NIS2 Betroffenheitscheck – Bin ich betroffen?

Inhalt in Kürze

• NIS-2 gilt für Unternehmen ab 50 Mitarbeitern oder 10 Mio. € Umsatz in 18 regulierten Sektoren. Das BSI bietet eine NIS-2-Betroffenheitsprüfung als automatisierte Ersteinschätzung an.
• Auch indirekt betroffene Zulieferer müssen Sicherheitsnachweise erbringen — ohne Nachweise riskieren Sie den Verlust von Aufträgen.
• Die Geschäftsleitung haftet persönlich für die NIS2-Umsetzung. Risikomanagement, Meldepflichten und Governance sind Pflicht.
• frag.hugo prüft Ihre NIS-2-Betroffenheit kostenlos im Erstgespräch und begleitet die NIS2-Umsetzung — von der Registrierung beim BSI bis zum fertigen Sicherheitskonzept.

Kostenloser NIS2-Schnellcheck: Prüfen Sie in 60 Sekunden, ob Ihre Website DSGVO- und TDDDG-konform ist — als ersten Schritt auf dem Weg zur NIS2-Compliance. Jetzt kostenlos prüfen auf check.fraghugo.de

NIS2: Wer ist betroffen und warum Sie es jetzt klären müssen

Das NIS2-Umsetzungsgesetz ist seit Dezember 2025 in Kraft – ohne Übergangsfrist. Die erste und wichtigste Frage für jedes Unternehmen lautet: Bin ich betroffen? Die Antwort ist weniger offensichtlich, als viele denken. Neben der direkten Betroffenheit durch Sektor und Größe gibt es die indirekte Betroffenheit über die Lieferkette, die tausende weitere Unternehmen einschließt.

Das Zwei-Kriterien-System: Größe und Sektor

Die NIS-2-Betroffenheit bestimmt sich grundsätzlich nach zwei Kriterien, die beide erfüllt sein müssen:

Kriterium 1: Größenklasse

Ihr Unternehmen muss mindestens einen der folgenden Schwellenwerte überschreiten:

• Mindestens 50 Mitarbeitende, oder
• Mehr als 10 Millionen Euro Jahresumsatz und mehr als 10 Millionen Euro Bilanzsumme

Unternehmen, die beide Schwellenwerte überschreiten (250+ Mitarbeitende oder 50+ Mio. Euro Umsatz), werden als große Unternehmen eingestuft und fallen bei Zugehörigkeit zu einem Sektor der Anlage 1 automatisch als wesentliche Einrichtung unter NIS2.

Kriterium 2: Sektorenzugehörigkeit

Ihr Unternehmen muss in einem der 18 regulierten Sektoren tätig sein. Diese sind in zwei Anhänge unterteilt:

Anhang I – Sektoren hoher Kritikalität (wesentliche Einrichtungen)

1. Energie: Strom (Erzeugung, Übertragung, Verteilung), Gas, Öl, Wasserstoff, Fernwärme
2. Transport: Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr
3. Bankwesen: Kreditinstitute
4. Finanzmarktinfrastrukturen: Handelsplätze, zentrale Gegenparteien
5. Gesundheit: Krankenhäuser, Labore, Medizinproduktehersteller, Pharma, Forschungseinrichtungen
6. Trinkwasser: Wasserversorger
7. Abwasser: Abwasserentsorgung
8. Digitale Infrastruktur: DNS, TLD, Cloud, Rechenzentren, CDN, Vertrauensdienste, Telekommunikation
9. IKT-Dienste (B2B): Managed Service Provider, Managed Security Service Provider
10. Öffentliche Verwaltung: Bundesbehörden, Landesbehörden
11. Weltraum: Bodeninfrastrukturen

Anhang II – Sonstige kritische Sektoren (wichtige Einrichtungen)

