Sind Sie von der NIS‒2‒Richtlinie betroffen?
Achtung: Über 20.000 deutsche Unternehmen werden zu besonders wichtigen oder wichtigen Einrichtungen
Kostenlose Betroffenheitsanalyse nach deutschem Umsetzungsgesetz 2025
Schritt 1 von 5
20%
Besondere Einrichtungen
Prüfen Sie, ob eine dieser Beschreibungen auf Ihr Unternehmen zutrifft
Warum unser NIS‒2 Compliance Checker?
Professionelle Betroffenheitsanalyse basierend auf dem deutschen NIS-2-Umsetzungsgesetz (Stand Juni 2025)
Deutsche Rechtslage
Basiert auf dem aktuellen Referentenentwurf des deutschen NIS-2-Umsetzungsgesetzes vom 23.06.2025. Keine veralteten EU-Informationen.
Korrekte Kategorien
Unterscheidung zwischen "besonders wichtigen Einrichtungen" (Anlage 1) und "wichtigen Einrichtungen" (Anlage 2) nach deutschem Recht.
EU-Größenkriterien
Präzise Anwendung der EU-Größenschwellen: ≥ 50 Mitarbeiter ODER ≥ 10 Mio. EUR Jahresumsatz/Bilanzsumme.
Korrekte Bußgelder
Aktuelle Bußgeldrahmen: bis 10 Mio. EUR oder 2% für besonders wichtige, bis 7 Mio. EUR oder 1,4% für wichtige Einrichtungen.
Öffentliche Einrichtungen
Berücksichtigt Sonderregelungen für Bundesverwaltung und Ausnahmen für Landes-/Kommunalunternehmen.
Schnell & Kostenlos
Sofortige Analyse in 60 Sekunden ohne Registrierung. Detaillierte Einschätzung mit konkreten Handlungsempfehlungen.
NIS‒2 Deutschland in Zahlen
Die Dimension des deutschen Umsetzungsgesetzes
20.000+
Neue betroffene deutsche Unternehmen (geschätzt)
10.000.000 €
Bußgeld besonders wichtige Einrichtungen
24h
Erste Meldefrist bei Sicherheitsvorfällen
NIS‒2‒Richtlinie Deutschland: Das müssen Sie wissen
Was ist die NIS-2-Richtlinie und wie wird sie in Deutschland umgesetzt?
Die NIS-2-Richtlinie (Network and Information Security Directive 2) ist das zentrale EU-Gesetz zur Cybersicherheit, das die Cybersicherheitsanforderungen für kritische Infrastrukturen und wichtige Dienste in der Europäischen Union verschärft. In Deutschland wird die NIS-2-Richtlinie durch das NIS-2-Umsetzungsgesetz in nationales Recht überführt, wobei der aktuelle Referentenentwurf vom 23. Juni 2025 die Grundlage bildet.
Das deutsche NIS-2-Umsetzungsgesetz unterscheidet klar zwischen "besonders wichtigen Einrichtungen" (Anlage 1) und "wichtigen Einrichtungen" (Anlage 2). Diese Kategorisierung bestimmt maßgeblich die Compliance-Anforderungen und Bußgeldrahmen für deutsche Unternehmen. Während die ursprüngliche NIS-Direktive von 2016 nur wenige Tausend Unternehmen erfasste, erweitert NIS-2 den Anwendungsbereich erheblich.
Welche Unternehmen sind von NIS-2 in Deutschland betroffen?
Die NIS-2-Betroffenheit in Deutschland richtet sich nach drei Hauptkriterien: Sektor, Unternehmensgröße und geografische Reichweite der Dienstleistungen. Unternehmen gelten als betroffen, wenn sie in einem der in Anlage 1 oder 2 aufgeführten Sektoren tätig sind, die EU-Größenschwellen überschreiten und Dienstleistungen in der EU erbringen.
Größenkriterien nach EU-Definition: Ein Unternehmen ist betroffen, wenn es 50 oder mehr Mitarbeiter beschäftigt ODER einen Jahresumsatz bzw. eine Jahresbilanzsumme von 10 Millionen Euro oder mehr aufweist. Diese Schwellenwerte gelten für das gesamte Unternehmensverbund, nicht nur für deutsche Tochtergesellschaften.
Sektorale Abdeckung: Die besonders wichtigen Einrichtungen umfassen kritische Bereiche wie Energie, Verkehr, Finanzwesen, Gesundheitswesen, Wasserversorgung, digitale Infrastruktur und Weltraum. Wichtige Einrichtungen betreffen Post- und Kurierdienste, Abfallwirtschaft, chemische Stoffe, Lebensmittelproduktion, Herstellung kritischer Erzeugnisse und Forschungsorganisationen.
NIS-2 Compliance-Anforderungen: Risikomanagement und Meldepflichten
Das deutsche NIS-2-Umsetzungsgesetz verlangt von betroffenen Unternehmen die Implementierung umfassender Cybersicherheitsmaßnahmen. § 30 des Gesetzes definiert konkrete Risikomanagementmaßnahmen, die besonders wichtige Einrichtungen und wichtige Einrichtungen ergreifen müssen.
Zentrale Compliance-Pflichten umfassen: Regelmäßige Risikobewertungen, Implementierung von Sicherheitsrichtlinien, Incident-Response-Verfahren, Backup-Strategien, Kryptografie-Maßnahmen, Multi-Faktor-Authentifizierung, Zugangskontrollen und Supply-Chain-Security. Die Maßnahmen müssen verhältnismäßig zur Größe der Einrichtung und dem Risikoprofil sein.
