Bin ich als KMU von NIS2 betroffen?

KMU mit mindestens 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz in einem der 18 NIS2-Sektoren sind direkt betroffen. Die Einstufung folgt §28 BSIG und liegt beim Unternehmen selbst — nicht beim BSI.

Was ist der Unterschied zwischen besonders wichtigen und wichtigen Einrichtungen?

Besonders wichtige Einrichtungen (bwE) fallen unter Anhang I — das sind kritische Sektoren wie Energie, Gesundheit, Wasser, Transport. Wichtige Einrichtungen (wE) fallen unter Anhang II — z.B. Post, Abfall, Lebensmittel, Chemie. Bußgelder und Aufsichtspflichten unterscheiden sich deutlich.

Gilt NIS2 auch wenn die IT ausgelagert ist?

Ja. Outsourcing entbindet nicht vom Betreiberstatus. Die Betreiberpflichten nach §30 BSIG und die GF-Haftung nach §38 BSIG bleiben beim eigenen Unternehmen.

Was ist die Gruppenregel bei NIS2?

Verbundene Unternehmen einer Unternehmensgruppe werden bei der Größenbestimmung zusammengerechnet. Eine Tochtergesellschaft mit 30 Mitarbeitenden kann betroffen sein, wenn der Konzern insgesamt die Schwelle überschreitet.

Von NIS2 betroffen?
Die Einstufung liegt beim Unternehmen.

Q: Prüft das BSI meine Betroffenheit automatisch?

Nein. Unternehmen müssen ihre Betroffenheit nach §28 BSIG selbst prüfen, dokumentieren und gegenüber dem BSI erklären. Eine nicht dokumentierte Einstufung gilt nicht als Nachweis.

§28 BSIG · Selbsteinstufungspflicht

18 regulierte Sektoren · Anhang I + II

Bußgeld bis 10 Mio. € · §65 BSIG

Praxis-Einordnung

Viele Unternehmen sind betroffen — wissen es aber nicht sicher. Das BSI registriert keine Unternehmen proaktiv und informiert auch nicht. Die Erstprüfung ist Eigenverantwortung nach §28 BSIG.

Nicht dokumentierte Betroffenheit schützt nicht vor Bußgeldern. Ein unklarer Stand erzeugt später unnötige Schleifen bei Registrierung, Meldelogik und Maßnahmenprogramm.

Wer jetzt einordnet, spart sich die Eskalation wenn Kunden, Lieferanten oder Prüfer anfragen.

Lageeinordnung

18.500

Unternehmen ohne BSI-Registrierung nach Fristablauf März 2026

BSI · Registrierungsstatistik 2026

Sektoren in Anhang I + II der NIS2-Richtlinie

EU-Kommission · NIS2 Directive

50 MA

Mitarbeitenden-Schwelle für Betroffenheit (Größenkriterium, mit Ausnahmen)

§28 BSIG · NIS2-Umsetzungsgesetz

Betroffenheitsprüfung · §28 BSIG

Wann gilt ein Unternehmen als betroffen?

Die Einstufung ergibt sich aus drei Kriterien — alle drei müssen geprüft werden, bevor eine Entscheidung als belastbar gilt.

Kriterium 01 · Sektor

Tätigkeit in einem NIS2-Sektor

Energie, Transport, Gesundheit, Wasser, Finanzen, Digitale Infrastruktur (Anhang I) — Post, Chemie, Lebensmittel, Abfall, Herstellung (Anhang II). Zuordnung nach der Haupttätigkeit.

Kriterium 02 · Größe

Größenkriterien überschritten

Wichtige Einrichtungen: ≥ 50 Mitarbeitende oder ≥ 10 Mio. € Umsatz. Besonders wichtige Einrichtungen: ≥ 250 MA oder ≥ 50 Mio. € Umsatz. Gruppenregel: verbundene Unternehmen werden zusammengerechnet.

Kriterium 03 · Sondertatbestände

Unabhängig von der Größe betroffen

Bestimmte Unternehmen sind ohne Rücksicht auf die Größe betroffen: DNS-Betreiber, TLD-Register, qualifizierte Vertrauensdienstanbieter und kritische Einzelfälle nach behördlicher Entscheidung.

Kriterium 04 · Gruppenregel

Konzernzugehörigkeit prüfen

Tochtergesellschaften mit 30 Mitarbeitenden können betroffen sein, wenn der Konzern insgesamt die Schwellen überschreitet. Für die Einstufung gilt die wirtschaftliche Einheit.

Sektorübersicht · §28 BSIG

Welcher Anhang gilt für Ihren Sektor?

