Fallen Sie unter NIS2? Der NIS2UmsG-Schwellenwert-Test
Ein praxiserprobter Schwellenwert-Test für den NIS2-Anwendungsbereich nach dem NIS2UmsG — Sektoren, Größenkriterien und die Frage, ob Sie wichtige Einrichtung sind.
Seit das NIS2UmsG in Kraft ist, hören wir eine Frage häufiger als jede andere — und sie klingt trügerisch einfach: „Fallen wir überhaupt darunter?" Die Antwort hat enormes Gewicht. Sie entscheidet zwischen einer aufsichtsrechtlichen Pflicht mit Bußgeldern bis zu 10 Mio. EUR und persönlicher Haftung der Geschäftsleitung einerseits und einer rein vertraglichen Pflicht andererseits, die Sie mit Kunden aushandeln. Dieser Beitrag liefert den Schwellenwert-Test, den wir mit Mandanten anwenden — geschrieben für Menschen, die die Einstufung treffen und später verteidigen müssen.
Das Wichtigste in Kürze
- Der NIS2-Anwendungsbereich in Deutschland ergibt sich aus zwei gemeinsam anzuwendenden Prüfungen: dem Sektortest und dem Größentest. Beide müssen zutreffen, um als wichtige Einrichtung direkt betroffen zu sein.
- Das NIS2UmsG gilt seit dem 6. Dezember 2025 ohne Übergangsfrist. Das BSI-Portal wurde am 6. Januar 2026 geöffnet, die Frist endete am 6. März 2026 — eine verspätete Registrierung bleibt verpflichtend.
- Wichtige Einrichtungen: ab 50 Beschäftigten oder >10 Mio. EUR Umsatz. Besonders wichtige Einrichtungen: ab 250 Beschäftigten oder >50 Mio. EUR Umsatz und >43 Mio. EUR Bilanzsumme — mit proaktiver Aufsicht und höherer Bußgeldobergrenze.
- Die Schwellenwerte werden über verbundene und Partnerunternehmen hinweg gezählt; kleine deutsche Töchter großer Konzerne sind deshalb oft betroffen.
- Die Selbsteinstufung ist Ihre Pflicht. Das BSI genehmigt sie nicht vorab. Dokumentieren Sie die Analyse — Bußgelder erreichen 10 Mio. EUR oder 2 % des weltweiten Umsatzes, und die Geschäftsleitung haftet persönlich.
Warum die Einstufungsfrage schwieriger ist, als sie aussieht
Die ursprüngliche NIS-Richtlinie galt für einen vergleichsweise engen Kreis von Betreibern wesentlicher Dienste, die nationale Behörden einzeln benannten. NIS2 hat dieses Modell umgekehrt. Statt auf eine Benennung zu warten, müssen Organisationen sich heute anhand objektiver Kriterien selbst einstufen und registrieren. Die deutsche Umsetzung — das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsG) — folgt dieser Logik konsequent und verzichtet auf eine Schonfrist.
Genau dieser Wechsel macht die Einstufung zu einer echten technisch-juristischen Übung statt zu einer Formalie. Wir haben mehrere mittelständische Mandanten aus Industrie und digitaler Infrastruktur durch diese Analyse begleitet, und die wiederkehrende Lehre ist stets dieselbe: Wer sich für nicht betroffen hält, ist es oft doch — meist wegen der Konzernstruktur oder einer Sektoranlage, die nicht genau gelesen wurde.
Schritt 1 — Der Sektortest
NIS2 ist zuerst sektorbezogen. Erscheint Ihre Tätigkeit nicht in den Anlagen, sind die Größenschwellen irrelevant. Das NIS2UmsG spiegelt das zweistufige Sektormodell der Richtlinie:
| Sektorstufe | Beispiele | Typische Einstufung |
|---|---|---|
| Sektoren mit hoher Kritikalität (Anlage 1) | Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheit, Trink- und Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B), öffentliche Verwaltung, Weltraum | Meist besonders wichtig, sofern groß genug |
| Sonstige kritische Sektoren (Anlage 2) | Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe (inkl. Medizinprodukte, Maschinen, Fahrzeuge), digitale Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke), Forschung | Meist wichtig |
Zwei Fallstricke treten immer wieder auf. Erstens erfassen „digitale Infrastruktur" und „Verwaltung von IKT-Diensten" Cloud-Anbieter, Rechenzentrumsbetreiber, Managed-Service-Provider und MSSPs — viele davon halten sich für gewöhnliche B2B-Softwarehäuser. Zweitens ist das verarbeitende Gewerbe weit umfassender als Schwerindustrie; Hersteller von Maschinen, Fahrzeugen, Elektronik und Medizinprodukten fallen klar unter Anlage 2.
