NIS2-Checkliste: Ist Ihr Unternehmen betroffen?

Mit dieser Checkliste prüfen Sie in wenigen Schritten, ob Ihr Unternehmen unter NIS2 fällt — Sektoren, Größenkriterien, Sonderfälle und Lieferketten-Betroffenheit.

Cybersecurity
12. Mai 2026
10 Min. Lesezeit

Seit Dezember 2025 ist NIS2 in Deutschland in Kraft — und anders als früher gibt es keinen Behördenbescheid, der Ihnen mitteilt, ob Sie betroffen sind. Die Pflicht zur Selbstidentifikation liegt vollständig beim Unternehmen. Wer fälschlich annimmt, „zu klein" oder „nicht im richtigen Sektor" zu sein, riskiert Versäumnisse mit erheblichen Konsequenzen, bis hin zur persönlichen Haftung der Geschäftsleitung.

Diese Checkliste hilft Ihnen, in wenigen strukturierten Schritten festzustellen, ob Sie NIS2 betroffen sind. Sie prüfen nacheinander Sektor, Größenkriterien, Sonderfälle und Ihre Rolle in fremden Lieferketten — und wissen am Ende, woran Sie sind. Für einen vollständigen Überblick über Pflichten und Sofort-Schritte verweisen wir auf unseren ausführlichen Leitfaden NIS2 in Deutschland: Was Unternehmen jetzt tun müssen.

Lieber interaktiv?
Der NIS2-Betroffenheits-Check führt Sie in rund zwei Minuten durch dieselben Kriterien und zeigt Ihnen sofort, ob und wie Ihr Unternehmen betroffen ist — kostenlos und ohne Anmeldung.

So funktioniert die Selbsteinschätzung

NIS2-Betroffenheit ergibt sich aus dem Zusammenspiel zweier Kriterien: Ihr Unternehmen muss in einem der erfassten Sektoren tätig sein und bestimmte Größenschwellen überschreiten. Hinzu kommen Sonderfälle, bei denen die Größe keine Rolle spielt, sowie eine indirekte Betroffenheit über die Lieferkette. Arbeiten Sie die folgenden vier Schritte der Reihe nach durch.

Vorab
Halten Sie das Ergebnis jedes Schritts schriftlich fest — auch eine begründete Nicht-Betroffenheit. Eine dokumentierte Selbsteinschätzung ist im Zweifel Ihr wichtigster Nachweis gegenüber der Aufsichtsbehörde.

Schritt 1: Sind Sie in einem erfassten Sektor tätig?

NIS2 erfasst 18 Sektoren, aufgeteilt in „Sektoren mit hoher Kritikalität" (Anhang I) und „sonstige kritische Sektoren" (Anhang II). Prüfen Sie, ob Ihre Haupttätigkeit in eine dieser Listen fällt.

Anhang I — Sektoren mit hoher Kritikalität

  • Energie (Strom, Gas, Öl, Fernwärme, Wasserstoff)
  • Verkehr (Luft, Schiene, Wasser, Straße)
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur (Rechenzentren, Cloud-Anbieter, DNS, TLD-Registries, Content Delivery, Internetknoten)
  • Verwaltung von IKT-Diensten (Managed Service Provider, Managed Security Service Provider)
  • Öffentliche Verwaltung
  • Weltraum

Anhang II — Sonstige kritische Sektoren

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Chemie (Produktion und Handel mit Stoffen)
  • Lebensmittel (Produktion, Verarbeitung, Vertrieb)
  • Verarbeitendes Gewerbe / Herstellung — u.a. Medizinprodukte, Datenverarbeitungsgeräte, elektronische und optische Erzeugnisse, elektrische Ausrüstungen, Maschinenbau, Kraftfahrzeuge und sonstiger Fahrzeugbau
  • Anbieter digitaler Dienste (Online-Marktplätze, Online-Suchmaschinen, Plattformen sozialer Netzwerke)
  • Forschung

Prüffrage: Fällt Ihre wirtschaftliche Haupttätigkeit unter einen dieser Punkte?

  • Nein: Gehen Sie direkt zu Schritt 3 (Sonderfälle) und Schritt 4 (Lieferkette) — eine indirekte Betroffenheit ist auch ohne eigenen Sektor möglich.
  • Ja: Weiter mit Schritt 2.

Achten Sie besonders auf das verarbeitende Gewerbe: Hier werden viele klassische Mittelständler erfasst — vom Maschinenbauer über den Automobilzulieferer bis zum Hersteller elektronischer Geräte —, die sich bislang nicht als reguliert verstanden haben.

Schritt 2: Überschreiten Sie die Größenkriterien?

