NIS2-Betroffenheits-Check

NIS2 betrifft Unternehmen aus 18 definierten Sektoren (Anhang I und II der Richtlinie), die bestimmte Größenkriterien erreichen — in der Regel ab 50 Mitarbeitenden oder mehr als 10 Mio. EUR Jahresumsatz bzw. Bilanzsumme. Unterschieden wird zwischen „besonders wichtigen" und „wichtigen" Einrichtungen. Einige Anbieter (z. B. digitale Infrastruktur, Managed-Service-Provider) und KRITIS-Betreiber fallen unabhängig von der Größe darunter. In Deutschland sind rund 29.500 Unternehmen betroffen.

Bei besonders wichtigen Einrichtungen drohen Bußgelder bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes, bei wichtigen Einrichtungen bis zu 7 Mio. EUR oder 1,4 %. Neu ist die persönliche Haftung der Geschäftsleitung: Sie muss die Risikomanagement-Maßnahmen billigen und überwachen — diese Pflicht lässt sich nicht vollständig delegieren.

NIS2 ist über das NIS2-Umsetzungsgesetz seit Dezember 2025 in Deutschland in Kraft. Betroffene Unternehmen müssen die Anforderungen bereits erfüllen — es gibt keine mehrjährige Übergangsfrist mehr. Wer noch nicht begonnen hat, sollte zügig mit einer Gap-Analyse starten.

Das hängt vom Ausgangszustand ab. Wer bereits ein Informationssicherheits-Managementsystem (ISMS) oder eine ISO-27001-Basis hat, kommt mit überschaubarem Aufwand aus. Fängt man bei null an, ist es ein mehrmonatiges Projekt. Der pragmatischste Einstieg ist ein risikobasierter, an ISO 27001 angelehnter Ansatz, der die NIS2-Mindestmaßnahmen abdeckt, statt parallele Strukturen aufzubauen.

NIS2 schreibt kein ISMS oder keine Zertifizierung wörtlich vor, fordert aber ein systematisches Risikomanagement, Meldeprozesse, Business Continuity und Lieferketten-Sicherheit. Ein ISMS nach ISO 27001 ist der erprobte Rahmen, um genau diese Anforderungen strukturiert und nachweisbar zu erfüllen — und spart gegenüber Einzelmaßnahmen langfristig Aufwand.