Wer ist betroffen? NIS2-Geltungsbereich erklärt.
Table of Contents
Warum NIS2 plötzlich alle etwas angeht
NIS2 – das klingt erstmal nach einem weiteren EU-Regelwerk, das vielleicht nur große Konzerne betrifft. Doch der Schein trügt: Tatsächlich wird die neue Richtlinie zur Cybersicherheit auch für viele kleine und mittlere Unternehmen (KMU) in Deutschland und Österreich relevant.
Die NIS2-Richtlinie der EU wurde am 16. Januar 2023 in Kraft gesetzt und sollte bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. Allerdings haben sowohl Deutschland als auch Österreich diese Frist verpasst. In Deutschland ist das entsprechende Umsetzungsgesetz, das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), noch nicht verabschiedet . In Österreich wurde ein Gesetzesentwurf im April 2024 veröffentlicht, aber das Inkrafttreten ist abhängig vom parlamentarischen Gesetzgebungsverfahren .
Trotz der Verzögerungen ist klar: Die Anforderungen der NIS2-Richtlinie werden kommen – und sie werden umfassend sein. Unternehmen sollten sich daher frühzeitig mit den neuen Pflichten auseinandersetzen, um nicht unvorbereitet zu sein, wenn die nationalen Gesetze in Kraft treten.
In diesem Artikel erfährst Du, welche Unternehmen von der NIS2-Richtlinie betroffen sind, welche Branchen besonders im Fokus stehen und wie Du prüfen kannst, ob Dein Unternehmen dazugehört. Zudem geben wir Dir einen Überblick über die kommenden Pflichten und was sie konkret für Dich bedeuten.
Hinweis in eigener Sache:
Dieser Artikel basiert auf dem Stand vom April 2025. Da die nationalen Gesetze in Deutschland und Österreich noch nicht final beschlossen sind, können sich einzelne Inhalte ändern. Ich aktualisiere den Beitrag regelmäßig – Änderungen werden transparent vermerkt.
Was ist der Geltungsbereich der NIS2-Richtlinie?
NIS vs. NIS2 – Was hat sich geändert?
Die ursprüngliche NIS-Richtlinie von 2016 konzentrierte sich auf eine begrenzte Anzahl von Sektoren, darunter Energie, Verkehr, Banken und Gesundheitswesen. Mit der NIS2-Richtlinie wurde der Anwendungsbereich erheblich erweitert, um den gestiegenen Anforderungen an die Cybersicherheit gerecht zu werden. Nun umfasst die Richtlinie 18 Sektoren, einschließlich neuer Bereiche wie digitale Infrastruktur, Lebensmittelproduktion und Abfallwirtschaft.
Ziel der Richtlinie: Schutz kritischer und wichtiger Einrichtungen
Die NIS2-Richtlinie zielt darauf ab, ein hohes gemeinsames Sicherheitsniveau für Netz- und Informationssysteme in der EU zu gewährleisten. Sie verpflichtet Unternehmen in kritischen Sektoren, angemessene Sicherheitsmaßnahmen zu ergreifen und Sicherheitsvorfälle zu melden. Zudem sollen die Mitgliedstaaten nationale Strategien entwickeln und zuständige Behörden benennen, um die Umsetzung der Richtlinie zu überwachen.
EU-Ansatz: Einheitlicher Mindeststandard für Cybersicherheit
Ein zentrales Anliegen der NIS2-Richtlinie ist die Harmonisierung der Cybersicherheitsanforderungen in der EU. Durch die Einführung einheitlicher Standards sollen Unterschiede zwischen den Mitgliedstaaten reduziert und die Zusammenarbeit bei der Bekämpfung von Cyberbedrohungen verbessert werden. Die Richtlinie legt daher Mindestanforderungen fest, die in nationales Recht umgesetzt werden müssen.
Wer ist betroffen? – Die zwei Kategorien: „wesentliche“ und „wichtige“ Einrichtungen
Die NIS2-Richtlinie unterscheidet zwischen zwei Hauptkategorien von Einrichtungen, die unter ihre Regelungen fallen: „wesentliche Einrichtungen“ und „wichtige Einrichtungen“. Diese Unterscheidung basiert auf der Kritikalität der erbrachten Dienstleistungen und der Unternehmensgröße.
Wesentliche Einrichtungen
„Wesentliche Einrichtungen“ sind Unternehmen, die in besonders kritischen Sektoren tätig sind und eine bedeutende Rolle für das Funktionieren der Gesellschaft und Wirtschaft spielen. Typischerweise handelt es sich dabei um große Unternehmen mit mehr als 250 Mitarbeitenden oder einem Jahresumsatz von über 50 Millionen Euro. Zu den Sektoren gehören unter anderem Energie, Verkehr, Bankwesen, Gesundheitswesen und digitale Infrastruktur.