Die Zuordnung zu Anhang I oder II bestimmt Schwellenwerte, Bußgeldrahmen und Prüfungsintensität.

Sektor	Einstufung	Größenschwelle (wE)
Energie (Strom, Gas, Wärme, Öl, Wasserstoff)	Anhang I · bwE	≥ 50 MA oder ≥ 10 Mio. €
Transport (Luft, Schiene, Wasser, Straße)	Anhang I · bwE	≥ 50 MA oder ≥ 10 Mio. €
Gesundheit (Krankenhäuser, Pflege, MVZ, Pharma)	Anhang I · bwE	≥ 50 MA oder ≥ 10 Mio. €
Trinkwasser / Abwasser	Anhang I · bwE	≥ 50 MA oder ≥ 10 Mio. €
Digitale Infrastruktur (Cloud, Rechenzentren, DNS)	Anhang I · bwE	Teils größenunabhängig
Finanz- und Bankwesen	Anhang I · bwE	≥ 50 MA oder ≥ 10 Mio. €
Post- und Kurierdienste (inkl. KEP-Subunternehmer)	Anhang II · wE	≥ 50 MA oder ≥ 10 Mio. €
Abfallwirtschaft	Anhang II · wE	≥ 50 MA oder ≥ 10 Mio. €
Chemie / Lebensmittel / Herstellung krit. Produkte	Anhang II · wE	≥ 50 MA oder ≥ 10 Mio. €

Handlungsreihenfolge

Was konkret zu tun ist — in fünf Schritten

Sektor zuordnen und dokumentieren

Welcher NIS2-Sektor beschreibt die Haupttätigkeit am besten? Mehrfachzuordnungen sind möglich und müssen begründet werden.

Größenkriterien belegen

Mitarbeitendenzahl, Jahresumsatz und Bilanzsumme gegen die Schwellenwerte prüfen. Gruppenregel berücksichtigen.

Sondertatbestände prüfen

DNS-Betrieb, TLD-Register, qualifizierte Vertrauensdienste oder behördliche Einzelfeststellung ausschließen oder dokumentieren.

Einstufung schriftlich festhalten

Betroffen / nicht betroffen / regulierungsnah — mit Begründung. Dieses Dokument ist später die Ausgangslage für Prüfer, Kunden und Versicherungen.

Konsequenzen ableiten

Registrierung nach §33 BSIG, Meldewege nach §32, Maßnahmenprogramm nach §30 und GF-Schulung nach §38 BSIG anstoßen.

Häufige Fehler

Was in der Praxis schiefgeht

Nur nach Branche schauen — nicht nach rechtlicher Sektorzuordnung nach Anhang I/II.

Größenkriterien nicht sauber belegen und Gruppenregel ignorieren.

„Wir sind zu klein" ohne Prüfung der Gruppenregel annehmen.

IT ausgelagert und Betreiberpflicht beim Dienstleister vermuten — falsch.

Einstufung intern kommuniziert, aber nicht dokumentiert — gilt nicht als Nachweis.

Schriftliche Einstufung mit Begründung — prüfbar, Grundlage für alle weiteren Schritte.

Häufige Fragen · §28 BSIG

Was am häufigsten gefragt wird

Prüft das BSI meine Betroffenheit automatisch?

Was ist der Unterschied zwischen bwE und wE?

Gilt die Gruppenregel auch für GmbH-Töchter?

Unsere IT ist vollständig ausgelagert — gilt NIS2 trotzdem?

Reicht eine mündliche interne Einschätzung?

Was danach kommt

Auf die Einordnung folgt belastbare Umsetzung.

Eine klare Einstufung ist kein Bürokratieakt. Sie ist die Grundlage für Registrierung, Meldewege, Maßnahmenprogramm und GF-Haftung.

Im Ereignisfall wird der Nachweis entscheidend. Wer Risiken nicht fortlaufend eingeordnet, Maßnahmen nicht sauber umgesetzt und Reviews nicht regelmäßig dokumentiert hat, gerät in eine deutlich schwächere Position.

Wer noch keine Registrierung hat: die BSI-Nachmeldung ist möglich — aber nur mit belegbarer Einstufung dahinter.

Nächster Schritt

BSI-Registrierung vorbereiten

Wer Betroffenheit geklärt hat, meldet als nächstes beim BSI. Der Vorbereitungs-Check führt durch ELSTER, MUK, Stammdaten und Zuständigkeit — inklusive Begründungstexten für verspätete Registrierung.

BSI-Registrierung vorbereiten → ← Zurück zur Übersicht

Wer Betroffenheit, Registrierung, Maßnahmen und Nachweise in einer Linie führen möchte, kann anschließend mit einer NIS2-Einordnung weiterarbeiten.