Zum Inhalt gehen
Factorial IT

Für welche Unternehmen gilt die NIS2-Richtlinie?

·
9 Minuten Lesezeit
IST IHR UNTERNEHMEN BEREIT FÜR NIS2?
Zentralisieren Sie Geräte und Zugriffe, automatisieren Sie Sicherheitsrichtlinien und bereiten Sie sich besser auf NIS2 und Audits vor. Mehr über Factorial IT erfahren
Verfasst von

Mit der NIS2-Richtlinie und dem deutschen Gesetz NIS2UmsuCG ist Cybersicherheit kein reines IT-Thema mehr, sondern zu einer gesetzlichen Verpflichtung der Geschäftsführung geworden. Nun haben Führungskräfte die Pflicht, Sicherheitsmaßnahmen zu genehmigen und zu überwachen und übernehmen dabei eine persönliche Verantwortung, die sie nicht an Fachkräfte delegieren können.

Doch welche Unternehmen sind konkret betroffen? Die Richtlinie erfasst weit mehr Organisationen als ihre Vorgängerin und bezieht über die Lieferkette auch zahlreiche kleine und mittlere Unternehmen (KMU) mit ein. Dieser Artikel erläutert klar und verständlich, anhand welcher Kriterien (Sektor, Größe, Dienstleistung) Sie feststellen können, ob Ihr Unternehmen die NIS2-Vorgaben umsetzen muss.

Wichtige Fakten

  • Die NIS2-Richtlinie und das deutsche NIS2UmsuCG verpflichten alle mittleren und großen Unternehmen in 18 kritischen Sektoren zur Umsetzung strenger Cybersicherheitsmaßnahmen.
  • Laut dem BSI-Lagebericht zur IT-Sicherheit in Deutschland 2026 hat die Bedrohung durch Cyberangriffe, insbesondere durch Ransomware, ein konstant hohes Niveau erreicht. Das unterstreicht die Notwendigkeit robuster Abwehrmaßnahmen.
  • Eine Studie des Digitalverbands Bitkom aus dem Jahr 2026 ergab, dass der deutschen Wirtschaft durch Diebstahl von IT-Ausrüstung und Daten, Spionage und Sabotage jährlich ein Schaden von rund 206 Milliarden Euro entsteht.
  • Die Nichteinhaltung der NIS2-Vorgaben kann für besonders wichtige Einrichtungen zu Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes führen, je nachdem, welcher Betrag höher ist.

Welche Unternehmen müssen die NIS2-Richtlinie einhalten?

Die NIS2-Richtlinie gilt nicht für alle Unternehmen gleichermaßen. Um zu bestimmen, welche Organisationen sie einhalten und strengere Cybersicherheitsmaßnahmen ergreifen müssen, bewertet die Verordnung die Kombination aus drei Hauptfaktoren:

  • Geltungsbereich: Das Unternehmen erbringt seine Dienstleistungen innerhalb der Europäischen Union, unabhängig vom Hauptsitz.
  • Tätigkeitssektor: Es gehört zu einem der in der Richtlinie vorgesehenen Sektoren, was darüber entscheidet, ob die Organisation als besonders wichtige Einrichtung oder als wichtige Einrichtung eingestuft wird.
  • Unternehmensgröße: Es gilt als mittleres oder großes Unternehmen (i. d. R. ab 50 Beschäftigten oder 10 Mio. Euro Jahresumsatz), wobei für bestimmte kritische Dienste Ausnahmen gelten.

Was ist der Unterschied zwischen besonders wichtigen und wichtigen Einrichtungen?

Ein weiterer entscheidender Faktor ist der Tätigkeitssektor. Die Richtlinie identifiziert eine Reihe von Tätigkeiten, die als strategisch für das Funktionieren der Gesellschaft gelten, und unterteilt die betroffenen Organisationen in zwei große rechtliche Kategorien: besonders wichtige Einrichtungen und wichtige Einrichtungen. Viele Unternehmen, die nach dem alten deutschen KRITIS-Gesetz bisher nicht als kritisch galten, fallen nun in diese Kategorien.

