NIS-2-Betroffenheitsprüfung: Fällt Ihr Unternehmen wirklich unter die Richtlinie?

Die meisten denken bei NIS-2 spontan an „kritische Infrastrukturen“ im klassischen Sinne: Energie, Wasser, Verkehr. Doch der Geltungsbereich der Richtlinie ist deutlich breiter. Neben Betreibern kritischer Dienste geraten auch viele mittelständische Unternehmen in den Fokus – oft, ohne es zu ahnen. Eine saubere Betroffenheitsprüfung ist deshalb der erste Schritt, um böse Überraschungen zu vermeiden und rechtzeitig ins Handeln zu kommen.

Im Folgenden erhalten Sie einen praxisnahen Überblick: Welche Branchen und Sektoren sind betroffen? Nach welchen Kriterien wird entschieden, ob eine Organisation als „wichtig“ oder „wesentlich“ gilt? Und wie kann eine einfache Checkliste helfen, die eigene Lage realistisch einzuschätzen?

Mit NIS-2 verfolgt die EU das Ziel, die Cybersicherheit in ganz Europa auf ein einheitlich höheres Niveau zu bringen. Dafür wird der Kreis der betroffenen Organisationen deutlich ausgeweitet. Es geht nicht mehr nur um „kritische Infrastrukturen“ im engen Sinn, sondern um alle Einrichtungen, deren Ausfall spürbare Auswirkungen auf Wirtschaft, Gesellschaft oder öffentliche Sicherheit haben könnte.

Das führt dazu, dass auf einmal Unternehmen im Fokus stehen, die sich selbst nicht als „kritisch“ verstehen – etwa im Gesundheitswesen, in der Sozialwirtschaft, bei digitalen Diensten, in der Industrie oder in Teilen der öffentlichen Verwaltung.

Typische Reaktionen im Mittelstand lauten daher:

• „Wir sind doch kein Kraftwerk – NIS-2 kann uns nicht betreffen.“
• „Wir haben schon ISO 27001, das reicht doch bestimmt.“
• „Unsere IT läuft gut, warum sollten wir uns jetzt um eine EU-Richtlinie kümmern?“

Genau hier setzt die NIS-2-Betroffenheitsprüfung an: Sie soll Klarheit schaffen, ob Ihr Unternehmen überhaupt unter den NIS-2-Geltungsbereich fällt – und falls ja, mit welcher Einstufung und welchen Konsequenzen.

NIS-2 unterscheidet zwei Kategorien:

• Wesentliche Einrichtungen
  Hierzu gehören Organisationen in besonders sensiblen Sektoren oder mit hohem Einfluss auf die Versorgungssicherheit. Für sie gelten strengere Anforderungen und eine intensivere Aufsicht.
• Wichtige Einrichtungen
  Diese Unternehmen sind ebenfalls sicherheitsrelevant, aber in einem geringeren Maße. Die Anforderungen sind ähnlich, der Umfang der direkten Aufsicht kann jedoch etwas geringer ausfallen.

Für Ihre Praxis ist weniger wichtig, ob die Bezeichnung „wichtig“ oder „wesentlich“ sympathischer klingt. Entscheidend ist: Beide Kategorien sind verpflichtet, NIS-2 umzusetzen. Die Betroffenheitsprüfung soll also nicht nur klären, ob Sie überhaupt erfasst sind, sondern falls ja, auch in welcher Einstufung Sie voraussichtlich geführt werden.

Um die erste Einschätzung zu erleichtern, können Sie intern eine kompakte Checkliste einsetzen. Typische Fragen darin könnten sein:

1. Sektor & Tätigkeit
   • Sind wir im Gesundheits-, Sozial- oder Bildungsbereich tätig?
   • Erbringen wir digitale Dienste, etwa Cloud- oder Hosting-Leistungen?
   • Betreiben wir Systeme, deren Ausfall Kundinnen und Kunden erheblich beeinträchtigen würde?
2. Rolle in der Lieferkette
   • Sind wir Dienstleister für Organisationen, die selbst kritische Prozesse verantworten (z. B. Krankenhäuser, Versorger, öffentliche Verwaltung)?
   • Haben unsere Leistungen direkten Einfluss auf die Verfügbarkeit, Integrität oder Vertraulichkeit kritischer Daten und Dienste?
3. Größe & Struktur
   • Überschreiten wir bestimmte Schwellenwerte bei Mitarbeitendenzahl oder Umsatz?
   • Betreiben wir mehrere Standorte, Tochtergesellschaften oder ausgelagerte IT-Dienstleistungen mit zentraler Bedeutung?
4. Abhängigkeiten & Ausfallrisiken
   • Gibt es Prozesse, bei denen ein Ausfall unserer Systeme zu relevanten Versorgungs- oder Sicherheitsrisiken führt?
   • Sind wir in der Vergangenheit in sicherheitsrelevante Vorfälle involviert gewesen, die unsere Bedeutung verdeutlichen?

Diese Checkliste ersetzt keine juristische Bewertung oder formale Meldung. Sie hilft aber, intern ein realistisches Bild zu bekommen und die Diskussion zu strukturieren – insbesondere zwischen Geschäftsleitung, IT, Informationssicherheit und Compliance.

