Cybernotfall
Pillar-Ratgeber NIS2 · Stand: Juni 2026

NIS2-Betroffenheit prüfen: Wesentliche und wichtige Einrichtungen

Dreistufige Prüfung — Sektor, Größenkriterium, Konzernzuordnung — mit anschließender Einordnung als wesentliche oder wichtige Einrichtung und Hinweis auf sektorunabhängige Sonderfälle.

Warum die Betroffenheitsprüfung der Ankerschritt jeder NIS2-Umsetzung ist

Die Frage, ob ein Unternehmen unter NIS2 fällt, ist nicht eine Formalie am Anfang des Umsetzungsprojekts. Sie entscheidet darüber, ob das Unternehmen unter die proaktive Aufsicht des BSI gerät, wie hoch die Bußgeldrahmen sind, ob die Geschäftsleitung persönlich in Haftung genommen werden kann, welche Risikomanagementmaßnahmen verbindlich sind und ob die Meldekette mit 24-Stunden-Frühwarnung greift. Falsch eingeschätzt, hat die Geschäftsleitung am Tag eines Vorfalls keine Vorbereitung, obwohl sie eigentlich verpflichtet gewesen wäre.

Die Prüfung selbst ist überraschend formal. Sie hat drei Schritte, die wir im Folgenden mit den Stolperfallen erläutern, die in der Beratungspraxis am häufigsten auftreten.

Schritt 1: Sektor zuordnen

NIS2 erfasst Einrichtungen aus 18 Sektoren, aufgeteilt in „Sektoren mit hoher Kritikalität" (Anhang I der Richtlinie) und „sonstige kritische Sektoren" (Anhang II). Zu Anhang I gehören unter anderem Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur (z. B. Cloud-Anbieter, Datenzentren, Inhaltszustellnetze, DNS), IKT-Dienstemanagement im B2B-Bereich, öffentliche Verwaltung und Weltraum. Anhang II ergänzt Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, Industrieproduktion (u. a. Medizinprodukte, Elektronik, Maschinenbau, Kraftfahrzeuge), Anbieter digitaler Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke) und Forschung.

In der Praxis wird die Sektorenzuordnung dort streitig, wo ein Unternehmen mehrere Tätigkeiten ausübt und nur ein Geschäftsbereich erfasst ist. Das Gesetz stellt nicht auf das Unternehmen als Ganzes ab, sondern auf die jeweilige Tätigkeit. Wer ein Maschinenbauunternehmen mit angeschlossenem Cloud-Dienst betreibt, kann allein wegen des Cloud-Dienstes unter NIS2 fallen, auch wenn der Maschinenbau für sich allein nicht erfasst wäre. Umgekehrt ist die Einordnung nicht durch eine bloße interne Geschäftsausweisung änderbar; entscheidend ist die tatsächliche Tätigkeit am Markt.

Schritt 2: Größenkriterien prüfen

Der zweite Schritt ist die Anwendung der Größenkriterien. NIS2 lehnt sich an die KMU-Definition der Kommission (Empfehlung 2003/361/EG) an. Ein Unternehmen ist grundsätzlich erfasst, wenn es mindestens 50 Mitarbeitende beschäftigt oder einen Jahresumsatz von mehr als 10 Mio. EUR und eine Bilanzsumme von mehr als 10 Mio. EUR aufweist. Wesentliche Einrichtungen sind die größeren Player (im Regelfall ab 250 Mitarbeitenden oder 50 Mio. EUR Umsatz und 43 Mio. EUR Bilanzsumme); wichtige Einrichtungen liegen darunter, aber oberhalb der KMU-Schwelle.

Die Praxistücke liegt im Zusammenwirken der Kriterien. Sobald eines erfüllt ist (Mitarbeiterzahl oder Umsatz+Bilanzsumme), greift NIS2. Wer also nur 30 Mitarbeitende hat, aber 15 Mio. EUR Umsatz und 12 Mio. EUR Bilanzsumme, ist erfasst. Wer 60 Mitarbeitende hat, ist erfasst, selbst wenn der Umsatz darunter bleibt. Die Größenprüfung ist deshalb in der Regel das, was viele zunächst nicht im Blick haben.

