NIS2 Informationssicherheit IT-Grundschutz
Ratgeber

NIS2-Prüfphase: Betroffenheit feststellen und Umsetzung planen.

NIS2 hat den Kreis betroffener Unternehmen massiv erweitert. Bevor Sicherheitsmaßnahmen umgesetzt werden können, steht die Prüfphase: Sektor, Größe, Einrichtungstyp und Registrierungspflicht systematisch klären. Wie dieser Prozess strukturiert abläuft und worauf es dabei ankommt.

Zuletzt aktualisiert: Mai 2026

Hintergrund

Mehr Unternehmen betroffen als je zuvor.

Die NIS2-Richtlinie (EU 2022/2555) hat den Anwendungsbereich der Cybersicherheitspflichten in Europa grundlegend ausgeweitet. Während die ursprüngliche NIS1-Richtlinie in Deutschland nur einige Hundert Betreiber kritischer Infrastrukturen erfasste, fallen unter NIS2 schätzungsweise 30.000 bis 40.000 Unternehmen allein in Deutschland. Die Erweiterung betrifft insbesondere mittelständische Unternehmen in 18 Sektoren, die bislang keinen formalen Cybersicherheitspflichten unterlagen.

Viele Unternehmen haben die eigene Betroffenheit noch nicht systematisch geprüft. Die Prüfphase ist jedoch keine optionale Vorstufe, sondern der rechtlich notwendige erste Schritt: Ohne Kenntnis des eigenen Einrichtungstyps können weder die Registrierungspflicht noch die spezifischen Sicherheits- und Meldepflichten eingehalten werden. Aufsichtsbehörden setzen die Anforderungen aktiv durch.

Die Prüfphase gliedert sich in drei aufeinanderfolgende Fragen: Falle ich in einen der 18 NIS2-Sektoren? Überschreite ich die relevanten Größenschwellen? Bin ich als wesentliche oder wichtige Einrichtung einzustufen? Erst wenn diese Fragen dokumentiert beantwortet sind, kann eine belastbare Umsetzungsplanung beginnen. Zur schnellen Orientierung steht unsere NIS2-Betroffenheitsprüfung zur Verfügung.

Praxishinweis

Auch Unternehmen, die selbst nicht unter NIS2 fallen, können über die Lieferkette betroffen sein. Wesentliche und wichtige Einrichtungen sind verpflichtet, Cybersicherheitsanforderungen an ihre Lieferanten und Dienstleister weiterzugeben. Wer als kritischer Zulieferer gilt, muss mit vertraglichen Anforderungen rechnen.

Kernaspekte

Sechs Dimensionen der NIS2-Prüfphase.

Sektorcheck

NIS2 gilt für 18 definierte Sektoren. Erster Schritt ist die Zuordnung der eigenen Tätigkeit zu einem dieser Sektoren.

  • Hochkritisch: Energie, Transport, Bankwesen, Gesundheit
  • Hochkritisch: Trinkwasser, Abwasser, digitale Infrastruktur
  • Sonstig kritisch: Lebensmittel, Chemie, Post, Abfall
  • Sonstig kritisch: Gewerbe, digitale Anbieter, Forschung

Größenschwellen

Neben dem Sektor entscheiden Mitarbeitendenzahl und Umsatz über die Betroffenheit. Einige Einrichtungen fallen unabhängig von der Größe darunter.

  • Wesentlich: 250+ Mitarbeitende oder 50 Mio. EUR Umsatz
  • Wichtig: 50+ Mitarbeitende oder 10 Mio. EUR Umsatz
  • Größenunabhängig: kritische Infrastrukturen, DNS-Anbieter
  • Konzerne: konsolidierte Betrachtung prüfen

Wesentlich oder wichtig

Die Einstufung bestimmt Aufsichtsintensität und Bußgeldobergrenzen. Wesentliche Einrichtungen unterliegen proaktiven Behördenkontrollen, wichtige Einrichtungen hauptsächlich reaktiver Aufsicht.

  • Wesentlich: hochkritische Sektoren, Großunternehmen
  • Wichtig: weitere Sektoren, mittlere Unternehmen
  • Wesentlich: bis 10 Mio. EUR oder 2 % Umsatz
  • Wichtig: bis 7 Mio. EUR oder 1,4 % Umsatz

BSI-Registrierung

Wesentliche und wichtige Einrichtungen müssen sich beim BSI registrieren. Die Registrierung ist Voraussetzung für alle Meldepflichten.

  • Registrierung über die BSI-Meldeplattform
  • Angaben zu Einrichtungstyp, Sektor und Kontaktperson
  • Benennung einer erreichbaren Ansprechstelle für Cybersicherheit
  • Aktualisierungspflicht bei wesentlichen Änderungen

Lückenanalyse

Nach der Betroffenheitsfeststellung folgt die Lückenanalyse gegen die zehn NIS2-Maßnahmenbereiche. Was ist bereits umgesetzt, was fehlt oder ist unzureichend?

