Wer muss NIS-2 umsetzen?
Januar 2026
Die zwei neuen Kategorien: Besonders wichtige und wichtige Einrichtungen
Das NIS-2-Umsetzungsgesetz unterscheidet zwischen zwei Kategorien mit unterschiedlich strengen Anforderungen:
Besonders wichtige Einrichtungen (§ 28 Abs. 1 BSIG): Diese Kategorie umfasst Unternehmen in kritischen Sektoren, die in der Regel mindestens 250 Mitarbeiter beschäftigen oder einen Jahresumsatz von mindestens 50 Millionen Euro und eine Bilanzsumme von mindestens 43 Millionen Euro aufweisen.
Wichtige Einrichtungen (§ 28 Abs. 2 BSIG): Diese Kategorie erfasst mittlere Unternehmen mit mindestens 50 Mitarbeitern oder einem Jahresumsatz von mindestens 10 Millionen Euro und einer Bilanzsumme von mindestens 10 Millionen Euro.
Wichtig: Die Größenkriterien gelten nicht ausnahmslos. Bestimmte Einrichtungen sind unabhängig von ihrer Größe erfasst.
Ebenfalls wichtig: In Konzern und Joint-Venture Konstellationen werden die Kennzahlen häufig addiert. Es gibt ausnahmen, sollte im Einzelfall aber unbedingt geprüft werden!
Die betroffenen Sektoren
NIS-2 erfasst eine Reihe Wirtschaftssektoren, aufgeteilt in besonders kritische und weitere wichtige Sektoren:
Besonders kritische Sektoren (besonders wichtige Einrichtungen):
Energie (Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff)
Transport & Verkehr (Luft-, Schienen-, Wasser- und Straßenverkehr)
Bankwesen und Finanzmarktinfrastrukturen
Gesundheitswesen (Gesundheitseinrichtungen, medizinische Labore, Pharma)
Wasser (Trinkwasser und Abwasser)
Digitale Infrastruktur (Internet-Knoten, DNS, TLD-Register, Cloud-Computing, Rechenzentren, Content Delivery Networks, Vertrauensdienste, öffentliche elektronische Kommunikationsnetze und -dienste)
Verwaltung von IKT-Dienstleistungen (B2B-Managed Services, Managed Security Services)
Weltraum
Weitere wichtige Sektoren (wichtige Einrichtungen):
Transport & Verkehr (Post- und Kurierdienste)
Abfallbewirtschaftung
Produktion, Herstellung und Handel mit chemischen Stoffen
Produktion, Verarbeitung und Vertrieb von Lebensmitteln
Verarbeitendes Gewerbe/Herstellung von Waren (Medizinprodukte, Computer/Elektronik/Optik, elektrische Ausrüstungen, Maschinenbau, Kraftwagen und -teile)
Anbieter digitaler Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
Forschungseinrichtungen
Ausnahmen von den Größenkriterien: Wer immer betroffen ist
Folgende Einrichtungen sind grundsätzlich als besonders wichtige Einrichtungen erfasst, unabhängig von ihrer Größe: qualifizierte Vertrauensdiensteanbieter, Top-Level-Domain-Registrierungsstellen (TLD-Registry), DNS-Diensteanbieter und Betreiber kritischer Anlagen.
Auch für die öffentliche Verwaltung auf Bundesebene gelten eigene Regeln.
Die Betroffenheitsprüfung kann sich hochkomplex gestalten, insbesondere für Konzernunternehmen. Bei Unternehmen, deren hauptsächliche Geschäftstätigkeit nicht unter eine Einrichtungskategorie fällt, aber eine Nebentätigkeit davon erfasst sein könnte, bestehen besondere Herausforderungen.
Praxisbeispiel: Ein mittelständisches Produktionsunternehmen, das als Nebentätigkeit auch Chemikalien herstellt, muss prüfen, ob diese Nebentätigkeit ausreicht, um unter NIS-2 zu fallen.
Was gilt für Tochtergesellschaften und Konzerne?
Die Beurteilung erfolgt grundsätzlich auf Ebene der einzelnen rechtlichen Einheit. Eine Tochtergesellschaft muss eigenständig prüfen, ob sie die Kriterien erfüllt, auch wenn die Muttergesellschaft nicht betroffen ist.
Wichtig: Bei der Berechnung der Mitarbeiterzahl und Finanzkennzahlen können konzernweite Konsolidierungen relevant sein. Im Zweifel sollten Sie externe Beratung hinzuziehen.
Fazit: Die Betroffenheit ist breiter als gedacht
NIS-2 erfasst nicht nur die "üblichen Verdächtigen" wie Energieversorger oder Banken. Auch mittelständische Unternehmen im verarbeitenden Gewerbe, Post- und Kurierdienste oder Lebensmittelproduzenten können betroffen sein. Erfolgreiche Geschäftsführer prüfen ihre Betroffenheit frühzeitig und dokumentieren die Prüfung lückenlos.