Schritt 3: Konzern- und Verbundprüfung

Der dritte Schritt überrascht in der Beratungspraxis am häufigsten. NIS2 stellt nicht isoliert auf die rechtliche Einheit ab, sondern berücksichtigt verbundene Unternehmen im Sinne der KMU-Empfehlung. Verbundene Unternehmen sind dabei nicht nur Konzerngesellschaften nach AktG/HGB, sondern auch Unternehmen, die durch Kontrolle oder einheitliche Leitung verbunden sind. Werden mehrere Gesellschaften zusammengerechnet, kann eine für sich genommen kleine Gesellschaft als Teil eines verbundenen Unternehmens trotzdem unter NIS2 fallen.

Eine Ausnahme gilt nur dort, wo die einzelne Gesellschaft wirtschaftlich und organisatorisch tatsächlich unabhängig ist — was bei einer integrierten Konzerntochter regelmäßig zu verneinen ist. Die Folge: Wer ein Cyberrecht-Audit für einen Konzern aufsetzt, beginnt nicht bei der einzelnen Tochter, sondern bei der Verbundstruktur und arbeitet sich von dort in die Geschäftsbereiche.

Sondergruppen: erfasst ohne Größenkriterium

Bestimmte Einrichtungen fallen unabhängig vom Größenkriterium unter NIS2. Dazu zählen unter anderem qualifizierte Vertrauensdiensteanbieter (eIDAS), TLD-Namenregister und DNS-Diensteanbieter, Anbieter öffentlicher elektronischer Kommunikationsnetze und -dienste, alleinige Diensteanbieter eines Mitgliedstaats für eine kritische Tätigkeit sowie Einrichtungen der öffentlichen Verwaltung im definierten Rahmen. Wer in einer dieser Sondergruppen tätig ist, kann die Größenprüfung überspringen.

Ergebnis: wesentliche oder wichtige Einrichtung — und was daraus folgt

Ergibt die dreistufige Prüfung, dass das Unternehmen erfasst ist, lautet die zweite Frage, ob es als wesentliche oder als wichtige Einrichtung gilt. Die Unterscheidung ist nicht für die materiellen Pflichten relevant — sie sind in beiden Fällen weitgehend identisch — wohl aber für das Aufsichtsregime und die Bußgeldrahmen. Wesentliche Einrichtungen unterliegen einer proaktiven Aufsicht, die regelmäßige Prüfungen und behördlich angeordnete Sicherheitsaudits umfasst, und es drohen Bußgelder bis 10 Mio. EUR oder 2 % des weltweiten Konzernumsatzes. Wichtige Einrichtungen werden nur anlassbezogen geprüft; die Bußgeldobergrenze liegt bei 7 Mio. EUR oder 1,4 %.

Mit dieser Einordnung beginnt die eigentliche Umsetzung. Sie umfasst die Pflichten aus § 30 BSIG (Risikomanagementmaßnahmen), die Meldekette mit 24-Stunden-Frühwarnung und 72-Stunden-Vorfallmeldung, die persönliche Verantwortung der Geschäftsleitung, die Lieferkettenanforderungen und die Registrierungspflicht beim BSI. Wir vertiefen diese Bereiche in den fünf weiteren Beiträgen des NIS2-Themenbereich.

Typische Stolperfallen aus der Beratungspraxis

Erstens wird die Größenprüfung häufig nur auf die Stammgesellschaft angewendet, ohne den Verbund einzubeziehen. Zweitens wird Anhang II übersehen, weil das Unternehmen sich primär als „klassischer Mittelständler" sieht und nicht als Anbieter eines digitalen Dienstes — obwohl etwa eine angebotene Plattformfunktion bereits unter „Anbieter digitaler Dienste" fallen kann. Drittens wird die Registrierungspflicht beim BSI als nachrangige Formalie behandelt und erst spät umgesetzt; sie ist aber ein eigenständiger Pflichttatbestand, dessen Verletzung sanktionsbewehrt ist.