Die Richtlinie teilt betroffene Organisationen je nach Kritikalität ihres Sektors in zwei Kategorien ein, die unterschiedlichen Aufsichtsmaßnahmen unterliegen:

Sektoren mit hoher Kritikalität (Anhang I):

  • Energie: Elektrizität, Fernwärme- und Fernkältenetze, Erdöl, Gas und Wasserstoff.
  • Transport: Luft-, Schienen-, See- und Straßenverkehr.
  • Bankwesen: Kreditinstitute.
  • Finanzmarktinfrastrukturen: Betreiber von Handelsplätzen und zentrale Gegenparteien.
  • Gesundheitswesen: Leistungserbringer im Gesundheitswesen, Referenzlaboratorien, pharmazeutische Forschung (F&E) und Herstellung von Arzneimitteln.
  • Trinkwasser: Versorger und Lieferanten.
  • Abwasser: Unternehmen der Sammlung, Entsorgung oder Behandlung.
  • Digitale Infrastruktur: Cloud-Computing-Anbieter, Rechenzentren, Telekommunikationsnetze, DNS-Anbieter usw.
  • Verwaltete IKT-Dienste: Managed Service Provider (MSP) und Managed Security Service Provider (MSSP) im Unternehmensumfeld (B2B).
  • Öffentliche Verwaltung: Einrichtungen der zentralen und regionalen Verwaltung.
  • Weltraum: Betreiber von weltraumgestützten Bodeninfrastrukturen.

Sonstige kritische Sektoren (Anhang II):

  • Post- und Kurierdienste.
  • Abfallbewirtschaftung.
  • Chemische Industrie: Herstellung, Produktion und Vertrieb von Chemikalien.
  • Lebensmittel: Produktion, Verarbeitung und Großhandel von Lebensmitteln.
  • Verarbeitendes Gewerbe/Herstellung: Umfasst die Herstellung von Medizinprodukten, DV-Geräten, elektronischen und optischen Erzeugnissen, elektrischen Ausrüstungen, Maschinenbau, Kraftwagen und sonstigem Fahrzeugbau.
  • Digitale Anbieter: Online-Marktplätze, Suchmaschinen und soziale Netzwerkplattformen.
  • Forschung: Forschungseinrichtungen und Institute.

Die endgültige Einstufung eines Unternehmens als „besonders wichtig“ oder „wichtig“ definiert dessen Grad der Überwachung (der für besonders wichtige Unternehmen strenger ist) und hängt von der exakten Kombination aus dem Sektor, dem es angehört (innerhalb dieser Listen), und seiner Größe ab.

Unternehmensgröße: die Schwellenwert-Regelung

In der Regel wendet die NIS2 die sogenannte „Größenregel“ an. Dies bedeutet, dass sich die Verordnung hauptsächlich an mittlere und große Unternehmen richtet, da ein Cyberzwischenfall in deren Netzen größere wirtschaftliche oder soziale Auswirkungen hätte.

Die Schwellenwerte, die den automatischen Eintritt in die Richtlinie bestimmen (sofern man den genannten Sektoren angehört), sind:

  • Mehr als 50 Beschäftigte haben oder
  • Einen Jahresumsatz oder eine Jahresbilanzsumme von über 10 Millionen Euro haben.

Unternehmen, die diese Grenzwerte überschreiten, fallen in ihren Anwendungsbereich. Es gibt jedoch wesentliche Ausnahmen: Kleinst- und kleine Unternehmen (die diese Schwellenwerte nicht erreichen) sind ebenfalls zur Einhaltung der NIS2 verpflichtet, wenn sie hochkritische Dienste anbieten.

Welche Sektoren und Unternehmen sind von NIS2 betroffen?

