NIS2: Wer ist betroffen? Klare Übersicht für Unternehmen

Auf den Punkt gebracht: NIS2 – Wer ist betroffen?

Die NIS2-Richtlinie erfasst deutlich mehr Organisationen als ihr Vorgänger. Eine schnelle NIS2-Betroffenheitsprüfung orientiert sich an diesen Punkten:

• Standort: Tätig in der EU – mit Dienstleistungen oder Infrastruktur in einem der NIS2-relevanten Sektoren?
• Unternehmensgröße: In der Regel mehr als 50 Beschäftigte oder über 10 Mio. Euro Jahresumsatz („wichtige Einrichtungen”). Große Unternehmen mit über 250 Mitarbeitenden bzw. über 50 Mio. Euro Umsatz gelten oft als „wesentliche Einrichtungen“.
• Branche: Relevante Sektoren sind u. a. Energie, Verkehr, Bank- und Finanzwesen, Gesundheit, Wasser, digitale Infrastruktur, öffentliche Verwaltung, Raumfahrt, Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, Fertigung, Anbieter digitaler Dienste und Forschung.
• Sonderregelungen: Auch kleinere Unternehmen können betroffen sein, wenn sie kritische Dienste erbringen oder von nationaler Bedeutung sind.

Pflicht seit 2025: Ab wann NIS2 für Ihr Unternehmen gilt

Die NIS2-Richtlinie trat am 16. Januar 2023 in Kraft. Ab dem 17. Oktober 2024 mussten alle EU-Mitgliedstaaten die Vorgaben in nationales Recht umsetzen. Die Pflichten für Unternehmen greifen jedoch erst, wenn der jeweilige Mitgliedstaat seine Umsetzung abgeschlossen hat.

In Deutschland ist das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) – noch nicht in Kraft. Der Kabinettsentwurf wurde am 30. Juli 2025 verabschiedet und ins Parlament eingebracht. Das Inkrafttreten wird noch im Jahr 2025 erwartet.

Für von NIS2 betroffene Unternehmen bedeutet das: Die Anforderungen gelten hierzulande voraussichtlich erst mit Inkrafttreten des nationalen Gesetzes. Da keine längeren Übergangsfristen vorgesehen sind, sollten sich Unternehmen frühzeitig vorbereiten, um Fristen einhalten und Sanktionen vermeiden zu können.

Awareness-Trainings für NIS2

Demo buchen

Mit SoSafe erfüllen Sie NIS2-Vorgaben und schulen Ihr Team effektiv gegen Cyberbedrohungen.

Faktor 1: NIS2-Sektoren – Diese (besonders) wichtigen Einrichtungen sind betroffen

Ein grundlegender Faktor bei der Frage, welche Organisationen unter die NIS2-Richtlinie fallen, ist die Zugehörigkeit zu bestimmten NIS2-Sektoren. Die Richtlinie unterscheidet zwischen wesentlichen Einrichtungen („NIS2 Essential Entities”) und wichtigen Einrichtungen („NIS2 Important Entities”). Beide Kategorien müssen die gleichen Sicherheitsanforderungen erfüllen, unterliegen jedoch einer unterschiedlichen Aufsicht: wesentliche Einrichtungen werden proaktiv, wichtige Einrichtungen reaktiv überwacht.

Wesentliche Einrichtungen

Diese Gruppe umfasst in der Regel große Unternehmen mit mindestens 250 Beschäftigten, über 50 Millionen Euro Jahresumsatz und einer Jahresbilanzsumme von mehr als 43 Millionen Euro. Betroffen sind unter anderem folgende NIS2-Branchen (Annex I):

• Öffentliche Verwaltung
• Energie
• Verkehr
• Bankwesen und Finanzmarktinfrastruktur
• Gesundheitswesen
• Trinkwasserversorgung und Abwasserentsorgung
• Digitale Infrastruktur
• IKT-Dienstleistungsmanagement (B2B)
• Raumfahrt

