NIS2 - Wer ist betroffen?

Viele Geschäftsführer gehen noch davon aus, dass NIS2 nur kritische Infrastrukturen betrifft. Doch genau das ist ein Irrtum.

Die neue Richtlinie weitet den Anwendungsbereich drastisch aus: Statt rund 2.000 Unternehmen werden künftig über 30.000 Unternehmen in Deutschland unter die NIS2-Vorgaben fallen - darunter zahlreiche mittelständische Betriebe.

Die wichtigsten Kriterien & was mittelständische Unternehmen jetzt beachten müssen

Wesentliche Einrichtungen
Unternehmen und Organisationen, die als wesentliche Einrichtungen eingestuft werden, sind solche, die in kritischen Sektoren tätig sind und eine zentrale Rolle in der Infrastruktur und Wirtschaft der EU spielen. Dazu gehören:
Sektoren: Energie, Verkehr, Gesundheitswesen, Bankwesen, Finanzmarktinfrastrukturen, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung, Weltraum, sowie die Verwaltung von IKT-Diensten (B2B).
Kriterien: Unternehmen in diesen Sektoren gelten als wesentliche Einrichtungen, wenn sie mehr als 250 Mitarbeiter beschäftigen oder einen Jahresumsatz von mehr als 50 Millionen Euro bzw. eine Jahresbilanzsumme von mehr als 43 Millionen Euro aufweisen.
Wichtig: Unternehmen, die diese Kriterien nicht erfüllen, können dennoch als wichtige Einrichtungen eingestuft werden, sofern sie in einem der oben genannten Sektoren tätig sind und mindestens 50 Beschäftigte haben oder über 10 Mio. EUR Jahresumsatz oder Jahresbilanzsumme verfügen.

Wichtige Einrichtungen
Wichtige Einrichtungen umfassen Unternehmen in weniger kritischen, aber dennoch wichtigen Sektoren für das Funktionieren der Gesellschaft und Wirtschaft. Diese Kategorie beinhaltet:
Sektoren: Post- und Kurierdienste, Abfallbewirtschaftung, Produktion und Vertrieb von chemischen Stoffen, Lebensmittelproduktion und -vertrieb, Herstellung von Medizinprodukten, Maschinenbau, Fahrzeugbau, digitale Dienste (wie Cloud-Computing oder soziale Netzwerke) und Forschungseinrichtungen.
Kriterien: Unternehmen in diesen Sektoren werden als wichtige Einrichtungen betrachtet, wenn sie mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz bzw. eine Jahresbilanzsumme von mindestens 10 Millionen Euro haben.

Die Richtlinie unterscheidet also zwischen "wesentlichen" und "wichtigen" Einrichtungen, wobei für letztere geringere Geldstrafen vorgesehen sind und sie einer reaktiven Aufsicht des BSI unterliegen.

Sonderfälle
Ausnahmen gelten für bestimmte Einrichtungen von herausragender Bedeutung, die unabhängig von ihrer Größe von der NIS2-Richtlinie erfasst werden. Zu diesen zählen unter anderem qualifizierte Vertrauensdienste, TLD-Registrierungen und DNS-Services.

Selbst wenn Ihr Unternehmen nicht direkt unter eine dieser Kategorien fällt, könnte es indirekt betroffen sein, etwa als Zulieferer für ein Unternehmen, das zu den genannten Sektoren gehört. Das zeigt, wie weitreichend die NIS2-Richtlinie ist und warum viele Unternehmen ihre Sicherheitsmaßnahmen überdenken müssen.
NIS2-Leitfaden: Was mittelständische Unternehmen jetzt beachten müssen

(Die Bildrechte liegen bei dem Verfasser der Mitteilung.)

---

24. Februar 2026 | ID: 6210 | Artikel löschen | Firmen- & Pressekontakt