Steht Ihre Tätigkeit in keiner der Anlagen, sind Sie nicht direkt betroffen — lesen Sie aber Schritt 4, bevor Sie die Akte schließen.
Schritt 2 — Der Größentest
Liegt eine Sektorübereinstimmung vor, wenden Sie die Größenschwellen an. NIS2 nutzt die Mechanik der KMU-Definition der EU — und hier werden zwei Dinge regelmäßig falsch gemacht.
- Für die untere Stufe sind die Kriterien Alternativen, nicht kumulativ: 50 Beschäftigte oder 10 Mio. EUR Umsatz genügen.
- Beschäftigtenzahl und Umsatz werden einschließlich verbundener und Partnerunternehmen ermittelt, nicht für die deutsche GmbH allein.
| Einstufung | Beschäftigte | Umsatz | Bilanzsumme |
|---|---|---|---|
| Nicht betroffen (Kleinst-/Kleinunternehmen, allein nach Größe) | < 50 | <= 10 Mio. EUR | — |
| Wichtige Einrichtung | >= 50 | > 10 Mio. EUR | — |
| Besonders wichtige Einrichtung | >= 250 | > 50 Mio. EUR | und > 43 Mio. EUR |
Hier wird die „kleine" deutsche Tochter eines größeren europäischen Konzerns häufig hineingezogen. Sind Mutter und Schwestergesellschaften verbundene Unternehmen, fließen deren Zahlen in die Bewertung ein. Wir haben Mandanten mit 40 deutschen Beschäftigten gesehen, die nach korrekter Konzernbetrachtung eindeutig im Anwendungsbereich lagen. Führen Sie diese Berechnung bewusst durch und halten Sie sie schriftlich fest.
Schritt 3 — Einstufung: wichtig oder besonders wichtig
Die Unterscheidung ist nicht kosmetisch. Besonders wichtige Einrichtungen unterliegen der proaktiven Aufsicht des BSI (Audits und Prüfungen, auch ohne auslösenden Vorfall), während wichtige Einrichtungen grundsätzlich der reaktiven Aufsicht unterliegen (die Behörde wird bei Anlass tätig). Beide müssen denselben gesetzlichen Grundstock an Risikomanagementmaßnahmen umsetzen und dieselbe Meldefrist einhalten, doch Aufsichtsintensität und maximale Bußgeldobergrenze unterscheiden sich.
In jedem Fall sind die operativen Pflichten anspruchsvoll. Die Meldefrist — 24-Stunden-Frühwarnung, 72-Stunden-Meldung, Abschlussbericht binnen eines Monats — gilt für erhebliche Sicherheitsvorfälle unabhängig von der Stufe. Wenn Sie prüfen, ob Ihre Detektions- und Eskalationswerkzeuge diese Fenster tatsächlich einhalten, beschreiben wir die Mechanik in unserem NIS2-Runbook zur 24/72-Stunden-Meldung.
Schritt 4 — Sonderbenennungen, die die Größe aushebeln
Einige Kategorien fallen unabhängig von Beschäftigtenzahl oder Umsatz in den Anwendungsbereich. Überspringen Sie diesen Schritt nicht nur, weil Sie unter den KMU-Schwellen liegen. Dazu zählen unter anderem:
- Qualifizierte und bestimmte nicht qualifizierte Vertrauensdiensteanbieter
- Registries für Top-Level-Domains und DNS-Diensteanbieter
- Anbieter öffentlicher elektronischer Kommunikationsnetze oder -dienste (nach den einschlägigen TK-Regeln)
- Einrichtungen, die in einem Mitgliedstaat der alleinige Anbieter eines für die Gesellschaft oder Wirtschaft wesentlichen Dienstes sind
- Von der zuständigen Behörde einzeln benannte Einrichtungen oder solche, die unter sektorspezifische deutsche Regeln fallen (z. B. bestehende KRITIS-Betreiber mit zusätzlichen oder strengeren Pflichten)
Trifft eines davon auf Sie zu, erübrigt sich der Größentest — Sie sind betroffen.