Diese Einrichtungen unterliegen strengeren Anforderungen und einer proaktiven Aufsicht durch die zuständigen Behörden.
Wichtige Einrichtungen
„Wichtige Einrichtungen“ sind Unternehmen, die in weniger kritischen, aber dennoch bedeutenden Sektoren tätig sind oder kleinere Unternehmen in kritischen Sektoren. In der Regel handelt es sich um mittelgroße Unternehmen mit 50 bis 249 Mitarbeitenden oder einem Jahresumsatz zwischen 10 und 50 Millionen Euro. Sektoren umfassen unter anderem Post- und Kurierdienste, Abfallwirtschaft, Herstellung und Handel von Chemikalien, Lebensmittelproduktion und Forschung.
Diese Einrichtungen unterliegen ebenfalls den Anforderungen der NIS2-Richtlinie, jedoch mit einer reaktiven Aufsicht, die bei Verdacht auf Verstöße oder nach Sicherheitsvorfällen eingreift.
Neu: Auch viele KMU betroffen
Obwohl die NIS2-Richtlinie primär auf mittlere und große Unternehmen abzielt, können auch kleinere Unternehmen betroffen sein, wenn sie kritische Dienstleistungen erbringen oder eine Schlüsselrolle in der Lieferkette spielen. Beispielsweise kann ein IT-Dienstleister mit 70 Mitarbeitenden und einem Umsatz von 12 Millionen Euro unter die Richtlinie fallen, wenn er kritische Dienste für andere Unternehmen bereitstellt.
Es ist daher wichtig, dass auch kleinere Unternehmen ihre Rolle in der Wertschöpfungskette analysieren und prüfen, ob sie unter die NIS2-Richtlinie fallen.
Branchenübersicht: Welche Sektoren müssen handeln?
Die NIS2-Richtlinie erweitert den Anwendungsbereich erheblich und umfasst nun 18 Sektoren, die in eben genannte Kategorien unterteilt sind: „wesentliche Einrichtungen“ und „wichtige Einrichtungen“. Diese Erweiterung bedeutet, dass viele Unternehmen, die zuvor nicht unter die ursprüngliche NIS-Richtlinie fielen, nun verpflichtet sind, bestimmte Cybersicherheitsmaßnahmen zu implementieren.
Übersicht der betroffenen Sektoren
Die folgende Tabelle gibt einen Überblick über die Sektoren, die unter die NIS2-Richtlinie fallen:
| Kategorie | Sektor | Beispiele für betroffene Unternehmen |
| Wesentliche Einrichtungen | Energie | Strom- und Gasversorger, Ölraffinerien |
| Transport | Fluggesellschaften, Bahnunternehmen, Hafenbetreiber | |
| Bankwesen | Kreditinstitute | |
| Finanzmarktinfrastrukturen | Börsen, Clearingstellen | |
| Gesundheitswesen | Krankenhäuser, Hersteller von Medizinprodukten | |
| Trinkwasserversorgung | Wasserwerke | |
| Abwasserentsorgung | Kläranlagen | |
| Digitale Infrastruktur | Cloud-Anbieter, Rechenzentren, DNS-Dienste | |
| Öffentliche Verwaltung | Ministerien, zentrale Regierungsstellen | |
| Raumfahrt | Betreiber von Satellitenkommunikationssystemen | |
| Wichtige Einrichtungen | Post- und Kurierdienste | Paketdienstleister, Postunternehmen |
| Abfallwirtschaft | Müllentsorgungsunternehmen | |
| Chemische Industrie | Chemieproduzenten, Chemikalienhändler | |
| Lebensmittelproduktion und -vertrieb | Lebensmittelhersteller, Großhändler | |
| Verarbeitendes Gewerbe | Maschinenbau-unternehmen, Automobilhersteller | |
| Digitale Dienste | Online-Marktplätze, Suchmaschinen, soziale Netzwerke | |
| Forschungseinrichtungen | Universitäten, Forschungszentren |
Besonderheit: Auch „digitale Dienste“, MSPs, Hoster etc.
Ein besonderer Fokus liegt auf digitalen Dienstleistern wie Managed Service Providern (MSPs), Hosting-Anbietern und anderen IT-Dienstleistern. Diese Unternehmen spielen eine zentrale Rolle in der digitalen Infrastruktur und sind daher besonders gefordert, ihre Sicherheitsmaßnahmen zu überprüfen und anzupassen.
Betroffen oder nicht? So kannst Du es prüfen (inkl. Selbsttest)
Die NIS2-Richtlinie erweitert den Kreis der betroffenen Unternehmen erheblich. Doch wie kannst Du feststellen, ob Dein Unternehmen unter die neuen Regelungen fällt? Hier erfährst Du, welche Kriterien entscheidend sind und wie Du eine erste Einschätzung vornehmen kannst.
