Alle Beiträge
· 2 Min. Lesezeit

NIS-2-Betroffenheit: Die Schwellenwerte einfach erklärt

Wesentliche oder wichtige Einrichtung? Sektor, Mitarbeiterzahl und Umsatz entscheiden über Ihre NIS-2-Betroffenheit. Die Kriterien verständlich erklärt.

BetroffenheitSchwellenwerte

NIS-2 betrifft nicht jedes Unternehmen — aber deutlich mehr als viele annehmen. Rund 29.500 Unternehmen in Deutschland fallen nach Schätzungen unter die neuen Pflichten. Ob Sie dazugehören, entscheidet sich an drei einfachen Fragen: Sektor, Größe und Sonderfälle.

Schritt 1: Gehört Ihr Sektor dazu?

NIS-2 erfasst 18 Sektoren, gegliedert in zwei Gruppen:

  • Sektoren mit hoher Kritikalität: Energie, Transport & Verkehr, Bank- & Finanzwesen, Gesundheit, Trink- & Abwasser, digitale Infrastruktur und IT-Dienste sowie die öffentliche Verwaltung.
  • Weitere kritische Sektoren: Post- & Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, das verarbeitende/produzierende Gewerbe, Anbieter digitaler Dienste und Forschungseinrichtungen.

Erkennen Sie Ihre Haupttätigkeit hier wieder, ist die erste Hürde genommen — dann kommt es auf die Größe an.

Schritt 2: Wie groß ist Ihr Unternehmen?

NIS-2 arbeitet mit einem Größenprinzip. Maßgeblich sind Mitarbeiterzahl und Jahresumsatz bzw. Bilanzsumme (der jeweils höhere Wert zählt):

  • Wesentliche Einrichtung: ab 250 Mitarbeitenden oder über 50 Mio. € Umsatz (bzw. über 43 Mio. € Bilanzsumme) — in einem Sektor hoher Kritikalität.
  • Wichtige Einrichtung: ab 50 Mitarbeitenden oder über 10 Mio. € Umsatz — in einem der erfassten Sektoren.
  • Darunter (unter 50 Mitarbeitende und bis 10 Mio. € Umsatz) sind Klein- und Kleinstunternehmen in der Regel ausgenommen.

Der Unterschied zwischen wesentlich und wichtig betrifft vor allem die Aufsicht: Wesentliche Einrichtungen werden vom BSI proaktiv beaufsichtigt, wichtige Einrichtungen eher anlassbezogen. Die grundlegenden Sicherheits- und Meldepflichten gelten für beide.

Schritt 3: Sonderfälle — hier ist die Größe egal

Einige Einrichtungen fallen unabhängig von ihrer Größe unter NIS-2 — auch als Kleinunternehmen. Dazu zählen unter anderem:

  • Betreiber von DNS-Diensten und Top-Level-Domain-Registries
  • qualifizierte Vertrauensdiensteanbieter
  • Anbieter öffentlicher Telekommunikationsnetze und -dienste
  • Betreiber kritischer Anlagen (KRITIS)

Trifft ein solcher Sonderfall zu, gelten in der Regel die strengeren Pflichten — unabhängig von Mitarbeiterzahl und Umsatz.

Im Zweifel: in zwei Minuten prüfen

Die Kriterien klingen einfach, im Detail steckt aber Einzelfall-Spielraum — gerade bei der Zuordnung wesentlich/wichtig und bei verbundenen Unternehmen. Unser kostenloser NIS-2-Betroffenheits-Check führt Sie in zwei Minuten durch Sektor, Größe und Sonderfälle und gibt Ihnen eine fundierte erste Einordnung.

Dieser Beitrag bietet eine erste Orientierung und ersetzt keine Rechtsberatung. Die verbindliche Feststellung der Betroffenheit nehmen wir auf Wunsch im Anschluss vor.