Menu
close

NIS2 - Wer ist betroffen?

Viele Geschäftsführer fragen sich aktuell: „Sind wir von NIS2 betroffen?“ Genau darum geht es in diesem Beitrag.

Was viele noch nicht wissen: Auch mittelständische Unternehmen, die bislang nicht mit regulatorischen IT-Vorgaben in Berührung kamen, könnten nun unter die Richtlinie fallen. Wer das verpasst, riskiert nicht nur Bußgelder, sondern auch Reputationsverluste bei Sicherheitsvorfällen.
NIS2 wer ist betroffen

NIS2 Wer ist betroffen: Die wichtigsten Kriterien

Die Antwort: Weit mehr Unternehmen als bisher. Schätzungen zufolge betrifft NIS2 in Deutschland über 30.000 Unternehmen, während es zuvor nur etwa 2.000 waren.

Die wichtigsten Kriterien

Wesentliche Einrichtungen

Unternehmen und Organisationen, die als wesentliche Einrichtungen eingestuft werden, sind solche, die in kritischen Sektoren tätig sind und eine zentrale Rolle in der Infrastruktur und Wirtschaft der EU spielen. Dazu gehören:
Sektoren: Energie, Verkehr, Gesundheitswesen, Bankwesen, Finanzmarktinfrastrukturen, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung, Weltraum, sowie die Verwaltung von IKT-Diensten (B2B).
Kriterien: Unternehmen in diesen Sektoren gelten als wesentliche Einrichtungen, wenn sie mehr als 250 Mitarbeiter beschäftigen oder einen Jahresumsatz von mehr als 50 Millionen Euro bzw. eine Jahresbilanzsumme von mehr als 43 Millionen Euro aufweisen.
Wichtig: Unternehmen, die diese Kriterien nicht erfüllen, können dennoch als wichtige Einrichtungen eingestuft werden, sofern sie in einem der oben genannten Sektoren tätig sind und mindestens 50 Beschäftigte haben oder über 10 Mio. EUR Jahresumsatz oder Jahresbilanzsumme verfügen.

Wichtige Einrichtungen

Wichtige Einrichtungen umfassen Unternehmen in weniger kritischen, aber dennoch wichtigen Sektoren für das Funktionieren der Gesellschaft und Wirtschaft. Diese Kategorie beinhaltet:
Sektoren: Post- und Kurierdienste, Abfallbewirtschaftung, Produktion und Vertrieb von chemischen Stoffen, Lebensmittelproduktion und -vertrieb, Herstellung von Medizinprodukten, Maschinenbau, Fahrzeugbau, digitale Dienste (wie Cloud-Computing oder soziale Netzwerke) und Forschungseinrichtungen.
Kriterien: Unternehmen in diesen Sektoren werden als wichtige Einrichtungen betrachtet, wenn sie mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz bzw. eine Jahresbilanzsumme von mindestens 10 Millionen Euro haben.

Die Richtlinie unterscheidet also zwischen "wesentlichen" und "wichtigen" Einrichtungen, wobei für letztere geringere Geldstrafen vorgesehen sind und sie einer reaktiven Aufsicht des BSI unterliegen. 

Sonderfälle

Ausnahmen gelten für bestimmte Einrichtungen von herausragender Bedeutung, die unabhängig von ihrer Größe von der NIS2-Richtlinie erfasst werden. Zu diesen zählen unter anderem qualifizierte Vertrauensdienste, TLD-Registrierungen und DNS-Services.

Selbst wenn Ihr Unternehmen nicht direkt unter eine dieser Kategorien fällt, könnte es indirekt betroffen sein, etwa als Zulieferer für ein Unternehmen, das zu den genannten Sektoren gehört. Das zeigt, wie weitreichend die NIS2-Richtlinie ist und warum viele Unternehmen ihre Sicherheitsmaßnahmen überdenken müssen.
>> mehr zum Thema NIS2 und ISO27001

Beispiele aus der Praxis

Damit Sie besser einordnen können, ob auch Ihr Unternehmen betroffen sein könnte, hier ein paar typische Fälle:

  • Ein Maschinenbauer mit 60 Mitarbeitenden, der für die Energiebranche produziert → betroffen
  • Ein IT-Dienstleister, der Rechenzentren betreibt oder Cloud-Dienste anbietet → betroffen
  • Eine Spedition mit 80 Mitarbeitenden, die systemrelevante Lieferketten betreibt → betroffen
  • Eine Apothekenkette mit 55 Mitarbeitenden → voraussichtlich betroffen

Es lohnt sich also genau hinzusehen.
Wenn Sie betroffen sind und prüfen möchten, ob Sie NIS2 ready sind, ist unser NIS2 Check genau das Richtige für Sie.

mehr zum NIS2 Check

Nochmals zur Erinnerung: Was ist die NIS2-Richtlinie überhaupt?

Die NIS2-Richtlinie ist die überarbeitete EU-weite Gesetzgebung zur Erhöhung der IT-Sicherheit, die seit Dezember 2025 gilt. Sie löst die bisherige NIS-Richtlinie ab und verschärft die Anforderungen massiv:

Und damit stellt sich die Frage: NIS2 – wer ist betroffen und wie gehen Sie das Thema konkret an.
>> Dazu mehr in unserem Whitepaper NIS2

Welche Pflichten ergeben sich aus NIS2?

Unternehmen, die unter die Richtlinie fallen, müssen:

  • eine Risikoanalyse und Sicherheitsstrategie erstellen
  • technische und organisatorische IT-Sicherheitsmaßnahmen umsetzen
  • Sicherheitsvorfälle innerhalb von 24 Stunden melden
  • ihre Geschäftsführung in die Verantwortung nehmen (Haftung!)

Das ist kein Thema, das man aufschieben sollte. Wir beraten Sie zu NIS2.
>> mehr dazu auch in unserem NIS2-Leitfaden: Was mittelständische Unternehmen jetzt wissen müssen

Wie wir Sie unterstützen können

Wir von niteflite begleiten mittelständische Unternehmen dabei, ihre IT nicht nur sicher und stabil zu betreiben, sondern auch rechtskonform nach NIS2 aufzustellen.

Was uns dabei besonders macht:

  • ISO27001-zertifizierte Prozesse für höchste IT-Sicherheitsstandards
  • Proaktive Sicherheitsberatung statt reiner Umsetzung
  • Kostenplanbarkeit durch fixe monatliche Preise pro Arbeitsplatz
  • Echtzeit-Monitoring Ihrer IT-Systeme
  • Strategische Roadmap & jährliche Potenzialgespräche, um auch langfristig sicher zu bleiben

Fazit: Jetzt prüfen, ob Sie betroffen sind

NIS2 betrifft deutlich mehr Unternehmen als gedacht. Viele Mittelständler sind in der Pflicht – oft ohne es zu wissen. Wer hier frühzeitig handelt, schützt nicht nur sich selbst, sondern auch seine Geschäftsbeziehungen und Reputation.

Sie sind sich unsicher, ob Ihr Unternehmen unter die NIS2-Richtlinie fällt? Dann buchen Sie jetzt ein einen kostefreien Ersttermin bei uns. Gemeinsam klären wir, ob Sie betroffen sind – und was konkret zu tun ist.

Termin buchen

Vereinbaren Sie ein kostenfreies Kennenlerngespräch

Buchen Sie hier gleichen einen Termin oder nutzen Sie unser Formular zur Kontaktaufnahme.
Geschäftsführung niteflite networxx