Wie in den vorangegangenen Punkten detailliert beschrieben, unterteilt die Richtlinie die verpflichteten Tätigkeiten in 18 große Blöcke. Im Folgenden präsentieren wir Ihnen eine Übersichtstabelle mit allen Sektoren, Teilsektoren und der entsprechenden Rechtskategorie, damit Sie auf einen Blick erkennen können, in welcher Situation sich Ihr Unternehmen befindet:

Sektor Teilsektor / Art der Einrichtung (Beispiele) Kleinst-/Kleinunternehmen* Mittlere Unternehmen Große Unternehmen
Sektoren mit hoher Kritikalität (Anhang I)
1. Energie Elektrizität, Gas, Erdöl, Wasserstoff: Erzeuger, Händler, Netzbetreiber, Betreiber von Ladepunkten. (Nicht erforderlich)* Wichtige Einrichtung (Wichtige Einrichtung) Besonders wichtige Einrichtung (Besonders wichtige Einrichtung)
2. Transport Luft, Schiene, See, Straße: Fluggesellschaften, Flughafen-/Hafenbetreiber, Eisenbahnunternehmen. (Nicht erforderlich) Wichtige Einrichtung (Wichtige Einrichtung) Besonders wichtige Einrichtung (Besonders wichtige Einrichtung)
3. Finanzwesen Banken und Infrastrukturen: Kreditinstitute, Betreiber von Handelsplätzen, zentrale Gegenparteien. (Nicht erforderlich) Wichtige Einrichtung (Wichtige Einrichtung) Besonders wichtige Einrichtung (Besonders wichtige Einrichtung)
4. Gesundheit Erbringer von Gesundheitsleistungen, Referenzlabore, pharmazeutische Forschung (F&E), Arzneimittelhersteller. (Nicht erforderlich) Wichtige Einrichtung (Wichtige Einrichtung) Besonders wichtige Einrichtung (Besonders wichtige Einrichtung)
5. Wasser Trink- und Abwasser: Versorger und Verteilungsunternehmen von Trinkwasser, Abwasserbehandlungsunternehmen. (Nicht erforderlich) Wichtige Einrichtung (Wichtige Einrichtung) Besonders wichtige Einrichtung (Besonders wichtige Einrichtung)
6. Digitale Infrastruktur Cloud-Dienstanbieter, Rechenzentren, CDN, Telekommunikationsnetze, DNS, TLD-Register. Besonders wichtig / Wichtig* Besonders wichtige Einrichtung / Wichtig Besonders wichtige Einrichtung (Besonders wichtige Einrichtung)
7. Öffentliche Verwaltung Einrichtungen der zentralen und regionalen Verwaltung (ohne Verteidigung, nationale Sicherheit etc.). N/A N/A Besonders wichtige Einrichtung (Besonders wichtige Einrichtung)
8. Weltraum Betreiber von weltraumgestützten Bodeninfrastrukturen. (Nicht erforderlich) Wichtige Einrichtung (Wichtige Einrichtung) Besonders wichtige Einrichtung (Besonders wichtige Einrichtung)
Sonstige kritische Sektoren (Anhang II)
9. Postdienste Post- und Kurierdienstleister. (Nicht erforderlich) Wichtige Einrichtung (Wichtige Einrichtung) Wichtige Einrichtung (Wichtige Einrichtung)
10. Abfallbewirtschaftung Unternehmen, die in der Sammlung, Beseitigung oder Behandlung von Abfällen tätig sind. (Nicht erforderlich) Wichtige Einrichtung (Wichtige Einrichtung) Wichtige Einrichtung (Wichtige Einrichtung)
11. Chemische Industrie Herstellung, Produktion und Vertrieb von Chemikalien. (Nicht erforderlich) Wichtige Einrichtung (Wichtige Einrichtung) Wichtige Einrichtung (Wichtige Einrichtung)
12. Lebensmittel Produktion, Verarbeitung und Großhandel von Lebensmitteln (z.B. Lebensmittelindustrie, große Supermärkte). (Nicht erforderlich) Wichtige Einrichtung (Wichtige Einrichtung) Wichtige Einrichtung (Wichtige Einrichtung)
13. Herstellung Hersteller von Medizinprodukten, Computer/Elektronikprodukten, Maschinen, Kraftfahrzeugen. (Nicht erforderlich) Wichtige Einrichtung (Wichtige Einrichtung) Wichtige Einrichtung (Wichtige Einrichtung)
14. Digitale Anbieter Online-Marktplätze (Marktplätze), Suchmaschinen, Plattformen für soziale Netzwerke. (Nicht erforderlich) Wichtige Einrichtung (Wichtige Einrichtung) Wichtige Einrichtung (Wichtige Einrichtung)

