NIS2 Betroffenheitsprüfung: So erkennen Unternehmen ihre Pflichten und vermeiden Haftungsrisiken

von Jörg Apel


NIS2 Betroffenheitsprüfung: So erkennen Unternehmen ihre Pflichten und vermeiden Haftungsrisiken

Management-Zusammenfassung

Seit Inkrafttreten des deutschen NIS2-Umsetzungsgesetzes und der Anpassungen des BSI-Gesetzes am 6. Dezember 2025 hat sich die Frage der NIS2-Betroffenheit von einer theoretischen Überlegung zu einer konkreten Managementaufgabe entwickelt.

Viele Geschäftsleitungen gehen noch immer davon aus, dass NIS2 nur Betreiber kritischer Infrastrukturen betrifft. Diese Einschätzung ist gefährlich. Tatsächlich wurden die regulatorischen Anforderungen auf zahlreiche Unternehmen des Mittelstands ausgeweitet. Hinzu kommt, dass Unternehmen zunehmend indirekt über Kunden, Lieferanten oder vertragliche Anforderungen betroffen sind.

Besonders kritisch: Die Verantwortung für die Umsetzung liegt nicht allein bei der IT-Abteilung. Das Gesetz adressiert ausdrücklich die Unternehmensleitung. Fehlende oder fehlerhafte Betroffenheitsprüfungen können zu Bußgeldern, behördlichen Maßnahmen, Reputationsschäden und persönlicher Haftung führen.

Für Geschäftsleitungen ergibt sich daraus eine klare Priorität: Die eigene Betroffenheit muss zeitnah, nachvollziehbar und dokumentiert bewertet werden. Erst danach können angemessene organisatorische und technische Maßnahmen geplant werden.

Warum das Thema jetzt wichtig ist

Die meisten Unternehmen wissen inzwischen, dass NIS2 existiert. Deutlich weniger Unternehmen wissen jedoch mit Sicherheit, ob sie tatsächlich unter die gesetzlichen Anforderungen fallen.

Genau hier entsteht derzeit das größte Risiko.

In zahlreichen Organisationen wird die Betroffenheit ausschließlich anhand der Mitarbeiterzahl bewertet. Andere verlassen sich auf die Annahme, dass sie keine kritische Infrastruktur betreiben und deshalb nicht betroffen seien. Beide Schlussfolgerungen können falsch sein.

Die neue Gesetzgebung verfolgt einen deutlich breiteren Ansatz. Neben klassischen kritischen Infrastrukturen werden nun zahlreiche Unternehmen aus wichtigen und besonders wichtigen Sektoren erfasst. Dazu gehören unter anderem Unternehmen aus den Bereichen Energie, Transport, Gesundheitswesen, digitale Infrastruktur, IT-Dienstleistungen, öffentliche Verwaltung, Herstellung bestimmter Produkte sowie weitere wirtschaftlich relevante Branchen.

Für die Geschäftsleitung bedeutet dies eine neue Form regulatorischer Verantwortung. Die Betroffenheitsprüfung wird zur Grundlage sämtlicher weiterer Compliance- und Sicherheitsmaßnahmen.

Wer die eigene Betroffenheit nicht kennt, kann weder angemessene Sicherheitsmaßnahmen umsetzen noch regulatorische Pflichten erfüllen.

Die entscheidende Frage: Bin ich überhaupt betroffen?

Die erste Orientierung erfolgt über zwei Kriterien:

  • Zugehörigkeit zu einem relevanten Sektor

  • Erreichen bestimmter Unternehmensgrößen

In vielen Fällen gelten Unternehmen als betroffen, wenn sie mindestens 50 Mitarbeitende beschäftigen oder einen Jahresumsatz beziehungsweise eine Jahresbilanzsumme von mehr als 10 Millionen Euro erreichen.

Diese Schwellenwerte sind jedoch lediglich der Einstieg in die Prüfung.

Warum die Mitarbeiterzahl allein nicht ausreicht

Eine der häufigsten Fehleinschätzungen besteht darin, die Betroffenheitsprüfung auf die Mitarbeiterzahl zu reduzieren.

Tatsächlich enthält das Gesetz zahlreiche Sonderregelungen und Ausnahmen.

Beispielsweise können betroffen sein:

  • Unternehmen mit besonderer Bedeutung für die Versorgungssicherheit

  • Anbieter digitaler Dienste

  • Betreiber kritischer Einrichtungen

  • bestimmte öffentliche Einrichtungen

  • Unternehmen innerhalb komplexer Konzernstrukturen

  • Tochtergesellschaften mit sicherheitsrelevanten Aufgaben

Insbesondere verbundene Unternehmen müssen häufig die Gesamtgröße des Unternehmensverbundes berücksichtigen. Dadurch können auch Tochtergesellschaften betroffen sein, die isoliert betrachtet unterhalb der Schwellenwerte liegen würden.

