Frist bis zur NIS-2 Umsetzung:
00Tage
00Std
00Min
00Sek
Kostenlos & unverbindlich

NIS-2 Betroffenheitsanalyse

Wer fällt unter NIS-2?

Die NIS-2 Richtlinie erfasst Unternehmen in 18 Sektoren, die bestimmte Größenschwellen überschreiten. Das deutsche NIS2UmsuCG unterscheidet zwei Stufen: besonders wichtige Einrichtungen (große Unternehmen in Sektoren hoher Kritikalität) und wichtige Einrichtungen (mittlere Unternehmen oder Unternehmen in Sektoren sonstiger Kritikalität). Unser interaktiver Check prüft Ihre Einstufung in wenigen Sekunden.

Schritt 1 von 325%

Wie groß ist Ihr Unternehmen?

Größenkriterien nach EU-Empfehlung 2003/361/EG

KategorieMitarbeiterUmsatzNIS-2 Einstufung
Kleinunternehmen< 50< 10 Mio. €Grundsätzlich nicht betroffen*
Mittleres Unternehmen50 – 24910 – 50 Mio. €Wichtige Einrichtung
Großunternehmenab 250ab 50 Mio. €Besonders wichtig (Anlage 1) / Wichtig (Anlage 2)

* Ausnahme: Anbieter digitaler Infrastruktur (DNS, TLD, Cloud) sind unabhängig von der Größe betroffen.

Sektoren hoher vs. sonstiger Kritikalität

Anlage 1 — Hohe Kritikalität

  • Energie
  • Transport & Verkehr
  • Bankwesen
  • Finanzmarktinfrastruktur
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur
  • IKT-Dienstverwaltung (B2B)
  • Öffentliche Verwaltung
  • Weltraum

Anlage 2 — Sonstige Kritikalität

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Chemie
  • Lebensmittelproduktion
  • Verarbeitendes Gewerbe / Maschinenbau
  • Anbieter digitaler Dienste
  • Forschungseinrichtungen

Nächste Schritte

Bußgeld berechnen
Ihr finanzielles Risiko nach § 65 BSIG
BSI-Registrierung
Schritt-für-Schritt zur Pflichtregistrierung
Haftung prüfen
Persönliche Haftung nach § 38 BSIG

Häufige Fragen zur Betroffenheitsanalyse

Wie wird die Unternehmensgröße für NIS-2 berechnet?
Die Größenkriterien richten sich nach der EU-Empfehlung 2003/361/EG. Entscheidend sind Mitarbeiterzahl und Umsatz. Bei verbundenen Unternehmen (Konzernstrukturen) werden die Zahlen aller Gesellschaften zusammengerechnet. Ein mittleres Unternehmen hat 50-249 Mitarbeiter oder 10-50 Mio. € Umsatz, ein großes Unternehmen ab 250 Mitarbeiter oder ab 50 Mio. €.
Was ist der Unterschied zwischen „wichtig“ und „besonders wichtig“?
Besonders wichtige Einrichtungen sind große Unternehmen in Sektoren hoher Kritikalität (Anlage 1: Energie, Transport, Gesundheit, Wasser, digitale Infrastruktur). Wichtige Einrichtungen sind mittlere Unternehmen in denselben Sektoren oder Unternehmen ab 50 Mitarbeitern in Sektoren sonstiger Kritikalität (Anlage 2: Logistik, Chemie, Maschinenbau). Der Hauptunterschied: höhere Bußgelder (10 vs. 7 Mio. €) und strengere Aufsicht.
Haben Zulieferer regulierter Unternehmen auch NIS-2 Pflichten?
Ja, indirekt. § 30 Abs. 2 Nr. 4 BSIG verpflichtet betroffene Einrichtungen zur Sicherheit in der Lieferkette. In der Praxis bedeutet das: Ihre Kunden werden Sicherheitsnachweise (ISO 27001, Penetrationstests, Patch-Management) von Ihnen fordern und Audits durchführen.
Was passiert bei Nichtregistrierung beim BSI?
Die Nichtregistrierung beim BSI ist eine eigenständige Ordnungswidrigkeit nach § 65 BSIG. Zudem entfällt bei fehlender Registrierung die Möglichkeit, am Informationsaustausch des BSI zu Cyberbedrohungen teilzunehmen — ein wesentlicher Vorteil der Registrierung.