Häufige Fragen

Welche Unternehmen sind von NIS2 betroffen?
Erfasst werden wesentliche und wichtige Einrichtungen aus 18 Sektoren der NIS2-Anhänge, sofern sie die Größenkriterien (in der Regel ≥ 50 Mitarbeitende oder > 10 Mio. EUR Umsatz und Bilanzsumme) erfüllen. Daneben gibt es Sondergruppen, die sektorunabhängig erfasst sind (z. B. qualifizierte Vertrauensdiensteanbieter).
Was unterscheidet wesentliche von wichtigen Einrichtungen?
Wesentliche Einrichtungen unterliegen einer proaktiven, behördlich angeordneten Aufsicht, wichtige Einrichtungen einer anlassbezogenen Aufsicht. Die materiellen Sicherheitspflichten sind weitgehend identisch, die Bußgeldrahmen unterscheiden sich (bis 10 Mio. EUR/2 % Konzernumsatz bzw. 7 Mio. EUR/1,4 %).
Gelten die Größenkriterien für Konzerne anders?
Bei verbundenen Unternehmen ist auf das gesamte verbundene Unternehmen abzustellen, sofern keine wirtschaftliche und organisatorische Unabhängigkeit besteht. In der Praxis führt das dazu, dass auch kleine Tochtergesellschaften in NIS2 fallen, wenn die Mutter die Schwellen überschreitet.
Wann gilt eine Einrichtung sektorunabhängig als erfasst?
Unter anderem qualifizierte Vertrauensdiensteanbieter, TLD-Namenregister, DNS-Diensteanbieter und Anbieter öffentlicher elektronischer Kommunikationsnetze fallen unabhängig von Größenkriterien unter NIS2.
Müssen wir uns proaktiv registrieren?
Ja. Wesentliche und wichtige Einrichtungen sind verpflichtet, sich beim BSI zu registrieren und Kontaktdaten für die Vorfallkommunikation zu hinterlegen. Diese Pflicht greift unabhängig von einem konkreten Vorfall.
Was passiert, wenn wir die Betroffenheit falsch einschätzen?
Die Selbsteinschätzung ist nicht entlastend. Stellt die Aufsicht später eine Betroffenheit fest, gelten alle Pflichten rückwirkend; Bußgelder sind möglich, und persönliche Verantwortung der Geschäftsleitung kann adressiert werden.

Sie benötigen eine rechtssichere Betroffenheitsprüfung? Über die NIS2-Beratung oder die Kontaktseite erreichen Sie uns für ein strukturiertes Erstgespräch.

Dieser Beitrag gibt den Rechtsstand Stand: Juni 2026 wieder und ersetzt keine Beratung im Einzelfall.

Google
4.7 ★★★★★
50 Bewertungen
ProvenExpert
4.78 ★★★★★
156 Bewertungen · 100% Empfehlungen
Der SpiegelTagesspiegelMannheimer MorgenAllgemeine ZeitungDarmstädter Echo
Thomas Kolb LL.M.
Über den Autor
Thomas Kolb LL.M.

Fachanwalt für Urheber- und Medienrecht, externer Datenschutzbeauftragter, CIPP/E. Partner bei Kolb Blickhan Partner Rechtsanwälte (Mannheim und Mainz).

Thomas Kolb begleitet Unternehmen seit über einem Jahrzehnt bei Cybervorfällen, einschließlich der Verhandlung mit Erpressern über Lösegeldforderungen, und berät zu NIS2, DSGVO-Meldepflichten und Geschäftsführerhaftung.

Zum vollständigen Autorenprofil