Für Geschäftsleitungen bedeutet dies: Eine vereinfachte Selbsteinschätzung reicht nicht aus. Die Betroffenheit sollte systematisch und nachvollziehbar bewertet werden.

Direkte und indirekte Betroffenheit

Ein weiterer Management-Irrtum besteht in der Annahme, dass nur gesetzlich regulierte Unternehmen handeln müssen.

In der Praxis beobachten viele Unternehmen bereits heute einen erheblichen Druck aus ihren Lieferketten.

Große Kunden verlangen zunehmend:

  • Nachweise zur Informationssicherheit

  • Sicherheitsrichtlinien

  • Risikobewertungen

  • Lieferantenbewertungen

  • Auditnachweise

  • Informationssicherheitsmanagementsysteme

Dadurch entstehen faktisch NIS2-Anforderungen entlang der gesamten Lieferkette.

Ein mittelständischer IT-Dienstleister, Maschinenbauer oder Softwareanbieter kann daher mit umfangreichen Sicherheitsanforderungen konfrontiert sein, auch wenn er selbst nicht direkt unter das Gesetz fällt.

Die indirekte Betroffenheit entwickelt sich zunehmend zu einem Wettbewerbsfaktor.

Persönliche Haftung der Geschäftsleitung

Für viele Führungskräfte ist dies der entscheidende Aspekt.

Das NIS2-Umsetzungsgesetz stellt ausdrücklich klar, dass die Unternehmensleitung Verantwortung für die Umsetzung angemessener Cybersicherheitsmaßnahmen trägt.

Informationssicherheit ist damit keine reine IT-Aufgabe mehr.

Geschäftsleitungen müssen insbesondere:

  • Risiken verstehen und bewerten

  • Sicherheitsmaßnahmen überwachen

  • ausreichende Ressourcen bereitstellen

  • über relevante Risiken informiert sein

  • sicherstellen, dass Sicherheitsentscheidungen nachvollziehbar dokumentiert werden

Die Delegation an IT-Abteilungen oder externe Dienstleister entbindet nicht von der Verantwortung.

Die Betroffenheitsprüfung ist daher nicht nur eine technische Analyse, sondern ein wesentlicher Bestandteil der Corporate Governance.

Aus Sicht der Unternehmensführung lautet die zentrale Frage:

„Können wir im Fall einer Prüfung nachweisen, dass wir unsere Betroffenheit sorgfältig bewertet haben?“

Fristen und Bußgeldrisiken

Mit Inkrafttreten des Gesetzes sind zahlreiche Pflichten unmittelbar relevant geworden.

Je nach Einstufung ergeben sich Anforderungen unter anderem in den Bereichen:

  • Registrierungspflicht

  • Risikomanagement

  • Sicherheitsmaßnahmen

  • Meldepflichten

  • Lieferantenmanagement

  • Incident Response

  • Business Continuity Management

  • Schulungen und Sensibilisierung

Besondere Aufmerksamkeit verdienen die Meldepflichten bei Sicherheitsvorfällen. Unternehmen müssen schwerwiegende Vorfälle innerhalb definierter Fristen an die zuständigen Behörden melden.

Versäumnisse können erhebliche Konsequenzen haben.

Neben behördlichen Anordnungen und Reputationsschäden drohen empfindliche Bußgelder. Gleichzeitig steigt das Risiko zivilrechtlicher Auseinandersetzungen, wenn nachweisbare Sicherheitsdefizite zu Schäden bei Kunden, Partnern oder Dritten führen.

Für die Geschäftsleitung wird damit die Dokumentation von Entscheidungen zunehmend wichtiger als die bloße Absichtserklärung, sich mit Informationssicherheit zu beschäftigen.

Was kommt nach der Betroffenheitsprüfung?

Viele Unternehmen befürchten einen enormen Umsetzungsaufwand.

Die Realität ist differenzierter.

Die Betroffenheitsprüfung ist nicht das Ziel, sondern der Startpunkt.

Nach einer positiven Einstufung sollten Unternehmen zunächst Transparenz schaffen:

  • Welche gesetzlichen Anforderungen gelten konkret?

  • Welche Sicherheitsmaßnahmen existieren bereits?

  • Wo bestehen Lücken?