12. Post- und Kurierdienste
13. Abfallwirtschaft
14. Chemie: Herstellung, Produktion, Vertrieb
15. Lebensmittel: Produktion, Verarbeitung, Vertrieb (Großhandel und industrielle Produktion)
16. Verarbeitendes Gewerbe: Medizinprodukte, Datenverarbeitungsgeräte, elektronische/optische Erzeugnisse, elektrische Ausrüstungen, Maschinenbau, Kraftwagen und -teile, sonstiger Fahrzeugbau
17. Digitale Dienste: Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke
18. Forschung: Forschungseinrichtungen

Indirekte Betroffenheit: Die Lieferkette

Auch wenn Ihr Unternehmen nicht direkt unter NIS2 fällt, können Sie indirekt betroffen sein. Art. 21 Abs. 2 lit. d der NIS2-Richtlinie verpflichtet direkt betroffene Unternehmen, die Sicherheit ihrer Lieferkette zu gewährleisten. Unsere Seite zur NIS2-Lieferketten-Compliance erklärt, wie Hugo Shield Sie dabei unterstützt. Das bedeutet in der Praxis:

• Ihre Auftraggeber werden Sicherheitsnachweise von Ihnen verlangen
• Ohne diese Nachweise riskieren Sie den Verlust von Aufträgen
• Lieferkettenanforderungen werden in Verträge aufgenommen
• Regelmäßige Audits durch Auftraggeber werden zunehmen

Was das für Hamburger Unternehmen bedeutet

Die Hamburger Wirtschaft ist stark durch Lieferketten geprägt:

• Logistik und Hafen: Der Hamburger Hafen als drittgrößter Hafen Europas ist kritische Infrastruktur. Jedes Unternehmen in der Hafenlogistik-Kette wird mit NIS2-Anforderungen konfrontiert.
• Maritime Wirtschaft: Reedereien, Schifffahrtsunternehmen und maritime Dienstleister fallen unter den Sektor Transport. Ihre Zulieferer müssen mitziehen.
• Handel: Große Handelsunternehmen fallen direkt unter NIS2 (Lebensmittel) oder durch ihre Größe. Ihre Lieferkette umfasst Hunderte von Zulieferern.
• Medien und IT-Dienstleister: Als Managed Service Provider oder Cloud-Dienstleister können sie direkt betroffen sein. Als Dienstleister betroffener Unternehmen in jedem Fall indirekt.

Gerade für Hamburger Unternehmen, die in mehreren dieser Bereiche aktiv sind, empfehlen wir eine umfassende IT-Sicherheitsberatung, die NIS2-Anforderungen und bestehende Sicherheitsmaßnahmen ganzheitlich betrachtet.

Sonderfälle: Größenunabhängige Betroffenheit

Folgende Einrichtungen fallen unabhängig von der Unternehmensgröße unter NIS2:

• Anbieter von DNS-Diensten
• TLD-Namensregistrierungsstellen
• Anbieter öffentlicher elektronischer Kommunikationsnetze oder -dienste
• Vertrauensdiensteanbieter (qualifiziert und nicht-qualifiziert)
• Einziger Anbieter eines Dienstes in einem Mitgliedstaat, der für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Tätigkeiten wesentlich ist

Ihr Betroffenheitscheck in 5 Minuten

Starten Sie jetzt mit dem kostenlosen Hugo Check: Unser automatisierter Website-Scanner unter check.fraghugo.de zeigt Ihnen in 60 Sekunden, wo Ihre Website in Sachen DSGVO und TDDDG steht. So erhalten Sie einen schnellen ersten Eindruck, bevor Sie im Erstgespräch Ihre vollständige NIS2-Betroffenheit klären.

Beantworten Sie zusätzlich die folgenden Fragen, um Ihre NIS2-Betroffenheit einzuschätzen:

Frage 1: Größe

Haben Sie mindestens 50 Mitarbeitende oder erzielen Sie mehr als 10 Mio. Euro Jahresumsatz bei gleichzeitig mehr als 10 Mio. Euro Bilanzsumme?

• Ja: Weiter zu Frage 2.
• Nein: Prüfen Sie, ob ein Sonderfall vorliegt (siehe oben). Prüfen Sie außerdem die indirekte Betroffenheit über die Lieferkette.

Frage 2: Sektor

Ist Ihr Unternehmen in einem der 18 oben genannten Sektoren tätig?