*Wichtige Hinweise zum Verständnis der Tabelle:

Größenkriterien (Allgemeine Regel):

  • Kleinst- und Kleinunternehmen: Weniger als 50 Beschäftigte UND ein Jahresumsatz von höchstens 10 Mio. Euro. Sie sind in der Regel ausgenommen.
  • Mittlere Unternehmen: 50 bis 249 Beschäftigte ODER ein Jahresumsatz von über 10 Mio. Euro bis 50 Mio. Euro.
  • Große Unternehmen: Ab 250 Beschäftigte ODER ein Jahresumsatz von über 50 Mio. Euro.

Wichtige Ausnahmen für Kleinst- und kleine Unternehmen: Es gibt Einrichtungen, die die NIS2 unabhängig von ihrer Größe einhalten müssen. Dazu gehören: Anbieter von öffentlichen elektronischen Kommunikationsnetzen, Vertrauensdiensteanbieter (elektronische Signaturen), Register für Top-Level-Domains (TLD) und Einrichtungen, die der einzige Anbieter eines kritischen Dienstes in Deutschland sind.

Also, wenn ich ein kleines Unternehmen bin, betrifft mich die NIS2 nicht?

Es ist sehr verlockend zu denken, dass Ihr KMU automatisch von der Einhaltung der Richtlinie befreit ist, wenn es die 50 Beschäftigten oder die 10 Millionen Euro Umsatz nicht erreicht. Die Realität ist jedoch, dass sie Sie betreffen kann, und zwar auf zwei sehr unterschiedliche Arten:

1. Direkte Betroffenheit

Wie wir in den vorangegangenen Abschnitten gesehen haben, legt das Gesetz selbst fest, dass die Größe keine Rolle spielt, wenn Ihr Unternehmen Dienstleistungen anbietet, die für die Gesellschaft oder die Wirtschaft hochkritisch sind. Sie müssen die NIS2 obligatorisch einhalten, auch wenn Sie ein Kleinstunternehmen sind, sofern Ihr Geschäft eine der folgenden Tätigkeiten umfasst:

  • Ein Anbieter von öffentlichen Kommunikationsnetzen oder elektronischen Kommunikationsdiensten.
  • Ein Vertrauensdiensteanbieter (zum Beispiel Ausstellung von elektronischen Signaturen oder Zertifikaten).
  • Ein Register für Top-Level-Domains (TLD) oder ein DNS-Dienstleister.
  • Der einzige Anbieter eines Dienstes, der für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten in Deutschland unerlässlich ist. Dieser Punkt ist besonders auf dem deutschen Markt auf regionaler Ebene relevant. Wenn Ihr Unternehmen beispielsweise das einzige ist, das einen Fernwärmedienst oder eine kritische Logistikinfrastruktur in einem bestimmten Land verwaltet, fallen Sie unabhängig von Ihrer Mitarbeiterzahl unter den Schirm der NIS2.

2. Indirekte Betroffenheit

Dies ist die Situation, die die immense Mehrheit der europäischen und deutschen KMU beeinflussen wird. Auch wenn das Gesetz Sie aufgrund Ihrer Größe oder Ihres Sektors nicht direkt verpflichtet, verlangt die NIS2 von besonders wichtigen und wichtigen Einrichtungen, dass sie die Cybersicherheit ihrer gesamten Lieferkette gewährleisten.

Was bedeutet das in der Praxis? Dass Ihr Kunde, wenn Ihr kleines Unternehmen Dienstleister für eine Organisation ist, die die NIS2 einhalten muss (zum Beispiel, wenn Sie IT-Support, Software, Logistik oder Wartung für eine Bank, ein Krankenhaus oder ein Energieunternehmen anbieten), vertraglich von Ihnen verlangen wird, dass Sie strenge Cybersicherheitsmaßnahmen anwenden.