Prüfkriterien: Branche, Unternehmensgröße und Tätigkeit
Die Betroffenheit wird anhand folgender Kriterien beurteilt:
- Branche: Gehört Dein Unternehmen zu einem der in der NIS2-Richtlinie genannten Sektoren?
- Unternehmensgröße: Beschäftigt Dein Unternehmen mindestens 50 Mitarbeitende oder erzielt einen Jahresumsatz von über 10 Millionen Euro?
- Tätigkeit: Erbringt Dein Unternehmen Dienstleistungen, die als kritisch für die Gesellschaft oder Wirtschaft gelten?
Diese Kriterien dienen als Orientierung, können jedoch je nach nationaler Umsetzung variieren.
Selbsttest: Erste Einschätzung zur Betroffenheit
Für eine erste Einschätzung stehen verschiedene kostenlose Online-Tools zur Verfügung:
- NIS2 Quick-Check von reuschlaw: Ein interaktives Tool, das anhand weniger Fragen eine Einschätzung zur Betroffenheit liefert.
- NIS2-Check von SKW Schwarz: Ein Fragebogen, der die Kriterien der NIS2-Richtlinie berücksichtigt und eine erste Orientierung bietet.
- NIS-2-Betroffenheitsprüfung des BSI: Ein Tool des Bundesamts für Sicherheit in der Informationstechnik, das Unternehmen bei der Einschätzung unterstützt.
Bitte beachte, dass diese Tools lediglich eine erste Orientierung bieten und keine rechtliche Beratung ersetzen.
Praxisbeispiele: Typische betroffene KMU-Fälle
- IT-Dienstleister mit 60 Mitarbeitenden: Erbringt kritische IT-Dienstleistungen für Unternehmen im Gesundheitswesen. Aufgrund der Branche und Unternehmensgröße ist eine Betroffenheit sehr wahrscheinlich.
- Lebensmittelhersteller mit 80 Mitarbeitenden: Produziert und vertreibt Lebensmittelprodukte. Da die Lebensmittelproduktion zu den betroffenen Sektoren zählt, ist eine Betroffenheit auch hier sehr wahrscheinlich.
- Logistikunternehmen mit 45 Mitarbeitenden: Transportiert Waren für verschiedene Branchen. Obwohl die Unternehmensgröße unter dem Schwellenwert liegt, kann eine Betroffenheit bestehen, wenn kritische Dienstleistungen erbracht werden.
Hinweis: Einzelfallprüfung ratsam
Die Einschätzung der Betroffenheit kann komplex sein und hängt von verschiedenen Faktoren ab. Es ist daher ratsam, eine individuelle Prüfung vorzunehmen und gegebenenfalls rechtlichen Rat einzuholen.
Was bedeutet „betroffen sein“ konkret? – Pflichten & Konsequenzen
Wenn Dein Unternehmen unter die NIS2-Richtlinie fällt, bedeutet das nicht nur, dass Du Dich mit Cybersicherheit beschäftigen solltest – es bedeutet, dass Du es musst. Und zwar verbindlich, nachprüfbar und mit klaren Konsequenzen bei Versäumnissen.
Meldepflichten: Schnelles Handeln bei Sicherheitsvorfällen
Unternehmen sind verpflichtet, erhebliche Sicherheitsvorfälle frühzeitig zu erkennen, zu dokumentieren und den zuständigen Behörden innerhalb festgelegter Fristen zu melden. Halten sich Unternehmen nicht an die Meldepflichten, drohen empfindliche Sanktionen .
Risikomanagement: Proaktive Sicherheitsmaßnahmen
Die NIS2-Richtlinie verpflichtet Unternehmen dazu, angemessene technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit ihrer Netz- und Informationssysteme zu gewährleisten. Dazu gehören unter anderem:
- Implementierung eines Informationssicherheitsmanagementsystems (ISMS)
- Durchführung regelmäßiger Risikoanalysen
- Etablierung von Sicherheitsrichtlinien und -verfahren
- Sicherstellung der Business Continuity
Diese Maßnahmen sollen dazu beitragen, Sicherheitsrisiken zu minimieren und die Widerstandsfähigkeit gegenüber Cyberbedrohungen zu erhöhen .
Nachweispflichten: Dokumentation und Audits
Unternehmen müssen nachweisen können, dass sie die Anforderungen der NIS2-Richtlinie erfüllen. Dazu gehört die Dokumentation aller getroffenen Sicherheitsmaßnahmen sowie die Durchführung interner und externer Audits. Diese Nachweise müssen auf Anfrage den zuständigen Behörden vorgelegt werden.
