Kurzantwort: Von NIS-2 betroffen ist Ihr Unternehmen, wenn es mindestens 50 Mitarbeiter beschäftigt oder einen Jahresumsatz von mehr als 10 Mio. Euro erzielt und in einem der 18 regulierten Sektoren tätig ist — darunter Transport/Logistik, Produktion bestimmter Güter, digitale Dienste, Chemie, Lebensmittel, Gesundheit, Post, Abfall, Energie, Trinkwasser, Finanzen und Forschung. Die Richtlinie ist seit 18.10.2024 EU-weit in Kraft; das deutsche Umsetzungsgesetz (NIS2UmsuCG) befindet sich Stand April 2026 in der parlamentarischen Abstimmung.
Dieser Ratgeber zeigt im Detail, ob Sie betroffen sind, welche Fristen gelten, welche Bußgelder drohen — und führt Sie durch einen 5-Schritte-Schnelltest, den Sie heute Nachmittag durchlaufen können.
1. Der 50-Mitarbeiter-Schwellwert erklärt
NIS-2 unterscheidet nicht wie die Vorgänger-Richtlinie nur zwischen KRITIS-Betreibern und dem Rest. Der neue Schwellwert trifft den gesamten Mittelstand:
- 50 Mitarbeiter (Vollzeitäquivalente) — Azubis, Werkstudenten und Aushilfen zählen anteilig
- ODER 10 Mio. Euro Jahresumsatz — je nachdem, welcher Wert zuerst überschritten wird
- ODER 10 Mio. Euro Bilanzsumme — für Holding-Strukturen wichtig
Wichtig: Die Schwellwerte gelten konzernübergreifend. Eine Tochtergesellschaft mit 30 Mitarbeitern ist NIS-2-pflichtig, wenn die Konzernmutter die Schwelle reißt. Eigenständige Betriebsstätten ohne Konzernverbund werden getrennt betrachtet.
Ausnahmen gibt es nur nach oben: Kleinstunternehmen (unter 10 Mitarbeiter und unter 2 Mio. Euro Umsatz) sind ausgenommen — es sei denn, sie sind Telekommunikations- oder Vertrauensdienstleister, Domain-Registrare oder als kritische Infrastruktur eingestuft. Dann gilt die Regulierung unabhängig von der Größe.
2. Wichtige vs. wesentliche Einrichtungen — der Unterschied
NIS-2 teilt alle betroffenen Unternehmen in zwei Klassen:
Wesentliche Einrichtungen (§ 28 Abs. 1 NIS2UmsuCG-E)
- Große Unternehmen (≥ 250 Mitarbeiter oder ≥ 50 Mio. Euro Jahresumsatz)
- In hochkritischen Sektoren: Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, digitale Infrastruktur, Verwaltung, Weltraum
- Proaktive BSI-Aufsicht — regelmäßige Audits, Nachweispflicht
- Bußgelder bis 10 Mio. Euro oder 2 % des weltweiten Umsatzes
Wichtige Einrichtungen (§ 28 Abs. 2 NIS2UmsuCG-E)
- Mittelgroße Unternehmen (≥ 50 Mitarbeiter oder ≥ 10 Mio. Euro Umsatz)
- Alle anderen NIS-2-Sektoren: Post, Abfall, Chemie, Lebensmittel, Produktion, digitale Anbieter, Forschung — und sämtliche mittelgroßen Unternehmen aus den hochkritischen Sektoren
- Reaktive Aufsicht — das BSI prüft erst, wenn es Hinweise oder Vorfälle gibt
- Bußgelder bis 7 Mio. Euro oder 1,4 % des weltweiten Umsatzes
Die Pflichten sind in beiden Klassen nahezu identisch. Der Unterschied liegt in der Aufsichtsintensität und der Bußgeld-Obergrenze.
3. Betroffene Branchen auf einen Blick
| Sektor | Beispiele | Typische Klassifikation |
|---|---|---|
| Energie | Strom-, Gas-, Wärmeversorger | Wesentlich |
| Transport / Logistik | Speditionen, Flottenbetreiber, Flughäfen, Häfen, ATLAS-Zollanmelder | Wichtig (ab 50 MA) |
| Bankwesen / Finanzen | Banken, Finanzdienstleister | Wesentlich |
| Gesundheit | Krankenhäuser, Laboratorien, Arzneimittelhersteller | Wesentlich bzw. Wichtig |
| Trinkwasser / Abwasser | Stadtwerke, Versorger | Wesentlich |
| Digitale Infrastruktur | Rechenzentren, Cloud-Provider, TK-Anbieter | Wesentlich |
| Öffentliche Verwaltung | Bund, Länder, Kommunen ab bestimmter Größe | Wesentlich |
| Post- / Kurierdienste | DHL, UPS, regional tätige KEP-Dienste | Wichtig |
| Abfallwirtschaft | Entsorger, Recycling-Betriebe | Wichtig |
| Chemie | Chemische Produktion, Zulieferer | Wichtig |
| Lebensmittel | Lebensmittelproduktion, Großhandel | Wichtig |
| Produktion | Medizinprodukte, Elektronik, Kraftfahrzeuge, Maschinenbau | Wichtig |
| Digitale Anbieter | Online-Marktplätze, Cloud-SaaS, Suchmaschinen | Wichtig |
| Forschung | Forschungseinrichtungen bestimmter Größe | Wichtig |
Nicht direkt betroffen, aber über die Lieferketten-Pflicht mittelbar: Zulieferer, IT-Dienstleister, Beratungsfirmen, die für betroffene Unternehmen arbeiten. Diese müssen die NIS-2-Anforderungen über Verträge einhalten — sonst riskieren sie, aus Kundenbeziehungen zu fliegen.
