Wer fällt unter NIS2? Der vollständige Sektor- und Schwellenwert-Check

Die NIS2-Richtlinie betrifft in Deutschland nach Schätzungen des BSI rund 30.000 Unternehmen — gegenüber wenigen hundert unter der Vorgängerrichtlinie NIS1. Viele davon wissen noch nicht, dass sie betroffen sind. Eine falsche Einstufung als "nicht betroffen" ist kein juristischer Schutz: Wenn das BSI anders entscheidet, gelten rückwirkend alle Pflichten — zuzüglich Bußgeldern bis 10 Mio. EUR.

Dieser Artikel führt Sie durch den Entscheidungsbaum: Fällt mein Unternehmen unter NIS2?

1. Der Drei-Punkte-Test

Ein Unternehmen fällt grundsätzlich unter NIS2, wenn alle drei Kriterien zutreffen:

1. Sektor — Es gehört zu einem der 18 aufgeführten Sektoren (Anhang I oder II)
2. Größe — Es überschreitet die Schwelle von 50 Mitarbeitenden oder 10 Mio. EUR Jahresumsatz
3. Geografie — Es bietet Dienstleistungen in der EU an oder ist dort niedergelassen

Die 50/10-Schwelle folgt der EU-KMU-Definition (Verordnung 2003/361/EG). Konzernbetrachtung gilt: Eine Tochtergesellschaft mit 30 MA fällt unter NIS2, wenn der Konzern insgesamt >50 MA hat.

2. Die 18 Sektoren im Detail

Wesentliche Einrichtungen (Anhang I)

1. Energie — Strom, Gas, Fernwärme, Öl, Wasserstoff
2. Verkehr — Luft, Schiene, Straße, Wasser
3. Banken — Kreditinstitute
4. Finanzmarktinfrastruktur — Handelsplätze, zentrale Gegenparteien
5. Gesundheit — Krankenhäuser, größere MVZ, Pharmahersteller
6. Trinkwasser
7. Abwasser
8. Digitale Infrastruktur — DNS, TLD, Rechenzentren, Cloud, CDN
9. ICT-Management für Geschäftskunden (B2B)
10. Öffentliche Verwaltung
11. Raumfahrt

Wichtige Einrichtungen (Anhang II)

12. Post- und Kurierdienste
13. Abfallwirtschaft
14. Chemie
15. Lebensmittel
16. Produzierendes Gewerbe — Medizinprodukte, Computer, Elektrotechnik, Maschinenbau, Kraftfahrzeuge
17. Digitale Anbieter — Suchmaschinen, Online-Marktplätze, soziale Netzwerke
18. Forschungseinrichtungen

3. Wesentliche vs. wichtige Einrichtungen — was ist der Unterschied?

Die Pflichten nach Art. 21 (die zehn Maßnahmen) sind identisch — der Unterschied liegt in der Aufsichtsintensität und Sanktionshöhe.

4. Größenunabhängige Erfassung

Einige Entitäten fallen unabhängig von der Größe unter NIS2:

• DNS-Provider
• TLD-Registries (Top Level Domain)
• Anbieter öffentlicher elektronischer Kommunikationsnetze und -dienste
• Qualifizierte Vertrauensdienstleister (eIDAS)
• Alleinige Anbieter eines kritischen Dienstes in einem Mitgliedstaat
• Anbieter von Diensten, deren Unterbrechung die öffentliche Sicherheit, Ordnung oder Gesundheit signifikant beeinträchtigen könnte

Das heißt: Ein 5-Mann-DNS-Dienstleister fällt auch unter NIS2.

5. Der Entscheidungsbaum

1. Ist mein Unternehmen in einem der 18 Sektoren tätig?
   → NEIN: Prüfe "größenunabhängige Erfassung" (Punkt 4 oben)
     → NEIN: nicht betroffen
     → JA: betroffen
   → JA: weiter zu 2

2. Hat das Unternehmen (konsolidiert auf Konzernebene) mindestens 50 MA
   ODER mindestens 10 Mio. EUR Jahresumsatz?
   → NEIN: Prüfe "kritischer Alleindienstleister" (Punkt 4)
   → JA: weiter zu 3

3. Biete ich Dienstleistungen in der EU an oder bin in der EU niedergelassen?
   → NEIN: nicht betroffen
   → JA: BETROFFEN — wesentlich oder wichtig je nach Anhang

6. Typische Graubereiche

SaaS-Anbieter und Cloud-Dienste

Wann fällt ein SaaS-Anbieter unter NIS2? Drei typische Konstellationen:

• Digitale Infrastruktur (Anhang I) — wenn der Dienst als "Cloud-Computing-Dienst" zählt
• Digitale Anbieter (Anhang II) — Online-Marktplätze, soziale Netzwerke, Suchmaschinen
• ICT-Management (Anhang I) — wenn der SaaS-Anbieter geschäftskritische IT-Dienste übernimmt

Die Abgrenzung ist komplex — im Zweifel BSI-Einzelanfrage oder konservative Einstufung.

Healthcare: Krankenhäuser vs. Arztpraxen

Krankenhäuser mit mehr als 100 Betten fallen praktisch immer. Arztpraxen mit <50 MA meist nicht. MVZ und Gesundheitsnetzwerke können durch konsolidierte Betrachtung darunter fallen.

Industrie: Produktion vs. Handwerk

Die "verarbeitende Industrie" (Anhang II Nr. 5) umfasst explizit: Medizinprodukte, Computer, Elektrotechnik, Maschinenbau, Kraftfahrzeuge und deren Teile. Ein Kfz-Werkstattbetrieb ist kein Kraftfahrzeughersteller — aber ein Tier-2-Zulieferer schon.

Tochterunternehmen großer Konzerne

Wenn die Muttergesellschaft über 50 MA hat, fallen auch kleine Töchter darunter — wenn sie in einem NIS2-Sektor tätig sind. Der Konzernbezug kann nicht umgangen werden durch formale Trennung.

7. Was tun bei Betroffenheit?

1. Offiziell registrieren im BSI-NIS2-Portal (innerhalb 3 Monaten nach Inkrafttreten des NIS2UmsuCG)
2. Betroffenheitsentscheidung dokumentieren — schriftlich, mit Begründung, Managementfreigabe
3. 10-Schritte-NIS2-Umsetzung starten
4. Matproof-Plattform für operative Umsetzung einrichten

Fazit

Die Betroffenheitsanalyse ist der wichtigste erste Schritt. Falsch eingestuft oder zu spät reagiert: Die Strafen kommen nicht von heute auf morgen, aber sie kommen. Das BSI plant systematische Sektorüberwachung und identifiziert registrierungspflichtige Unternehmen proaktiv.

Wer jetzt prüft, entscheidet strukturiert und mit Expertenbegleitung. Wer wartet, entscheidet unter Zeitdruck — und das geht selten gut.

Weiterführend:

• NIS2-Umsetzungsleitfaden — 10 Schritte zur Compliance
• NIS2 für Banken und Finanzdienstleister
• NIS2 im Gesundheitswesen
• NIS2-Readiness-Check — kostenlose Selbsteinschätzung