Ein Entscheidungsablauf, den Sie wirklich nutzen können
Führen Sie den Test in dieser Reihenfolge durch und halten Sie bei der ersten eindeutigen Antwort an:
- Sonderbenennung? Wenn ja → betroffen. Weiter zur Registrierung.
- Sektorübereinstimmung in Anlage 1 oder 2? Wenn nein → nicht direkt betroffen (siehe Hinweis zur Lieferkette). Wenn ja → weiter.
- Größenschwellen erfüllt (mit verbundenen/Partnerunternehmen)? Wenn nein → nicht direkt betroffen. Wenn ja → weiter.
- Welche Stufe? Ab 250 Beschäftigten oder >50 Mio. EUR Umsatz und >43 Mio. EUR Bilanzsumme → besonders wichtig. Sonst → wichtig.
- Beim BSI registrieren und Ihre Bereichsanalyse als Nachweis aufbewahren.
„Wir liegen unter den Schwellen" ist nicht das Ende der Geschichte
Selbst ein sauberes Ergebnis außerhalb des Anwendungsbereichs bedeutet selten, dass Sie NIS2 ignorieren können. Betroffene Einrichtungen tragen eine ausdrückliche Pflicht zur Sicherheit der Lieferkette, die sie erfüllen, indem sie Anforderungen an Lieferanten weitergeben. Praktisch heißt das: Ihre betroffenen Kunden senden Ihnen Sicherheitsfragebögen, verlangen Auditrechte, vertragliche Meldeklauseln und Nachweispflichten zu Ihren Maßnahmen. Die Regulierung erreicht Sie über den Einkauf lange bevor eine Behörde es tut.
Unser durchgängiger Rat: Wenn Sie an regulierte Sektoren verkaufen, bauen Sie die Fähigkeit jetzt auf. Nachweisbar vorbereitet zu sein kostet weit weniger, als eine Ausschreibung zu verlieren, weil Sie eine Lieferantenabfrage nicht beantworten können. Eine pragmatische Grundlage — gehärtete Identitäten, Segmentierung, Protokollierung und ein Vorfallsprozess — ist genau das Zero-Trust-Fundament, das sowohl die NIS2-Erwartungen an das Risikomanagement als auch die Sorgfaltsprüfung der Kunden erfüllt.
Was Betroffenheit konkret von Ihnen verlangt
Die Einstufung ist der Anfang, nicht das Ende. Eine betroffene Einrichtung muss:
- sich über das Portal beim BSI registrieren und die Registrierungsdaten aktuell halten. Die Schritt-für-Schritt-Anleitung finden Sie in unserer Anleitung zur BSI-Registrierung.
- Risikomanagementmaßnahmen umsetzen, die dem Risiko angemessen sind — Risikoanalyse, Behandlung von Sicherheitsvorfällen, Aufrechterhaltung des Betriebs, Sicherheit der Lieferkette, sichere Entwicklung und Beschaffung, Kryptografie, Zugriffskontrolle und MFA sowie Asset-Management.
- die Meldefrist für erhebliche Sicherheitsvorfälle einhalten.
- die Überwachung und Billigung der Risikomanagementmaßnahmen durch die Geschäftsleitung sicherstellen. Nach dem NIS2UmsG haftet die Geschäftsleitung persönlich für diese Überwachung — eine Pflicht, die sich nicht vollständig delegieren lässt. Die Governance-Folgen erläutern wir in NIS2 und die Haftung der Geschäftsleitung.
Dokumentieren Sie Ihre Entscheidung
Was immer Sie schlussfolgern: Halten Sie es schriftlich fest. Das BSI segnet Ihre Selbsteinstufung nicht vorab ab — Ihre Verteidigung im Zweifelsfall ist eine datierte, begründete Bereichsanalyse mit Sektorzuordnung, konsolidierten Größenzahlen und Einstufungslogik. Wir liefern dies für jeden Mandanten als kurzes, unterzeichnetes Scoping-Memo; es kostet einen Tag und erspart später viel Diskussion.
