierung beim BSI vorbereiten
  6. Geschaeftsleitung briefen — persoenliche Haftung, Schulungspflicht
  7. Budget planen: Tooling, externe Beratung, Pentest, Schulung

Der schnellste Weg zur Klarheit

Matproof bietet einen kostenlosen NIS2-Betroffenheitscheck:

  • 5 Minuten, 8 Fragen
  • Ergebnis: wesentlich, wichtig oder nicht betroffen
  • PDF-Bericht mit konkreter Einstufung und Massnahmenempfehlung
  • Keine Registrierung vorab, nur Ergebnis-E-Mail

NIS2-Betroffenheitscheck starten

Weiter lesen

nis2 wer ist betroffennis2 betroffenheitnis2 betroffenheitspruefungnis2 pflichtnis2 schwellenwertenis2 sektorenwer faellt unter nis2

NIS2 Readiness Assessment

Assess your NIS2 compliance readiness

Take the free assessment

Bereit, Compliance zu vereinfachen?

Werden Sie in Wochen audit-ready, nicht Monaten. Sehen Sie Matproof in Aktion.

Demo anfordern