Wichtige Einrichtungen

In dieser Kategorie sind mittlere Unternehmen mit 50 bis 249 Mitarbeitenden und einem Jahresumsatz zwischen 10 und 50 Millionen Euro betroffen. Relevante NIS2-Branchen sind unter anderem:

• Post- und Kurierdienste
• Abfallwirtschaft
• Chemische Industrie
• Lebensmittelproduktion und -verarbeitung
• Herstellung
• Digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
• Forschungseinrichtungen

Faktor 2: Standort – Wo NIS2 gilt und wen es trifft

Ob ein Unternehmen von der NIS2-Richtlinie betroffen ist, hängt nicht nur von Branche und Größe ab, sondern auch vom geografischen Tätigkeitsbereich. Grundsätzlich gilt NIS2 für Organisationen, die in der Europäischen Union aktiv sind – unabhängig davon, ob der Hauptsitz innerhalb oder außerhalb der EU liegt.

Relevant ist, ob das Unternehmen in einem der NIS2-Sektoren tätig ist und dort wesentliche oder wichtige Dienste anbietet. Das betrifft sowohl NIS2 Essential Entities als auch NIS2 Important Entities. Beispiele sind:

• Ein Energieversorger mit Sitz in Deutschland, der auch Kunden in anderen EU-Ländern beliefert
• Ein Anbieter digitaler Dienste außerhalb der EU, der seine Leistungen gezielt in mehreren Mitgliedstaaten bereitstellt
• Eine Behörde im NIS2-Sektor öffentliche Verwaltung, die Daten und Dienste innerhalb der EU zur Verfügung stellt
• Nicht betroffen: Ein Unternehmen mit Sitz in Deutschland, das ausschließlich deutsche Kunden beliefert und keine grenzüberschreitenden Leistungen in der EU erbringt

Es gilt also: Wer in der EU wesentliche oder wichtige Leistungen in relevanten NIS2-Branchen erbringt, kann – unabhängig vom Firmensitz – unter die Regelungen fallen.

Faktor 3: Unternehmensgröße – Wann NIS2 greift

Neben Branche und Standort entscheidet auch die Unternehmensgröße darüber, ob eine Organisation unter die Anforderungen der NIS2-Richtlinie fällt. Betroffen sind in der Regel mittlere und große Unternehmen mit mehr als 50 Mitarbeitenden oder einem Jahresumsatz über 10 Millionen Euro.

Für besonders große Unternehmen – häufig über 250 Beschäftigte und mehr als 50 Millionen Euro Umsatz – greifen die strengeren Vorgaben für wesentliche Einrichtungen. Kleinere Organisationen können ebenfalls erfasst werden, wenn sie in einem relevanten Sektor tätig sind und ihre Dienste von erheblicher Bedeutung sind.

Damit wird deutlich: Die Frage, wer von NIS2 betroffen ist, hängt nicht nur vom Tätigkeitsfeld ab. Auch die wirtschaftlichen Kennzahlen können ein Unternehmen in den Anwendungsbereich einordnen – selbst dann, wenn es bisher nicht zu den als kritisch eingestuften Betrieben gehörte.

Auch kleine Unternehmen können von NIS2 betroffen sein – warum Größe nicht immer entscheidend ist

Die NIS2-Richtlinie erfasst nicht nur große Organisationen. Auch Unternehmen, die unter den üblichen Schwellenwerten liegen, können von NIS2 betroffen sein. Das gilt insbesondere für Betriebe in relevanten Sektoren oder mit einer Schlüsselrolle in kritischen Lieferketten.

So kann beispielsweise ein mittelständischer Zulieferer für einen Energieversorger trotz geringerer Größe als Teil der NIS2-betroffenen Unternehmen eingestuft werden – etwa dann, wenn seine Leistungen für den Betrieb einer wesentlichen Einrichtung unverzichtbar sind.

Die Einstufung erfolgt daher nicht ausschließlich nach Mitarbeiterzahl oder Umsatz, sondern auch danach, welche Folgen ein Ausfall für wesentliche oder wichtige Einrichtungen hätte.