Wo wir ins Spiel kommen
Die Einstufung wirkt binär, steckt aber voller Grenzfälle — Konzernkonsolidierung, uneindeutige Sektorzuordnung und Sonderbenennungen, die das naheliegende Ergebnis überschreiben. Wenn Sie eine belastbare Bereichseinstufung und einen pragmatischen Weg zum darunterliegenden Risikomanagement-Grundstock wünschen: Unser Team hat diese Arbeit praktisch für Mandanten aus Industrie und digitaler Infrastruktur geleistet. Werfen Sie einen Blick auf unsere Zero-Trust- und Cybersicherheitsleistungen oder sprechen Sie uns für eine fokussierte Scoping-Prüfung an.
FAQ
Woran erkenne ich, ob mein Unternehmen unter NIS2 fällt?
Führen Sie zwei Prüfungen nacheinander durch. Erstens der Sektor: Ist Ihre Organisation in einem der in den Anlagen des NIS2UmsG aufgeführten Sektoren tätig? Zweitens die Größe: Haben Sie 50 oder mehr Beschäftigte oder mehr als 10 Mio. EUR Jahresumsatz? Wenn beides zutrifft, sind Sie mindestens eine wichtige Einrichtung und müssen sich beim BSI registrieren und die Risikomanagementmaßnahmen umsetzen.
Was unterscheidet eine wichtige von einer besonders wichtigen Einrichtung nach dem NIS2UmsG?
Eine wichtige Einrichtung hat 50 oder mehr Beschäftigte oder mehr als 10 Mio. EUR Umsatz. Eine besonders wichtige Einrichtung ist größer — 250 oder mehr Beschäftigte oder mehr als 50 Mio. EUR Umsatz und mehr als 43 Mio. EUR Bilanzsumme — oder fällt in eine gesondert benannte Kategorie. Besonders wichtige Einrichtungen unterliegen der proaktiven Aufsicht und der höheren Bußgeldobergrenze.
Ab wann gilt das NIS2UmsG und wann war die Registrierungsfrist?
Das deutsche Umsetzungsgesetz (NIS2UmsG) gilt seit dem 6. Dezember 2025 ohne Übergangsfrist. Das BSI-Registrierungsportal wurde am 6. Januar 2026 geöffnet, die Registrierungsfrist endete am 6. März 2026. Wer die Frist versäumt hat, ist weiterhin gesetzlich zur Registrierung verpflichtet und sollte diese unverzüglich nachholen.
Zählen die Schwellenwerte nur für die deutsche Gesellschaft?
Nein. Beschäftigtenzahl und Umsatz werden auf Ebene der Rechtseinheit gemeinsam mit verbundenen und Partnerunternehmen ermittelt, entsprechend der Logik der KMU-Definition der EU. Eine kleine deutsche Tochter eines großen Konzerns kann daher in den Anwendungsbereich fallen, auch wenn die lokale Einheit für sich genommen klein erscheint. Das überrascht viele Konzerne.
Wir liegen unter den Schwellenwerten. Sind wir vollständig ausgenommen?
Möglicherweise von der direkten Registrierung, aber nicht von den praktischen Folgen. Wenn Sie betroffene Einrichtungen beliefern, müssen diese ihre Lieferkette absichern und werden Sicherheitsanforderungen, Auditrechte und Meldeklauseln vertraglich an Sie weitergeben. Manche kleineren Einrichtungen werden zudem unabhängig von der Größe benannt. Behandeln Sie ein Ergebnis unterhalb der Schwelle als Grund, vorbereitet zu sein, nicht als Freibrief.
Was passiert, wenn wir die Einstufung falsch treffen?
Die Selbsteinstufung ist Pflicht der Organisation; das BSI genehmigt Ihre Entscheidung nicht vorab. Eine zu enge Einstufung bedeutet versäumte Registrierungs-, Melde- und Risikomanagementpflichten — mit Bußgeldern bis zu 10 Mio. EUR oder 2 % des weltweiten Umsatzes und persönlicher Haftung der Geschäftsleitung. Dokumentieren Sie Ihre Analyse, damit Sie sie verteidigen können.
Themen