4. Fristen, Fristen, Fristen — die echten Deadlines
Die EU-Richtlinie galt bereits ab 18.10.2024. Deutschland ist mit der Umsetzung im Verzug — das NIS2UmsuCG ist Stand April 2026 immer noch im parlamentarischen Verfahren. Das bedeutet nicht Entwarnung, sondern Risiko: sobald das Gesetz in Kraft tritt, laufen folgende Fristen ohne Übergangszeit:
- 3 Monate nach Inkrafttreten: Registrierung beim BSI als betroffene Einrichtung
- Sofort: Meldepflicht bei Sicherheitsvorfällen
- 24 Stunden: Erstmeldung an das BSI (was ist passiert, wen betrifft es)
- 72 Stunden: Ausführliche Meldung (Ursache, Umfang, bisherige Gegenmaßnahmen)
- 1 Monat: Abschlussbericht mit Lessons-Learned
- Jährlich: Nachweis der implementierten Sicherheitsmaßnahmen (Selbsterklärung oder Audit)
- Alle 2 Jahre: Geschäftsleitung muss an Cybersicherheits-Schulung teilnehmen
Wer erst wartet, bis das Gesetz in Kraft ist, hat drei Monate für Registrierung, Risikoanalyse, Dokumentation und technische Maßnahmen. Das reicht nicht.
5. Der 5-Schritte-Schnelltest
Durchlaufen Sie diese fünf Fragen. Wenn Sie Frage 1 oder 2 mit Ja beantworten, und Frage 3 identifiziert einen NIS-2-Sektor, sind Sie betroffen.
- Mitarbeiterzahl: Haben Sie 50 oder mehr Mitarbeiter (inkl. Teilzeit, Azubis, Werkstudenten anteilig)?
- Umsatz / Bilanz: Liegt Ihr Jahresumsatz über 10 Mio. Euro oder Ihre Bilanzsumme über 10 Mio. Euro?
- Sektor-Match: Sind Sie in einem der 18 Sektoren aus der Tabelle oben tätig? Achtung bei Mischbetrieben: es genügt, wenn ein Teil der Geschäftstätigkeit einen Sektor trifft.
- Konzernzugehörigkeit: Gehören Sie zu einer Unternehmensgruppe, die die Schwellwerte reißt, auch wenn Ihr Einzelbetrieb darunter liegt?
- Lieferketten-Kunde: Haben Sie betroffene Kunden, die Sie vertraglich zu NIS-2-Konformität verpflichten werden — auch wenn Sie selbst unterhalb der Schwelle sind?
Ergebnis auswerten:
- Frage 1 oder 2 = Ja, Frage 3 = Ja: Sie sind direkt betroffen. Startpunkt: Risikoanalyse + Registrierung beim BSI vorbereiten.
- Frage 1 und 2 = Nein, Frage 5 = Ja: Sie sind indirekt betroffen über die Lieferkette. Startpunkt: mit Ihrem Key-Account die Vertragsanforderungen klären.
- Alle Fragen = Nein: Aktuell nicht betroffen. Dennoch empfiehlt sich ein Basis-Sicherheitsniveau — NIS-2 wird sich als De-facto-Standard etablieren.
Nächster Schritt
Die ehrliche Einschätzung: Die Dokumentationspflicht und die persönliche Haftung der Geschäftsleitung sind die Punkte, die am häufigsten unterschätzt werden. Technische Maßnahmen lassen sich mit einem Systemhaus umsetzen. Organisationspflichten nicht — die müssen Sie als Geschäftsführer nachweislich leben.
Als IT-Systemhaus am Niederrhein betreuen wir seit 2009 Mittelständler in Viersen, Mönchengladbach, Krefeld, Düsseldorf und dem übrigen NRW. In der NIS-2-Umsetzung begleiten wir besonders Unternehmen aus Produktion und Logistik/Spedition — zwei Sektoren, bei denen die Betroffenheit häufig unklar ist und die Lieferketten-Pflicht stark durchgreift.
Wenn Sie unsicher sind, ob und wie NIS-2 auf Ihr Unternehmen zutrifft: Ein strukturiertes 45-Minuten-Gespräch reicht für eine belastbare Ersteinschätzung. Mehr dazu auf unserer Seite NIS-2 Compliance.