Meldepflichten bei Sicherheitsvorfällen: Betroffene Unternehmen müssen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) Sicherheitsvorfälle innerhalb von 24 Stunden (Frühwarnung) und 72 Stunden (detaillierte Meldung) melden. Eine abschließende Meldung erfolgt nach Bearbeitung des Vorfalls.
Bußgelder und Sanktionen bei NIS-2-Verstößen
Das deutsche NIS-2-Umsetzungsgesetz sieht erhebliche Bußgeldrahmen vor, die sich nach der Kategorisierung des Unternehmens richten. Diese Sanktionen gehören zu den höchsten im deutschen Compliance-Recht und unterstreichen die Bedeutung der Cybersicherheit.
Besonders wichtige Einrichtungen können mit Bußgeldern von bis zu 10 Millionen Euro oder 2 Prozent des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres belegt werden - je nachdem, welcher Betrag höher ist. Wichtige Einrichtungen drohen Bußgelder von bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes.
Zusätzlich zu den Geldstrafen können Aufsichtsbehörden weitere Maßnahmen anordnen, wie die Durchführung von Sicherheitsaudits, die Implementierung spezifischer Sicherheitsmaßnahmen oder sogar temporäre Betriebsuntersagungen bei schwerwiegenden Verstößen.
Registrierung und Aufsichtsbehörden
Betroffene Unternehmen müssen sich binnen drei Monaten nach Inkrafttreten der Bestimmungen oder nach Erreichen der Schwellenwerte beim BSI registrieren. Diese Registrierungspflicht ist ein zentraler Baustein der deutschen NIS-2-Umsetzung und ermöglicht den Behörden eine systematische Überwachung der Compliance.
Zuständige Aufsichtsbehörden: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fungiert als zentrale Aufsichtsbehörde für die meisten Sektoren. Für Telekommunikation und bestimmte Energiesektoren ist die Bundesnetzagentur (BNetzA) zuständig. Sektorspezifische Behörden können zusätzliche Aufsichtskompetenzen haben.
Sonderregelungen für öffentliche Einrichtungen
Das deutsche NIS-2-Umsetzungsgesetz enthält spezielle Bestimmungen für öffentliche Einrichtungen. Einrichtungen der Bundesverwaltung (§ 29) unterliegen automatisch den Regelungen für besonders wichtige Einrichtungen, unabhängig von ihrer Größe oder ihrem Sektor.
Landes- und Kommunaleinrichtungen können unter bestimmten Umständen nach § 28 Absatz 9 ausgenommen werden, wenn sie ausschließlich Leistungen für Verwaltungen erbringen und durch vergleichbare landesrechtliche Vorschriften reguliert werden. Diese Öffnungsklausel ermöglicht den Ländern, eigene NIS-2-konforme Regelungen zu schaffen.
Was Sie nach dem NIS‒2‒Check erhalten
Rechtliche Einordnung
Eindeutige Klassifizierung als "besonders wichtige" oder "wichtige Einrichtung" nach deutschem Umsetzungsgesetz
Spezifische Pflichten
Übersicht der konkreten Risikomanagement-, Melde- und Registrierungspflichten für Ihre Kategorie
Bußgeldrisiko
Konkrete Einschätzung der maximalen Bußgelder und Compliance-Risiken für Ihr Unternehmen
Aufsichtsbehörde
Information über die zuständige Aufsichtsbehörde (BSI, BNetzA oder andere)
Nächste Schritte
Konkrete Handlungsempfehlungen und Umsetzungsfristen basierend auf dem deutschen Umsetzungsgesetz
Registrierungspflicht
Information über die Registrierungspflicht beim BSI binnen 3 Monaten nach Inkrafttreten
Häufige Fragen zu NIS‒2 Deutschland
Wann tritt das deutsche NIS-2-Umsetzungsgesetz in Kraft?
Das deutsche NIS-2-Umsetzungsgesetz befindet sich noch im Gesetzgebungsverfahren. Der Referentenentwurf vom 23. Juni 2025 zeigt die geplanten Bestimmungen. Die EU-Mitgliedstaaten hatten bis Oktober 2024 Zeit für die Umsetzung, Deutschland nutzt die verfügbaren Übergangsfristen.
Unterschied zwischen besonders wichtigen und wichtigen Einrichtungen?
Besonders wichtige Einrichtungen (Anlage 1) umfassen kritischere Sektoren wie Energie, Verkehr und Finanzwesen mit höheren Bußgeldrahmen (bis 10 Mio. EUR). Wichtige Einrichtungen (Anlage 2) betreffen Bereiche wie Post, Abfall und Chemie mit niedrigeren Bußgeldern (bis 7 Mio. EUR).
Wie wird die Unternehmensgröße bei Konzernen bewertet?
Die EU-Größenkriterien (50+ Mitarbeiter oder 10+ Mio. EUR Umsatz/Bilanzsumme) gelten für das gesamte Unternehmensverbund. Deutsche Tochtergesellschaften großer internationaler Konzerne sind daher meist betroffen, auch wenn die lokale Niederlassung klein ist.
Welche Strafen drohen bei NIS-2-Verstößen?
Neben Bußgeldern können Aufsichtsbehörden Compliance-Anordnungen, Sicherheitsaudits und bei schweren Verstößen sogar temporäre Betriebsuntersagungen verhängen. Geschäftsführer können persönlich haftbar gemacht werden (§ 38).
Wo kann ich mich bei NIS-2-Fragen beraten lassen?
Das BSI bietet Orientierungshilfen und Leitfäden. Für rechtssichere Bewertung empfiehlt sich die Beratung durch spezialisierte Anwaltskanzleien oder Compliance-Berater mit NIS-2-Expertise. Branchenverbände bieten oft sektorspezifische Hilfestellungen.