Wenn Sie in einem erfassten Sektor tätig sind, entscheidet die Unternehmensgröße über Betroffenheit und Einstufung. Maßgeblich sind Mitarbeiterzahl, Jahresumsatz und Bilanzsumme.

Die Schwellenwerte

  • Wichtige Einrichtung (important entity): ab 50 Mitarbeitenden ODER mehr als 10 Mio. EUR Jahresumsatz UND mehr als 10 Mio. EUR Bilanzsumme.
  • Wesentliche Einrichtung (essential entity): ab 250 Mitarbeitenden ODER mehr als 50 Mio. EUR Jahresumsatz UND mehr als 43 Mio. EUR Bilanzsumme (in Sektoren mit hoher Kritikalität).

Prüffrage: Erreichen Sie mindestens 50 Mitarbeitende oder überschreiten Sie die Umsatz- und Bilanzschwellen?

  • Ja, ab 50 MA / >10 Mio. €: Sie sind voraussichtlich mindestens eine wichtige Einrichtung.
  • Ja, ab 250 MA / >50 Mio. € in Anhang-I-Sektor: Sie sind voraussichtlich eine wesentliche Einrichtung mit strengerer Aufsicht.
  • Nein, darunter: Sie sind über die reguläre Größenregel zunächst nicht erfasst — prüfen Sie aber unbedingt die Sonderfälle (Schritt 3) und die Lieferkette (Schritt 4).

Achtung bei der Mitarbeiterzählung
Maßgeblich sind die Schwellenwerte nach EU-Definition für Kleinst-, kleine und mittlere Unternehmen. Bei verbundenen oder Partnerunternehmen (Konzernstrukturen, Beteiligungen) können Beschäftigte und Umsätze anteilig oder vollständig zusammengerechnet werden. Wer mehrere Gesellschaften betreibt, sollte die Konsolidierung genau prüfen — die Schwelle ist schneller erreicht, als es die Einzelgesellschaft vermuten lässt.

Schritt 3: Greift ein Sonderfall?

Einige Einrichtungstypen fallen unabhängig von ihrer Größe unter NIS2 — die 50-Mitarbeitenden-Schwelle gilt für sie nicht. Prüfen Sie, ob einer dieser Sonderfälle auf Sie zutrifft:

  • Qualifizierte Vertrauensdiensteanbieter (z.B. für qualifizierte elektronische Signaturen)
  • TLD-Name-Registries und DNS-Diensteanbieter
  • Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste
  • Bestimmte Teile der öffentlichen Verwaltung
  • Einrichtungen, die alleiniger Anbieter eines für gesellschaftliche oder wirtschaftliche Tätigkeiten kritischen Dienstes in Deutschland sind
  • Einrichtungen, deren Ausfall erhebliche Auswirkungen auf die öffentliche Sicherheit, Ordnung oder Gesundheit hätte

Prüffrage: Trifft einer dieser Punkte auf Sie zu?

  • Ja: Sie sind betroffen — unabhängig von Ihrer Größe.
  • Nein: Weiter mit Schritt 4.

Schritt 4: Sind Sie über die Lieferkette betroffen?

Auch wenn Sie weder direkt über Sektor und Größe noch über einen Sonderfall erfasst sind, kann NIS2 für Sie relevant werden — und zwar als Lieferant oder Dienstleister eines betroffenen Unternehmens. NIS2 verpflichtet betroffene Einrichtungen ausdrücklich, die Sicherheit ihrer Lieferkette zu managen. Das bedeutet: Ihre Kunden werden Sicherheitsanforderungen an Sie weitergeben.

In der Praxis äußert sich das so:

  • Betroffene Kunden verlangen vertraglich zugesicherte Sicherheitsmaßnahmen.
  • Sie müssen Sicherheitsfragebögen ausfüllen oder Nachweise (z.B. ISO-27001-Zertifikat) vorlegen.
  • Ihre Sicherheitsreife wird Teil von Ausschreibungs- und Auswahlkriterien.

Prüffrage: Beliefern Sie Unternehmen aus den NIS2-Sektoren mit kritischen Produkten, Software oder IT-Dienstleistungen?

  • Ja: Sie sind zwar nicht direkt gesetzlich verpflichtet, werden aber faktisch zur Umsetzung von Sicherheitsmaßnahmen gedrängt. Wer hier nicht liefern kann, riskiert Aufträge.
  • Nein: Eine indirekte Betroffenheit ist unwahrscheinlich — eine angemessene Cybersicherheit bleibt dennoch sinnvoll.

