NIS2 Betroffenheitsanalyse: Bin ich betroffen?
Mit NIS2 werden deutlich mehr Unternehmen reguliert als bisher. Viele Organisationen müssen jetzt prüfen, ob sie als wichtige oder besonders wichtige Einrichtung gelten, welche Pflichten entstehen und ob eine Registrierung beim BSI erforderlich wird.
Was ist die NIS2-Betroffenheitsprüfung?
Die NIS2-Betroffenheitsprüfung ist eine strukturierte Ersteinschätzung dazu, ob Ihr Unternehmen voraussichtlich unter die NIS2-Richtlinie und deren deutsche Umsetzung fällt. Entscheidend sind Sektor, Unternehmensgröße, Mitarbeiterzahl, Umsatz und die Kritikalität der angebotenen Leistungen.
Der offizielle BSI-Check liefert eine erste Einordnung, ersetzt aber keine vertiefte rechtliche und organisatorische Bewertung.
Neben KRITIS-Betreibern rücken auch IT-Dienstleister, digitale Dienste, Produktion, Forschung, Logistik und weitere Branchen in den Regulierungsrahmen.
Je nach Einordnung entstehen Pflichten zu Registrierung, Risikomanagement, Vorfallmeldungen, Nachweisen und Resilienz.
Welche Unternehmen fallen unter NIS2?
Ob ein Unternehmen unter NIS2 fällt, hängt nicht nur von der Größe ab. Wichtig sind auch die Branchenzuordnung, die Kritikalität der Dienstleistungen und die Frage, ob das Unternehmen als wichtige Einrichtung oder besonders wichtige Einrichtung einzuordnen ist.
Häufige Anhaltspunkte sind mindestens 50 Mitarbeiter und mindestens 10 Mio. Euro Jahresumsatz oder Bilanzsumme. Diese Werte sind wichtig, aber nicht das einzige Kriterium.
Gerade der Mittelstand sollte die Betroffenheit aktiv prüfen. Ein IT-Systemhaus, ein Hersteller oder ein Cloud-Anbieter kann bereits unter NIS2 fallen, obwohl er nicht als klassische KRITIS wahrgenommen wird.
Für die konkrete Abgrenzung helfen interne Clusterseiten wie NIS2 Schwellenwerte, wichtige Einrichtungen NIS2 und besonders wichtige Einrichtungen NIS2.
Welche Branchen sind betroffen?
Die NIS2-Richtlinie erfasst deutlich mehr Branchen als frühere Cybersicherheitsvorgaben. Für die praktische Einordnung sollten betroffene Unternehmen immer Sektor, Leistung, Lieferkette und digitale Abhängigkeiten zusammendenken.
Energie, Telekommunikation, Gesundheit, Wasser, Transport und weitere kritische Infrastrukturen bleiben ein zentraler Kernbereich der Regulierung.
→ KRITIS und Dachgesetz ansehenIT-Dienstleister, MSPs, Cloud-Anbieter, Rechenzentren und digitale Dienste sind besonders praxisrelevante Beispiele für NIS2-Unternehmen außerhalb klassischer KRITIS-Strukturen.
→ Incident Management nach NIS2Produktion, Lebensmittel, Forschung, Online-Marktplätze und Logistik können je nach Größe und Kritikalität ebenfalls klar unter den NIS2-Rahmen fallen.
→ Business Continuity vorbereitenWelche Pflichten entstehen durch NIS2?
Die Betroffenheitsanalyse ist nur der Anfang. Wenn Ihr Unternehmen unter NIS2 fällt, folgen daraus Pflichten zu Risikomanagement, Vorfallbehandlung, Nachweisen, Governance und Widerstandsfähigkeit.
Vertiefend sollten von hier aus auf NIS2 Anforderungen, NIS2 Risikomanagementrichtlinie, Incident Management NIS2 und Business Continuity Management NIS2 verlinkt werden.
Je nach Einordnung kann eine Registrierung beim BSI erforderlich sein. Auch Ansprechpartner, Meldestrukturen und Nachweisfähigkeit sollten früh eingeplant werden.
NIS2 ist keine reine IT-Aufgabe. Betroffen sind auch Leitungsorgane, Prozesse, Rollen, Schulungen und die Organisation der Umsetzung insgesamt.
Welche Rolle spielt das BSI?
Das BSI ist in Deutschland die zentrale Referenzstelle für die NIS2-Betroffenheitsprüfung, für Orientierung, für Aufsichtsthemen und für die operative Einbettung von Melde- und Pflichtprozessen. Fachlich sinnvoll sind hier interne Links auf BSIG neu, NIS2UmsuCG und KRITIS-Dachgesetz.
Wie läuft die NIS2-Prüfung ab?
Die NIS2-Prüfung sollte nicht nur als Klick durch einen Fragebogen verstanden werden. Gute Ergebnisse entstehen, wenn Unternehmen die Einordnung strukturiert dokumentieren und direkt in nächste Umsetzungsmaßnahmen überführen.
Klar erfassen, welche Leistungen das Unternehmen erbringt und welcher NACE- oder Sektorzuordnung diese am ehesten entsprechen.
Mitarbeiterzahl, Jahresumsatz und gegebenenfalls Bilanzsumme mit typischen NIS2-Schwellenwerten spiegeln.
Auf dieser Grundlage den offiziellen BSI-Check strukturiert beantworten und das Ergebnis dokumentieren.
Wenn Betroffenheit wahrscheinlich ist, sollten Registrierung, Nachweise, Risikomanagement und Incident Handling direkt priorisiert werden.
FAQ zur NIS2-Betroffenheit
Die folgenden Fragen decken typische Suchanfragen rund um NIS2 betroffen, NIS2 BSI, NIS2 Registrierung, NIS2 Mittelstand und NIS2 Schwellenwerte ab.
Welche Unternehmen fallen unter NIS2?
Bin ich als Mittelständler von NIS2 betroffen?
Muss ich mich beim BSI registrieren?
Welche Rolle spielt das BSI?
Welche Nachweispflichten gibt es?
Unterstützung bei der NIS2-Umsetzung
Eine gute Betroffenheitsanalyse endet nicht beim Check. Wenn Ihr Unternehmen wahrscheinlich unter NIS2 fällt, sind die nächsten Schritte bei Pflichten, Dokumenten, Risikomanagement und Priorisierung entscheidend.
