NIS2 – bin ich betroffen?

Was ist NIS2 und warum ist es relevant?

Cyberangriffe auf Unternehmen sind längst kein Randphänomen mehr. Ransomware-Vorfälle, Datenpannen und Betriebsunterbrechungen betreffen inzwischen Unternehmen aller Branchen und Größen. Die EU hat darauf reagiert. Mit der NIS2-Richtlinie (EU 2022/2555) wurden die Anforderungen an die Cybersicherheit erheblich verschärft und der Kreis der betroffenen Organisationen deutlich erweitert.

In Deutschland wurde die Richtlinie mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz in nationales Recht umgesetzt. Das Gesetz ist seit dem 6. Dezember 2025 in Kraft und bringt für betroffene Unternehmen neue Pflichten mit sich. Diese müssen sich unter anderem innerhalb von drei Monaten beim BSI registrieren.

Wer ist betroffen?

Ob Ihr Unternehmen den Anforderungen von NIS2 unterliegt, hängt davon ab, ob es in einem der regulierten Sektoren tätig ist und die Größenschwellen überschreitet. NIS2 unterscheidet dabei zwischen besonders wichtigen Einrichtungen und wichtigen Einrichtungen.

• Besonders wichtige Einrichtungen: ab 250 Mitarbeitenden oder einem Jahresumsatz über 50 Millionen Euro beziehungsweise einer Bilanzsumme über 43 Millionen Euro, sofern sie unter Anlage 1 fallen.

• Wichtige Einrichtungen: ab 50 Mitarbeitenden oder einem Jahresumsatz über 10 Millionen Euro, sofern sie unter Anlage 1 oder Anlage 2 fallen.

• Größenunabhängig betroffen sind unter anderem qualifizierte Trust-Service-Provider, DNS-Anbieter und TLD-Registries

In der Regel fallen Kleinstunternehmen mit weniger als 50 Mitarbeitenden und einem Jahresumsatz von weniger als 10 Millionen Euro nicht unter NIS2. Unternehmen müssen selbst prüfen, ob sie betroffen sind. Eine behördliche Benachrichtigung gibt es nicht. Seit Januar 2026 stellt das BSI ein Registrierungsportal bereit.

Die Sektoren nach NIS2 im Überblick

Anlage 1 – Sektoren besonders wichtiger Einrichtungen:

Energie, Transport und Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstleistungsmanagement, öffentliche Verwaltung und Raumfahrt.

Anlage 2 – Sektoren wichtiger Einrichtungen:

Post- und Kurierdienste, Abfallwirtschaft, Herstellung, Verarbeitung und Handel mit chemischen Stoffen, Produktion und Verarbeitung von Lebensmitteln, verarbeitendes Gewerbe bzw. Herstellung von Waren, Anbieter digitaler Dienste und Forschung.

Auch wenn Ihr Unternehmen nicht direkt betroffen ist, kann NIS2 mittelbar relevant werden: Wer Dienstleistungen für betroffene Einrichtungen erbringt, wird über Anforderungen an die Lieferkettensicherheit zunehmend indirekt einbezogen.

Was kommt als Nächstes?

Wenn Sie festgestellt haben, dass Ihr Unternehmen betroffen ist, sind die nächsten Schritte:

• Registrierung beim BSI: Betroffene Einrichtungen müssen sich im BSI-Portal registrieren. Eine Schritt-für-Schritt-Anleitung finden Sie in unserem Artikel zur NIS2-Registrierung beim BSI.

• Pflichten umsetzen: NIS2 verpflichtet zu konkreten technischen und organisatorischen Maßnahmen – von Risikoanalyse über Meldeprozesse bis zur Geschäftsleiterhaftung. Mehr dazu in unserem Artikel zu den NIS2-Pflichten für Unternehmen.

Sie sind unsicher, ob Ihr Unternehmen betroffen ist, oder brauchen Unterstützung bei der Umsetzung? Wir begleiten KMU vom ersten BSI-Eintrag bis zur vollständigen Compliance – sprechen Sie uns an.