Praxis-Tipp
Die Lieferketten-Betroffenheit ist der am häufigsten übersehene Hebel. Viele Mittelständler sind formal nicht erfasst, müssen aber trotzdem ISO-27001-Niveau nachweisen, weil ihre Großkunden es verlangen. Faktische Betroffenheit über die Lieferkette ist oft genauso bindend wie die gesetzliche.

Ihr Ergebnis im Überblick

Werten Sie die vier Schritte zusammen aus:

  • Erfasster Sektor + Größenkriterium erfüllt: Sie sind eine wichtige oder wesentliche Einrichtung und müssen die NIS2-Pflichten umsetzen — Registrierung beim BSI, zehn Mindestmaßnahmen, Meldepflichten, Einbindung der Geschäftsleitung.
  • Sonderfall: Sie sind unabhängig von der Größe betroffen.
  • Nur Lieferketten-Betroffenheit: Keine direkte gesetzliche Pflicht, aber faktischer Handlungsdruck durch Kunden.
  • Kein Kriterium erfüllt: Aktuell nicht betroffen — dokumentieren Sie das Ergebnis und prüfen Sie es bei Wachstum oder Geschäftsänderungen erneut.

Was tun, wenn Sie betroffen sind?

Stellt die Checkliste eine Betroffenheit fest, sollten Sie strukturiert vorgehen, statt in Aktionismus zu verfallen:

  1. Ergebnis dokumentieren: Halten Sie Sektor, Einstufung und Begründung schriftlich fest.
  2. Gap-Analyse durchführen: Vergleichen Sie Ihren Ist-Zustand mit den zehn Mindestmaßnahmen aus Art. 21.
  3. Registrierung vorbereiten: Stellen Sie die für das BSI-Portal nötigen Angaben zusammen und benennen Sie eine Kontaktstelle.
  4. Incident-Response etablieren: Definieren Sie den Prozess für die 24- und 72-Stunden-Meldungen.
  5. Geschäftsleitung einbinden: Bringen Sie die Maßnahmen zur formellen Billigung und planen Sie eine Schulung der Leitungsebene.
  6. ISMS als Rahmen aufbauen: Ein an ISO/IEC 27001 angelehntes ISMS deckt die NIS2-Anforderungen strukturiert ab.

Auch wer „nur" über die Lieferkette betroffen ist, fährt mit denselben Schritten gut — sie schaffen genau die Nachweise, die Kunden zunehmend verlangen.

Wie welabs Sie bei der NIS2-Betroffenheit unterstützt

Die Einstufung ist im Detail komplexer, als eine Checkliste abbilden kann — gerade bei Konzernstrukturen, Mischtätigkeiten oder Grenzfällen. welabs übersetzt Konzern-Erfahrung in klare Antworten für den Mittelstand:

  • Betroffenheitsanalyse: Wir klären rechtssicher Sektor, Größeneinstufung und Sonderfälle und dokumentieren das Ergebnis prüffest.
  • Lieferketten-Bewertung: Wir bewerten, welche Sicherheitsanforderungen Ihre Kunden an Sie stellen werden — und wie Sie ihnen begegnen.
  • Gap-Analyse & Roadmap: Wir leiten aus den zehn Mindestmaßnahmen einen priorisierten, budgetgerechten Fahrplan ab.
  • Umsetzungsbegleitung: Von der Registrierung bis zum ISMS unterstützen wir bei der konkreten Umsetzung.

Mehr zu unserem Leistungsangebot finden Sie auf der Seite Compliance & ISMS. Für eine schnelle, unverbindliche Einordnung Ihrer Situation vereinbaren Sie ein Erstgespräch — wir sagen Ihnen ehrlich, ob und wie Sie betroffen sind.

Fazit

Ob Ihr Unternehmen NIS2 betroffen ist, lässt sich mit einer strukturierten Prüfung von Sektor, Größenkriterien, Sonderfällen und Lieferkette zuverlässig einschätzen. Verlassen Sie sich nicht auf das Bauchgefühl „zu klein" — gerade im verarbeitenden Gewerbe und über die Lieferkette sind weit mehr Mittelständler erfasst, als gemeinhin angenommen wird.

Stellen Sie eine Betroffenheit fest, ist jetzt der richtige Zeitpunkt zu handeln. NIS2 ist in Kraft, und die Pflicht zur Selbstidentifikation liegt bei Ihnen. Wer das Ergebnis sauber dokumentiert und strukturiert in die Umsetzung geht, erfüllt nicht nur die gesetzlichen Anforderungen, sondern macht sein Unternehmen tatsächlich widerstandsfähiger.

Übersicht Alle Beiträge

Ihr Projekt könnte
das nächste sein

Erzählen Sie uns von Ihrer Idee — wir machen daraus Realität.

Projekt besprechen