Wenn Sie dies nicht tun, wird dieses große Unternehmen gezwungen sein, auf Ihre Dienste zu verzichten und einen anderen Anbieter zu suchen, um sich keinen Schwachstellen oder den Millionenstrafen der Richtlinie auszusetzen. Somit wird die Einhaltung von Cybersicherheitsstandards auch für KMU zu einer entscheidenden Geschäftsvoraussetzung, um als Zulieferer für größere Unternehmen wettbewerbsfähig zu bleiben.

Worin unterscheiden sich besonders wichtige von wichtigen Einrichtungen?

Da die Verordnung die betroffenen Unternehmen in diese zwei Kategorien unterteilt, ist es normal, sich zu fragen, worin sie sich in der Realität unterscheiden. Auf technischer Ebene verlangt die Richtlinie von beiden die Anwendung ähnlicher Cybersicherheitsmaßnahmen, aber der große Unterschied liegt darin, wie die Regierung (in diesem Fall das BSI) sie überwacht und in der Höhe der Bußgelder.

  • Besonders wichtige Einrichtungen: Sie unterliegen einer proaktiven Aufsicht durch das BSI. Das bedeutet, die Behörde kann regelmäßige Audits, Vor-Ort-Inspektionen und Prüfungen durchführen. Die maximalen Bußgelder betragen hier bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes.
  • Wichtige Einrichtungen: Hier erfolgt die Aufsicht reaktiv, also erst nach einem gemeldeten Sicherheitsvorfall. Das BSI wird also nur dann tätig, wenn es konkrete Anhaltspunkte für einen Verstoß gibt. Die Bußgelder sind auf bis zu 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes begrenzt.

Welche konkreten Pflichten haben Unternehmen und Geschäftsführung?

Die NIS2-Richtlinie fordert von betroffenen Unternehmen einen proaktiven Risikomanagement-Ansatz. Gemäß Artikel 21 der Richtlinie müssen mindestens die folgenden zehn Maßnahmen umgesetzt werden:

  • Konzepte für die Risikoanalyse und die Sicherheit von Informationssystemen
  • Bewältigung von Sicherheitsvorfällen (Prävention, Erkennung, Reaktion)
  • Business-Continuity-Management und Krisenmanagement (z. B. Backup-Management, Wiederherstellung nach einem Notfall)
  • Sicherheit der Lieferkette, einschließlich sicherheitsrelevanter Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern
  • Sicherheitsmaßnahmen beim Erwerb, der Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich des Umgangs mit Schwachstellen
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
  • Grundlegende Verfahren zur Cyberhygiene und Schulungen zur Cybersicherheit
  • Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung
  • Sicherheit des Personals, Konzepte für die Zugriffskontrolle und das Management von Anlagen
  • Verwendung von Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierungslösungen

Eine zentrale Neuerung ist die persönliche Haftung der Geschäftsführung. Sie muss diese Maßnahmen nicht nur genehmigen, sondern deren Umsetzung auch aktiv überwachen. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sind Leitungsorgane zudem verpflichtet, selbst an Cybersicherheitsschulungen teilzunehmen, um die Risiken bewerten zu können.

Wie wird die NIS2-Richtlinie in der Praxis angewendet?

Um besser zu verstehen, wie sich alle von uns gesehenen Kriterien (Sektor, Größe und Kritikalität) überschneiden, werden wir zwei alltägliche Szenarien analysieren. Eines, in dem das Unternehmen zur Einhaltung der Richtlinie verpflichtet ist, und ein anderes, in dem es prinzipiell außerhalb ihrer direkten Reichweite bliebe.

Fall 1: Das Unternehmen, das betroffen IST

Stellen Sie sich ein Unternehmen namens Süddeutsche Lebensmittelvertriebs GmbH vor.

  • Sektor: Es widmet sich dem Großhandel mit Lebensmitteln (Sektor in Anhang II enthalten: Sonstige kritische Sektoren).
  • Größe: Das Unternehmen hat 120 Beschäftigte und einen Jahresumsatz von 15 Millionen Euro.