  • Risikoanalyse und Informationssicherheitsrichtlinien
  • Incident Management und Business Continuity
  • Lieferkettensicherheit und Zugangskontrollen
  • Kryptographie, Schwachstellenmanagement, Schulungen

Geschäftsführerhaftung

NIS2 führt eine direkte Verantwortlichkeit der Leitungsebene ein. Billigung, Überwachung und Schulung sind Pflicht. Eine Delegation an die IT-Abteilung genügt nicht.

  • Billigung der Cybersicherheitsmaßnahmen durch die Leitungsebene
  • Persönliche Haftung bei Pflichtverletzung möglich
  • Schulungspflicht für Geschäftsführung und Aufsichtsrat
  • Nachweis der Governance-Verantwortung dokumentieren
Vorgehen

Die NIS2-Prüfphase in vier Schritten.

01

Sektor und Größe prüfen

Haupttätigkeit einem der 18 NIS2-Sektoren zuordnen und Größenschwellen prüfen. Unsere NIS2-Checkliste führt durch die Betroffenheitsprüfung.

02

Einrichtungstyp bestimmen

Einrichtungstyp auf Basis von Sektor und Größe festlegen: wesentlich oder wichtig. Entscheidung schriftlich dokumentieren und der Geschäftsführung vorlegen.

03

Registrieren und melden

Registrierung über die BSI-Meldeplattform abschließen und Kontaktstelle für Sicherheitsvorfälle benennen. Ab jetzt greifen die gestuften Meldepflichten.

04

Lücken schließen und nachweisen

Lückenanalyse gegen die zehn Maßnahmenbereiche durchführen und priorisierten Umsetzungsplan erstellen. Alle Maßnahmen vollständig dokumentieren.

FAQ

Häufige Fragen zur NIS2-Prüfphase.

Verwandte Themen

NIS2 erfasst Einrichtungen in 18 definierten Sektoren, die bestimmte Größenschwellen überschreiten. Als wesentliche Einrichtungen gelten Unternehmen in hochkritischen Sektoren wie Energie, Transport, Bankwesen oder Gesundheit mit mindestens 250 Mitarbeitenden oder mehr als 50 Millionen Euro Jahresumsatz. Wichtige Einrichtungen sind mittlere Unternehmen mit mindestens 50 Mitarbeitenden oder 10 Millionen Euro Umsatz in weiteren Sektoren wie Lebensmittel, Chemie oder Verarbeitendem Gewerbe. Einige Einrichtungen fallen unabhängig von ihrer Größe unter NIS2.

Wesentliche Einrichtungen unterliegen strengeren Aufsichtspflichten und proaktiven Kontrollen durch die Behörden. Für sie gelten höhere Bußgeldobergrenzen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Wichtige Einrichtungen werden hauptsächlich reaktiv beaufsichtigt, also erst bei Vorfällen oder konkreten Hinweisen. Ihre Bußgeldobergrenze liegt bei 7 Millionen Euro oder 1,4 Prozent des Umsatzes. Die inhaltlichen Sicherheitsanforderungen sind für beide Kategorien weitgehend identisch.

Die EU-Richtlinie NIS2 war bis Oktober 2024 in nationales Recht umzusetzen. Deutschland hat die Umsetzung mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz vollzogen. Unternehmen sollten ihre Betroffenheit unverzüglich prüfen und mit der Umsetzung beginnen, da Aufsichtsbehörden aktiv prüfen und Bußgelder verhängen können. Eine Übergangsphase für die technische Umsetzung besteht nicht.

Ja. Wesentliche und wichtige Einrichtungen sind verpflichtet, sich beim Bundesamt für Sicherheit in der Informationstechnik zu registrieren und grundlegende Informationen zum Unternehmen sowie zum Ansprechpartner für Cybersicherheit zu übermitteln. Die Registrierung erfolgt über die BSI-Meldeplattform. Sie ist Voraussetzung für die Einhaltung der Meldepflichten bei Sicherheitsvorfällen.

Bei Verstößen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für wesentliche Einrichtungen. Hinzu kommen mögliche persönliche Haftungsrisiken für Geschäftsführer und Vorstände, die die Umsetzung zu verantworten haben. Die Aufsichtsbehörden können außerdem Anordnungen zur Nachbesserung erlassen und bei wesentlichen Einrichtungen proaktive Prüfungen durchführen.

NIS2 trifft mehr Unternehmen als gedacht. Gehören Sie dazu?

Lassen Sie uns besprechen, ob und wie NIS2 Ihr Unternehmen betrifft.

Kostenloses Erstgespräch buchen