Verantwortung der Geschäftsleitung: Persönliche Haftung
Eine der gravierendsten Änderungen durch die NIS2-Richtlinie betrifft die Haftung der Geschäftsführung. Führungskräfte sind künftig verpflichtet, Risikomanagement-Maßnahmen im Bereich Cybersicherheit zu genehmigen und deren Umsetzung zu überwachen. Darüber hinaus müssen sie sicherstellen, dass regelmäßige Cybersicherheitsschulungen für alle Mitarbeitenden durchgeführt werden.
Artikel 20 der NIS2-Richtlinie sieht vor, dass Geschäftsführer bei einem Cyberangriff, der auf Nichteinhaltung der Sicherheitsanforderungen zurückzuführen ist, persönlich haftbar gemacht werden können. Das bedeutet nicht nur rechtliche, sondern auch finanzielle Konsequenzen .
Geldbußen bei Verstößen: Hohe finanzielle Risiken
Die NIS2-Richtlinie sieht bei Verstößen gegen die Sicherheitsanforderungen erhebliche Geldbußen vor:
- Für wesentliche Einrichtungen: bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist
- Für wichtige Einrichtungen: bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist
Diese Sanktionen sollen sicherstellen, dass Unternehmen die Anforderungen der NIS2-Richtlinie ernst nehmen und entsprechende Maßnahmen ergreifen.
Warum frühzeitiges Handeln wichtig ist
Obwohl die Umsetzung der NIS2-Richtlinie in nationales Recht in Deutschland und Österreich noch nicht abgeschlossen ist, sollten Unternehmen nicht auf die endgültige Gesetzgebung warten. Die Anforderungen der Richtlinie sind bereits bekannt, und die Vorbereitung auf die Umsetzung erfordert Zeit und Ressourcen.
Frühzeitiges Handeln ermöglicht es Unternehmen, Risiken zu minimieren, Compliance sicherzustellen und mögliche Sanktionen zu vermeiden. Zudem stärkt es das Vertrauen von Kunden und Partnern in die Sicherheitsmaßnahmen des Unternehmens.
🔍 Mini-FAQ: Häufige Fragen rund um den NIS2-Geltungsbereich
Bin ich als kleines Unternehmen betroffen?
Grundsätzlich richtet sich die NIS2-Richtlinie an mittlere und große Unternehmen in bestimmten Sektoren. Allerdings können auch kleinere Unternehmen betroffen sein, wenn sie kritische Dienstleistungen erbringen oder Teil der Lieferkette eines betroffenen Unternehmens sind. Es ist daher wichtig, die eigene Rolle und die Anforderungen der Kunden zu prüfen .
Was passiert, wenn ich NIS2 ignoriere?
Die Nichteinhaltung der NIS2-Anforderungen kann zu erheblichen Konsequenzen führen, darunter:
- Bußgelder: Für wesentliche Einrichtungen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes; für wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4 % des Umsatzes.
- Haftung der Geschäftsleitung: Führungskräfte können persönlich haftbar gemacht werden, wenn sie ihre Pflichten vernachlässigen.
- Reputationsschäden: Sicherheitsvorfälle können das Vertrauen von Kunden und Partnern beeinträchtigen.
Es ist daher ratsam, sich frühzeitig mit den Anforderungen auseinanderzusetzen und entsprechende Maßnahmen zu ergreifen.
Gibt es eine offizielle Prüfstelle?
Ja, das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet eine NIS2-Betroffenheitsprüfung an. Dieses Online-Tool ermöglicht Unternehmen eine erste Einschätzung, ob sie unter die NIS2-Richtlinie fallen. Die Nutzung ist anonym und dient als Orientierungshilfe .
Gilt NIS2 auch für Lieferanten?
Ja, auch Dienstleister und Lieferanten von betroffenen Unternehmen können von der NIS2-Richtlinie betroffen sein. Betroffene Unternehmen sind verpflichtet, die Sicherheit ihrer Lieferkette zu gewährleisten und können daher von ihren Partnern bestimmte Sicherheitsmaßnahmen einfordern. Es ist daher wichtig, sich auf entsprechende Anforderungen vorzubereiten .
Ist meine Branche betroffen?
Die NIS2-Richtlinie umfasst 18 Sektoren, darunter Energie, Verkehr, Gesundheitswesen, digitale Infrastruktur und öffentliche Verwaltung. Ob Dein Unternehmen betroffen ist, hängt von der Zugehörigkeit zu einem dieser Sektoren und der Unternehmensgröße ab. Eine detaillierte Übersicht der betroffenen Sektoren findest Du in den vorherigen Abschnitten dieses Artikels.