In der Praxis begegnen uns immer wieder ähnliche Irrtümer rund um den NIS-2-Geltungsbereich:

• „Wir haben doch schon DSGVO umgesetzt – das reicht.“
  Datenschutz und NIS-2 haben Schnittmengen, verfolgen aber unterschiedliche Schwerpunkte. Während die DSGVO personenbezogene Daten in den Mittelpunkt stellt, adressiert NIS-2 die Verfügbarkeit, Integrität und Sicherheit von Netz- und Informationssystemen insgesamt – auch bei nicht personenbezogenen Daten.
• „Unsere Branche stand bei NIS nicht im Fokus, also sind wir raus.“
  NIS-2 weitet den Geltungsbereich im Vergleich zur ursprünglichen NIS-Richtlinie deutlich aus. Branchen, die bisher kaum berührt waren, rücken nun klarer in den Blick.
• „Wir sind nur Dienstleister – betroffen sind doch unsere Kunden.“
  Gerade im Bereich kritischer und wichtiger Dienstleistungen geraten auch Serviceprovider, Softwareanbieter und IT-Dienstleister stärker in die Verantwortung. Lieferkettensicherheit ist ein zentrales Thema der Richtlinie.

Wer diese Missverständnisse früh ausräumt, vermeidet, dass NIS-2 später „über Nacht“ zum Krisenthema wird.

Ist die interne NIS-2-Betroffenheitsprüfung einmal angestoßen, stellt sich schnell die Frage: Wie geht es weiter, wenn die Checkliste eine mögliche Relevanz zeigt? Typischerweise folgen dann drei Schritte:

1. Vertiefte Einordnung von Sektor und Einstufung
   Auf Basis der Richtlinie und der nationalen Umsetzung (z. B. in Deutschland im BSIG) wird geprüft, ob Ihr Unternehmen in einem der aufgelisteten Sektoren geführt wird und welche Kategorie („wichtig“ oder „wesentlich“) naheliegt.
2. Abgleich mit bestehenden Strukturen
   Viele Organisationen verfügen bereits über Elemente eines Informationssicherheitsmanagements – etwa auf Basis von ISO 27001, TISAX oder internen Standards. Diese sollten systematisch mit den Anforderungen von NIS-2 abgeglichen werden, um Doppelarbeit zu vermeiden.
3. Entscheidungsvorlage für die Geschäftsleitung
   Am Ende steht eine klare Empfehlung: Gilt das Unternehmen als von NIS-2 erfasst? Welche Pflichten sind damit verbunden? Und welcher Zeit- und Ressourcenbedarf ist realistisch, um die Anforderungen schrittweise umzusetzen?

Wichtig ist: Eine Betroffenheitsprüfung ist kein Papier für die Schublade. Sie ist Grundlage für strategische Entscheidungen der Geschäftsleitung – und damit auch ein Instrument, um Cybersicherheit bewusst als Managementaufgabe zu verankern.

Wir unterstützen Sie von der Bestandsaufnahme, über Assessment bis zur weiteren Beratung zur Umsetzung der NIS-2 Vorgaben. Mehr informationen finden Sie hier.

Viele Organisationen neigen dazu, regulative Themen hinauszuschieben – in der Hoffnung, dass sich die Lage noch „irgendwie“ klärt. Im Fall von NIS-2 kann das teuer werden. Denn:

• Fristen laufen, sobald die nationale Umsetzung greift.
• Bußgelder und Haftungsrisiken treffen ausdrücklich auch Mitglieder der Leitungsorgane.
• Markterwartungen steigen, weil Kundinnen und Kunden von ihren Dienstleistern zunehmend nachweisbare Cybersicherheitsstandards verlangen.

Wer früh mit einer NIS-2-Betroffenheitsprüfung startet, verschafft sich drei entscheidende Vorteile:

1. Planungssicherheit – Sie wissen, was auf Ihr Unternehmen zukommt.
2. Priorisierung – Sie können Maßnahmen und Budgets gezielt ausrichten.
3. Verhandlungsspielraum – Sie sind gegenüber Kunden, Aufsichtsbehörden und Partnern auskunftsfähig und können Ihre Rolle in der Lieferkette aktiv gestalten.

NIS-2 verändert die Spielregeln der Cybersicherheit in Europa. Die Frage ist nicht, ob die Richtlinie kommt, sondern ob Ihr Unternehmen vorbereitet ist, wenn es ernst wird.

Eine strukturierte NIS-2-Betroffenheitsprüfung hilft Ihnen, den eigenen Status realistisch einzuschätzen – gerade dann, wenn Sie sich als mittelständisches Unternehmen bislang nicht im Zentrum von Regulierung gesehen haben.

Indem Sie Sektor, Rolle in der Lieferkette, Unternehmensgröße und kritische Abhängigkeiten systematisch durchgehen, schaffen Sie die Grundlage für fundierte Entscheidungen. Und Sie stellen sicher, dass NIS-2 nicht als Bedrohung, sondern als Chance verstanden wird: als Anlass, Informationssicherheit und digitale Souveränität auf ein Niveau zu heben, das Ihrem tatsächlichen Risiko entspricht – und das Vertrauen Ihrer Kundschaft stärkt.

Für weitere Informationen und Unterstützung sprechen Sie uns gern an.