Ist es von der NIS2 betroffen? Ja. Da es mehr als 50 Beschäftigte hat und den Umsatz von 10 Millionen Euro überschreitet, erfüllt es die „Größenregel“ (es ist ein mittleres Unternehmen). Da es einem Sektor aus Anhang II angehört, stuft die Richtlinie es automatisch als „wichtige Einrichtung“ ein. Es muss die geforderten Cybersicherheitsmaßnahmen anwenden und jeden schwerwiegenden Vorfall melden, obwohl Inspektionen durch das BSI nur reaktiv durchgeführt werden, wenn es ein Problem gibt.

Fall 2: Das Unternehmen, das NICHT direkt betroffen ist

 

Stellen Sie sich nun ein Unternehmen namens Lokale Schnelltransporte GmbH vor.

  • Sektor: Es widmet sich dem Güterkraftverkehr (Sektor in Anhang I enthalten: Sektoren mit hoher Kritikalität).
  • Größe: Es ist ein Familienunternehmen mit 25 Beschäftigten und einem Jahresumsatz von 3 Millionen Euro.

Ist es von der NIS2 betroffen? Nicht direkt. Obwohl es in einem Sektor mit hoher Kritikalität (Transport) tätig ist, erreicht dieses Unternehmen die Mindestschwellenwerte für die Größe nicht (weniger als 50 Beschäftigte und weniger als 10 Millionen Umsatz), weshalb es als kleines Unternehmen gilt. Da es nicht der exklusive Anbieter eines kritischen Dienstes auf nationaler Ebene ist, bleibt es von der direkten gesetzlichen Verpflichtung ausgeschlossen.

Aber wie wir im vorherigen Abschnitt gesehen haben: Wenn dieses Unternehmen von einer großen Supermarktkette beauftragt wird, die die NIS2 einhalten muss, könnte dieses große Unternehmen vertraglich verlangen, dass es seine Cybersicherheit verbessert, wodurch es indirekt durch die Lieferkette betroffen wäre.

Was ist der nächste Schritt zur NIS2-Compliance?

Unternehmen, die unter die NIS2-Richtlinie fallen, sollten umgehend eine Bestandsaufnahme ihrer aktuellen IT-Sicherheitsmaßnahmen durchführen. Ein erster Schritt ist die Identifizierung kritischer Systeme und Daten sowie die Bewertung bestehender Risikomanagement-Prozesse. Die Ernennung einer verantwortlichen Person für die Cybersicherheit und die Planung regelmäßiger Schulungen für alle Beschäftigten sind ebenfalls zentrale Handlungsfelder, die sofort angegangen werden sollten.

FAQ

Was besagt die NIS2-Richtlinie?

Die NIS2-Richtlinie ist eine EU-Verordnung zur Stärkung der Cybersicherheit in kritischen Sektoren. Sie verpflichtet die Geschäftsführung persönlich, angemessene Sicherheitsmaßnahmen zu genehmigen und zu überwachen, um ein hohes, einheitliches Schutzniveau in der gesamten EU zu gewährleisten und die Widerstandsfähigkeit wichtiger Dienste zu erhöhen.

Wann bin ich NIS2 pflichtig?

Sie sind in der Regel NIS2-pflichtig, wenn Ihr Unternehmen in einem der kritischen oder sonstigen kritischen Sektoren tätig ist und als mittleres (ab 50 Mitarbeitern oder 10 Mio. € Umsatz) oder großes Unternehmen gilt. Bestimmte Kleinstunternehmen in hochkritischen Bereichen können ebenfalls direkt betroffen sein.

Bis wann muss man NIS2 umsetzen?

Die NIS2-Richtlinie muss bis zum 17. Oktober 2024 in deutsches Recht umgesetzt sein. Ab diesem Zeitpunkt müssen betroffene Unternehmen die neuen Cybersicherheitsanforderungen erfüllen und sich innerhalb der gesetzlich festgelegten Fristen, beispielsweise beim Bundesamt für Sicherheit in der Informationstechnik (BSI), registrieren.

Ähnliche Beiträge