  • Welche Risiken sind besonders relevant?

In vielen mittelständischen Unternehmen existieren bereits zahlreiche Bausteine, die für eine NIS2-konforme Umsetzung genutzt werden können.

Dazu gehören beispielsweise:

Der tatsächliche Aufwand hängt daher stark vom Reifegrad der Organisation ab.

Der pragmatische Weg zur Umsetzung

Bewährt hat sich ein schrittweises Vorgehen:

Zunächst erfolgt die Betroffenheitsprüfung. Anschließend wird eine Gap-Analyse durchgeführt, um bestehende Maßnahmen mit den gesetzlichen Anforderungen zu vergleichen.

Darauf aufbauend werden Risiken priorisiert und ein Maßnahmenplan erstellt.

Viele Unternehmen nutzen diesen Prozess gleichzeitig als Einstieg in ein Informationssicherheitsmanagementsystem nach ISO 27001. Dadurch entsteht ein strukturierter und langfristig tragfähiger Ansatz zur Erfüllung regulatorischer Anforderungen.

Fazit

Die NIS2-Betroffenheitsprüfung ist heute weit mehr als eine formale Pflichtübung. Sie bildet die Grundlage für die regulatorische, organisatorische und wirtschaftliche Handlungsfähigkeit eines Unternehmens.

Besonders für Geschäftsleitungen steht dabei viel auf dem Spiel. Fehlende Klarheit über die eigene Betroffenheit kann zu Haftungsrisiken, Bußgeldern und erheblichen Wettbewerbsnachteilen führen.

Die gute Nachricht lautet: Die Frage „Sind wir betroffen?“ lässt sich systematisch und belastbar beantworten.

Unternehmen, die ihre Betroffenheit frühzeitig prüfen und daraus einen strukturierten Umsetzungsplan ableiten, reduzieren nicht nur regulatorische Risiken. Sie stärken gleichzeitig ihre Resilienz, ihre Lieferfähigkeit und das Vertrauen von Kunden, Partnern und Aufsichtsbehörden.

Die wichtigste Entscheidung besteht daher nicht darin, wie NIS2 umgesetzt wird.

Die wichtigste Entscheidung besteht darin, die eigene Betroffenheit überhaupt verbindlich zu klären. 

Kommentare

Kommentar veröffentlichen

Beliebte Posts aus diesem Blog

BSI C5:2026

von Jörg Apel
Bild
Cloud-Sicherheit verständlich gemacht Was KMU und Entscheider jetzt wissen sollten 1. Executive Summary (Zusammenfassung) Mit der Veröffentlichung des aktualisierten Kriterienkatalogs C5:2026 am 7. April 2026 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den maßgeblichen Rahmen für sicheres Cloud-Computing neu definiert. Diese Fassung löst den bisherigen Standard C5:2020 ab und adressiert die rasanten technologischen Fortschritte sowie die verschärfte Bedrohungslage der letzten Jahre. Der Katalog wurde von 121 auf nunmehr 168 Kriterien in 17 Kontrollbereichen erweitert. Die Neuerungen umfassen zukunftsweisende Technologien wie Post-Quanten-Kryptografie (PQK), Confidential Computing und Container-Management sowie eine signifikante Schärfung der Anforderungen an die Lieferkettensicherheit und die Mandantentrennung.
Weiter lesen »

Datensicherung im KMU

von Jörg Apel
Bild
Warum Backup kein IT-Detail, sondern Geschäftsabsicherung ist Management Summary Datensicherung ist eine der wirksamsten und zugleich am häufigsten unterschätzten Sicherheitsmaßnahmen in kleinen und mittleren Unternehmen. Sie entscheidet im Ernstfall darüber, ob ein Betrieb nach einem Cyberangriff, einem Systemausfall oder einem Bedienfehler innerhalb weniger Stunden wieder handlungsfähig ist oder tagelang stillsteht.
Weiter lesen »

Incident Response in KMU

von Jörg Apel
Bild
Warum Incident Response als Prozess zur modernen Unternehmensführung gehört Management-Zusammenfassung Cyberangriffe gehören für kleine und mittlere Unternehmen längst zu den realen Geschäftsrisiken. Ransomware, Social Engineering, Business Email Compromise und gezielte Angriffe auf Lieferketten können nicht nur IT-Systeme beeinträchtigen, sondern unmittelbar Produktion, Lieferfähigkeit, Liquidität und Reputation gefährden. Damit wird Incident Response von einer rein technischen Reaktion zu einer zentralen Managementaufgabe.
Weiter lesen »