NIS2: Bin ich betroffen – und wenn ja, wie gehe ich vor?

NIS2: Bin ich betroffen – und wenn ja, wie gehe ich vor?

Die NIS2-Richtlinie erweitert den Kreis betroffener Unternehmen deutlich. Entscheidend ist nicht nur, ob man betroffen ist, sondern wie früh man das erkennt – direkt oder indirekt über Abhängigkeiten.

Wen betrifft NIS2?

Grundprinzip: Sektor + Größe

Ein Unternehmen ist betroffen, wenn beide Kriterien erfüllt sind:

1. Tätigkeit in einem erfassten Sektor

(z. B. Energie, Wasser, Gesundheitswesen, IT-Dienstleister, digitale Dienste, Industrie)

2. Erreichen eines Schwellwertes

Mindestens eines der folgenden Kriterien genügt:

  • ≥ 50 Mitarbeitende

  • ≥ 10 Mio. € Umsatz

  • ≥ 10 Mio. € Bilanzsumme

 

👉 Die KMU-Ausnahme gilt nur unterhalb dieser Schwellen.
👉 Konzernstrukturen und KRITIS-Nähe können die Betroffenheit erweitern.

Betroffenheit prüfen: Der empfohlene Ablauf

Schritt 1: Sektorabgleich

  • Ist die konkrete Tätigkeit in Anhang I oder II genannt?

  • Werden kritische Leistungen für Dritte erbracht?

⚠️ Nicht nur das Kerngeschäft zählt – auch Teilbereiche und IT-Services.

 

Schritt 2: Größenabgleich

  • Mitarbeitende (Vollzeitäquivalente)

  • Umsatz oder Bilanzsumme

  • Verbundene Unternehmen berücksichtigen

⚠️ Häufiger Fehler: Tochtergesellschaften isoliert bewerten.

 

Schritt 3: Sonderfälle prüfen

NIS2 greift oft auch bei:

  • IT-Dienstleistern, Cloud- & Managed-Services

  • Outsourcing kritischer IT-Funktionen

  • Kommunalen Unternehmen

👉 Indirekte Betroffenheit ist sehr häufig.

Was bedeutet indirekte Betroffenheit?

Auch ohne direkte Einstufung unter NIS2 entstehen Pflichten, wenn:

  • Leistungen für NIS2-Unternehmen erbracht werden

  • Systeme oder Prozesse sicherheitskritisch sind

  • man Teil einer relevanten Lieferkette ist

 

In der Praxis führen Kundenanforderungen zu:

  • Sicherheitsnachweisen

  • Incident-Meldepflichten

  • Mindeststandards (z. B. ISO 27001)

Welche Pflichten entstehen bei Betroffenheit?

  • Einführung eines Informationssicherheits-Risikomanagements

  • Incident-Response-, Backup- und Notfallkonzepte

  • Lieferketten- und Zugriffssicherheit

  • Schulungen & Awareness-Maßnahmen

Meldepflichten:

  • 24 h Frühwarnung

  • 72 h Erstmeldung

  • 1 Monat Abschlussbericht (BSI)

 

⚠️ Neu: Persönliche Verantwortung der Geschäftsleitung inklusive Schulungspflicht.

Fazit

NIS2 betrifft mehr Unternehmen als gedacht – oft indirekt und unerwartet.
Wer seine Betroffenheit frühzeitig und strukturiert prüft, schafft Klarheit, reduziert Risiken und gewinnt wertvolle Zeit.

Gerne beraten wir Sie umfassend zur NIS-2-Risikoanalyse und zur Meldepflicht.

Erfahren Sie mehr