• Ja: Sie sind mit hoher Wahrscheinlichkeit direkt von NIS2 betroffen. Die Einstufung als wesentliche oder wichtige Einrichtung hängt vom konkreten Sektor und Ihrer Größe ab.
• Nein: Sie sind nicht direkt betroffen. Prüfen Sie die indirekte Betroffenheit.

Frage 3: Lieferkette

Sind Ihre wesentlichen Auftraggeber oder Kunden in einem NIS2-regulierten Sektor tätig?

• Ja: Sie werden mit hoher Wahrscheinlichkeit indirekt betroffen sein und müssen Sicherheitsnachweise erbringen.
• Nein: Sie sind wahrscheinlich nicht von NIS2 betroffen – sollten die Entwicklung aber beobachten.

Was tun, wenn Sie betroffen sind?

Wenn die Analyse ergibt, dass Sie direkt oder indirekt von NIS2 betroffen sind, empfehlen wir folgende Schritte. Unsere NIS2-Beratung begleitet Sie dabei von der Gap-Analyse bis zur vollständigen Umsetzung:

1. Registrierung beim BSI: Direkt betroffene Unternehmen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik registrieren.
2. Gap-Analyse: Vergleichen Sie Ihren aktuellen Sicherheitsstandard mit den NIS2-Anforderungen.
3. Maßnahmenplan: Erstellen Sie einen priorisierten Plan für die Umsetzung der identifizierten Lücken.
4. Meldeprozesse einrichten: Die 24h/72h-Meldepflichten erfordern funktionierende Prozesse – das geht nicht ad hoc.
5. Lieferkette absichern: Beginnen Sie mit der Bewertung und Dokumentation der Sicherheit Ihrer Zulieferer.

Für die Lieferketten-Compliance bietet Hugo Shield eine strukturierte Lösung. Mehr dazu auf unserer Seite zur NIS2-Lieferketten-Compliance.

Die NIS-2-Betroffenheitsprüfung des BSI

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet eine NIS-2-Betroffenheitsprüfung als automatisierte Ersteinschätzung an. Der Entscheidungsbaum der NIS-2-Betroffenheitsprüfung führt Sie durch einen Fragenkatalog zu Sektor, Unternehmensgröße und Tätigkeitsbereich.

Diese automatisierte Ersteinschätzung gibt eine Orientierung, ersetzt aber keine fundierte rechtliche Betroffenheitsanalyse. Der BSI-Check berücksichtigt weder die indirekte Betroffenheit über Lieferketten noch branchenspezifische Sonderfälle. Für Hamburger Unternehmen — insbesondere in den Bereichen Logistik, Maritime Wirtschaft und IT-Dienstleistungen — empfehlen wir daher eine individuelle Prüfung durch unsere NIS2-Experten.

NIS2-Umsetzung: Anforderungen an die Governance

Direkt betroffene Unternehmen müssen organisatorische Strukturen schaffen, die die Einhaltung der NIS-2-Anforderungen sicherstellen:

Verantwortung der Geschäftsleitung

Die Geschäftsleitung trägt die persönliche Verantwortung für die NIS2-Compliance. Art. 20 der NIS-2-Richtlinie verpflichtet Leitungsorgane, die Risikomanagementmaßnahmen zu billigen und deren Umsetzung zu überwachen. Verstöße können zur persönlichen Haftung der Geschäftsführung führen. Alles Wichtige dazu erfahren Sie auf unserer Seite zur NIS2-Geschäftsführer-Haftung.

Risikomanagement nach NIS2

NIS2 fordert ein umfassendes Risikomanagement für Netz- und Informationssysteme. Dies umfasst:

• Risikoanalyse und Bewertung der Informationssicherheit
• Maßnahmen zur Behandlung identifizierter Risiken
• Incident-Response-Prozesse für den Umgang mit Sicherheitsvorfällen
• Business Continuity Management und Krisenmanagement
• Sicherheit der Lieferkette — Bewertung und Steuerung von Zuliefererrisiken
• Schulungen zur Cybersicherheit für alle Mitarbeitenden

Ein ISMS nach ISO 27001 deckt ca. 70 % dieser Anforderungen ab und ist der effizienteste Weg zur NIS2-Compliance.

