Bin ich von NIS2 betroffen? Sektoren, Schwellenwerte & Orientierung

Q: Was ist der Unterschied zwischen wesentlichen und wichtigen Einrichtungen nach NIS2?

Wesentliche Einrichtungen sind große Unternehmen (ab 250 Mitarbeitenden oder ab 50 Mio. EUR Jahresumsatz) in den Sektoren des Anhangs I der NIS2-Richtlinie. Wichtige Einrichtungen sind mittlere Unternehmen (ab 50 Mitarbeitenden oder ab 10 Mio. EUR Umsatz) in Sektoren der Anhänge I und II. Der Unterschied betrifft vor allem die Aufsichtsintensität und die maximale Bußgeldhöhe.

Die zwei entscheidenden Fragen

Sektor und Größe — in dieser Reihenfolge.

NIS2 legt zwei Kriterien fest, die kumulativ erfüllt sein müssen: Das Unternehmen muss in einem der 18 regulierten Sektoren tätig sein — und eine bestimmte Größe erreichen. Wer beides erfüllt, fällt in den direkten Anwendungsbereich. Einzelne Kategorien (z. B. DNS-Anbieter, Vertrauensdiensteanbieter, bestimmte öffentliche Stellen) fallen unabhängig von der Größe darunter.

Wesentlich oder wichtig

Zwei Kategorien, unterschiedliche Konsequenzen.

NIS2 unterscheidet zwischen wesentlichen Einrichtungen (Anhang I, große Unternehmen: ≥ 250 Mitarbeitende oder ≥ 50 Mio. EUR Jahresumsatz) und wichtigen Einrichtungen (Anhänge I und II, mittlere Unternehmen: ≥ 50 Mitarbeitende oder ≥ 10 Mio. EUR Umsatz). Wesentliche Einrichtungen unterliegen strengerer Aufsicht und höheren Bußgeldern. Die inhaltlichen Anforderungen — Risikomanagement, Meldepflichten, Governance — sind in beiden Fällen vergleichbar.

NIS2-Sektoren

Die 18 regulierten Sektoren.

Anhang I umfasst die wesentlichen, Anhang II die wichtigen Sektoren. Tätigkeiten in einem dieser Bereiche sind das erste Prüfkriterium.

Anhang I — Wesentliche Sektoren

Energie (Strom, Gas, Öl, Wärme, Wasserstoff)
Verkehr (Luft, Schiene, Wasser, Straße)
Bankwesen
Finanzmarktinfrastrukturen
Gesundheit
Trinkwasser
Abwasser
Digitale Infrastruktur (DNS, Cloud, Rechenzentren, CDN, Vertrauensdienste)
IKT-Dienste-Management (MSP, MSSP)
Öffentliche Verwaltung
Weltraum

Anhang II — Wichtige Sektoren

Post- und Kurierdienste
Abfallbewirtschaftung
Chemikalien
Lebensmittel
Verarbeitendes Gewerbe (Medizinprodukte, Elektronik, Maschinen, Fahrzeuge)
Digitale Dienste (Marktplätze, Suchmaschinen, soziale Netzwerke)
Forschung

Lieferkette

Auch ohne direkten NIS2-Scope in der Pflicht.

Unternehmen, die direkt unter NIS2 fallen, sind verpflichtet, Sicherheitsanforderungen an ihre Lieferkette weiterzugeben. In der Praxis bedeutet das: Lieferantenfragebögen zur Informationssicherheit, vertragliche Sicherheitsklauseln, Auditrechte — auch gegenüber Dienstleistern, Softwareanbietern und Subunternehmern, die selbst nicht unter NIS2 fallen. Wer in Lieferketten eingebunden ist, sollte seinen Status kennen — und vorbereitet sein.

Nächste Schritte

Wenn Sie betroffen sind — oder es vermuten.

Eine belastbare Betroffenheitseinschätzung erfordert mehr als eine Checkliste: Sektor-Zuordnungen können unklar sein, Konzernstrukturen verändern die Berechnung, und Lieferkettenpflichten hängen vom konkreten Auftraggeber ab. Wir klären das mit Ihnen — ohne Panik und ohne falsche Entwarnung. Im nächsten Schritt folgen dann GAP-Analyse und Maßnahmenplan.

Zur NIS2-Seite →

Häufige Fragen zur NIS2-Betroffenheit

Bin ich betroffen, wenn mein Unternehmen weniger als 50 Mitarbeitende hat?

Direkt durch das Gesetz in der Regel nicht — es sei denn, Ihr Unternehmen gehört zu Kategorien, die unabhängig von der Größe in den Scope fallen (z. B. DNS-Anbieter, Vertrauensdiensteanbieter, bestimmte kritische Infrastruktur). Indirekt können Sie trotzdem betroffen sein, wenn Ihre Auftraggeber selbst unter NIS2 fallen und Anforderungen an Ihre Lieferkette stellen.

Was ist der Unterschied zwischen wesentlichen und wichtigen Einrichtungen?

Wesentliche Einrichtungen sind große Unternehmen (≥ 250 MA oder ≥ 50 Mio. EUR Umsatz) in Anhang-I-Sektoren. Wichtige Einrichtungen sind mittlere Unternehmen (≥ 50 MA oder ≥ 10 Mio. EUR Umsatz) in Anhang-I- oder Anhang-II-Sektoren. Der Unterschied betrifft Aufsichtsintensität und maximale Bußgeldhöhe — die inhaltlichen Pflichten (Risikomanagement, Meldepflichten, Governance) sind vergleichbar.

Gilt NIS2 für Zulieferer, die selbst nicht in den betroffenen Sektoren tätig sind?

Nicht direkt durch das Gesetz — aber in der Praxis zunehmend. Unternehmen unter NIS2 sind verpflichtet, Sicherheitsanforderungen in ihrer Lieferkette durchzusetzen. Dienstleister, Softwareanbieter und Subunternehmer geraten so in den indirekten Scope — unabhängig von ihrer eigenen Sektorzugehörigkeit.

Was passiert, wenn ich betroffen bin und nichts unternehme?

NIS2 sieht empfindliche Sanktionen vor: Für wesentliche Einrichtungen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, für wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4 %. Hinzu kommt die persönliche Haftung der Geschäftsführung — explizit Teil der Richtlinie, unabhängig von direktem Verschulden.

Bin ich von NIS2 betroffen?