Wichtig: Diese Einbeziehung kleinerer Organisationen erfolgt nicht automatisch für alle Zulieferer. Sie basiert auf einer konkreten Risikobewertung oder einer ausdrücklichen Bestimmung durch die zuständigen Behörden.

NIS2-Betroffenheitsprüfung – schnell Klarheit mit offiziellen Tools

Ob eine Organisation unter die Anforderungen der NIS2-Richtlinie fällt, lässt sich nicht immer auf den ersten Blick erkennen. Neben Branche, Standort und Unternehmensgröße spielen oft auch individuelle Risikofaktoren eine Rolle. Eine strukturierte NIS2-Betroffenheitsprüfung hilft, diese Fragen eindeutig zu klären.

Risiken für CISOs und IT-Entscheider – NIS2-Pflichten ernst nehmen

Die NIS2-Richtlinie sieht bei Verstößen gegen ihre Anforderungen strenge Sanktionen vor. Für von NIS2 betroffene Unternehmen kann das – je nach nationaler Umsetzung – hohe Bußgelder und in bestimmten Fällen auch persönliche Haftung für Einzelpersonen bedeuten, zum Beispiel für Geschäftsführer, CISOs oder andere Verantwortliche für Informationssicherheit.

In Deutschland gilt: Das Umsetzungsgesetz (NIS2UmsuCG) ist noch nicht in Kraft. Solange es fehlt, können hierzulande keine Bußgelder nach NIS2 verhängt werden. In anderen EU-Mitgliedstaaten, die bereits umgesetzt haben, sind Sanktionen dagegen schon möglich.

Sobald das deutsche Gesetz gilt, sind Verstöße sofort sanktionierbar. Die konkrete Höhe und der Bußgeldrahmen werden national festgelegt. Unternehmen sollten deshalb jetzt prüfen, ob sie von der NIS2-Richtlinie betroffen sind und dann die erforderlichen Sicherheitsmaßnahmen umsetzen – etwa klare Zuständigkeiten, dokumentierte Prozesse und regelmäßige Audits. So lassen sich rechtliche und wirtschaftliche Risiken frühzeitig minimieren.

Was muss man tun, wenn man von NIS2 betroffen ist?

Organisationen, die unter die NIS2-Richtlinie fallen, müssen ihre Netz- und Informationssysteme mit einem wirksamen Mix aus organisatorischen und technischen Maßnahmen absichern. Für von NIS2 betroffene Unternehmen gehören dazu insbesondere:

1. Risikoanalyse und Sicherheitskonzept
   Bestandsaufnahme aller relevanten Systeme, Prozesse und Schnittstellen sowie eine gezielte Suche nach möglichen Schwachstellen.
2. Maßnahmen zur Risikominderung
   Einführung passender technischer und organisatorischer Schutzvorkehrungen – von strengen Zugriffskontrollen bis hin zu belastbaren Notfallplänen.
3. Schulungen und Sensibilisierung
   Mitarbeitende regelmäßig zu Cybersecurity-Themen schulen und Sicherheitsbewusstsein fördern – zum Beispiel mit praxisnahen Cyber- Security-Awareness-Trainings von SoSafe.
4. Meldestrukturen etablieren
   Verfahren einführen, um Sicherheitsvorfälle innerhalb der vorgeschriebenen Fristen zu melden.
5. Kontinuierliche Überprüfung
   Maßnahmen regelmäßig evaluieren und bei Bedarf anpassen.

Wer frühzeitig handelt und eine klare Checkliste zur Umsetzung verfolgt, spart im Ernstfall Zeit, vermeidet unnötige Kosten und reduziert das Risiko von Sanktionen – sobald das nationale Umsetzungsgesetz in Deutschland gilt. Hinweis: Dieser Artikel stellt keine Rechtsberatung dar. Er dient ausschließlich der allgemeinen Information und ersetzt keine individuelle juristische Prüfung. Für verbindliche Auskünfte zu Ihren Pflichten nach der NIS2-Richtlinie wenden Sie sich bitte an qualifizierte Rechtsberater oder die zuständigen Behörden.