Meldepflichten bei Sicherheitsvorfällen

NIS2 verschärft die Meldepflichten erheblich:

• 24 Stunden: Erstmeldung an das BSI nach Kenntnis eines erheblichen Sicherheitsvorfalls
• 72 Stunden: Detaillierte Meldung mit Risikobewertung und ergriffenen Maßnahmen
• 1 Monat: Abschlussbericht mit Ursachenanalyse und Lessons Learned

Diese Fristen erfordern funktionierende Prozesse, die vorab definiert und erprobt sein müssen. Mehr zum Thema Incident Response erfahren Sie auf unserer Seite zur Datenpanne melden.

Wer ist von der NIS-2-Betroffenheitsprüfung betroffen?

Von der NIS-2-Betroffenheitsprüfung betroffen sind grundsätzlich alle Unternehmen und Organisationen, die in einem der 18 regulierten Sektoren tätig sind und die Schwellenwerte von mindestens 50 Mitarbeitenden oder mehr als 10 Mio. Euro Jahresumsatz überschreiten. Dazu gehören Unternehmen aus den Bereichen Energie, Transport, Gesundheit, digitale Infrastruktur, Finanzwesen, Lebensmittelproduktion, verarbeitendes Gewerbe und viele weitere. Auch Unternehmen unterhalb der Schwellenwerte können betroffen sein, wenn sie als Zulieferer direkt betroffener Unternehmen fungieren oder zu den größenunabhängigen Sonderfällen zählen (z. B. DNS-Dienste, Vertrauensdiensteanbieter).

Bin ich von NIS-2 betroffen?

Ob Sie von NIS-2 betroffen sind, hängt von zwei Kriterien ab: Ihrer Unternehmensgröße und Ihrer Sektorenzugehörigkeit. Wenn Sie mindestens 50 Mitarbeitende beschäftigen oder einen Jahresumsatz von über 10 Mio. Euro erzielen und gleichzeitig in einem der 18 regulierten Sektoren tätig sind, fallen Sie mit hoher Wahrscheinlichkeit direkt unter NIS2. Aber auch kleinere Unternehmen können indirekt betroffen sein — nämlich dann, wenn Ihre Auftraggeber unter NIS2 fallen und Sicherheitsnachweise von Ihnen verlangen. Nutzen Sie unseren kostenlosen Betroffenheitscheck im Erstgespräch, um Klarheit zu schaffen.

Wer muss die NIS-2 erfüllen?

Die NIS-2-Richtlinie muss von allen Unternehmen erfüllt werden, die als wesentliche oder wichtige Einrichtungen eingestuft werden. Wesentliche Einrichtungen sind große Unternehmen in Sektoren hoher Kritikalität (Anhang I) — sie unterliegen einer proaktiven Aufsicht durch das BSI mit Bußgeldern bis zu 10 Mio. Euro. Wichtige Einrichtungen sind mittlere Unternehmen in sonstigen kritischen Sektoren (Anhang II) — sie unterliegen einer reaktiven Aufsicht mit Bußgeldern bis zu 7 Mio. Euro. Die Pflichten umfassen Risikomanagement, Meldeprozesse, Lieferkettensicherheit, Schulungen und die Registrierung beim BSI. Die Geschäftsleitung haftet persönlich für die Umsetzung.

Nächster Schritt: Klarheit schaffen

NIS2 ist seit Dezember 2025 in Kraft – ohne Schonfrist. Je früher Sie Klarheit über Ihre Betroffenheit haben, desto gezielter können Sie handeln.

Kostenloses Erstgespräch buchen

In einem 30-minütigen Gespräch klären wir gemeinsam Ihre NIS2-Betroffenheit und skizzieren die nächsten Schritte – konkret, verbindlich und ohne Verkaufsdruck. Unsere NIS2-Beratung begleitet Sie dann bei der vollständigen Umsetzung.