Noch Fragen?

Sprechen Sie uns gerne an, wenn Sie erfahren möchten, wie Athereon GRC Sie bei aktuellen Governance-, Risk- und Compliance-Themen unterstützen kann.

1.7.2026
9 Minuten

NIS2-Betroffenheitsanalyse: Bin ich betroffen und was muss ich jetzt tun?

Seit dem 6. Dezember 2025 ist das NIS2-Umsetzungsgesetz in Deutschland ohne Übergangsfrist rechtskräftig. Für viele Unternehmen bleibt die erste und wichtigste Frage jedoch unbeantwortet: Fallen wir überhaupt darunter? Eine strukturierte NIS2-Betroffenheitsanalyse gibt darauf eine belastbare Antwort. Sie ist der Ausgangspunkt jeder weiteren Maßnahme und zugleich ein Nachweis, den Aufsichtsbehörden im Zweifel sehen wollen.

Dieser Beitrag zeigt Ihnen, wie die Prüflogik funktioniert, wo die typischen Fehleinschätzungen liegen und wie Sie Ihre Betroffenheit mit Athereon GRC schnell, strukturiert und rechtssicher klären.

Der aktuelle regulatorische Stand: NIS2 ist geltendes Recht

Die europäische NIS2-Richtlinie (EU 2022/2555) trat bereits im Januar 2023 in Kraft. Die Mitgliedstaaten hatten bis zum 17. Oktober 2024 Zeit, sie in nationales Recht zu überführen. Deutschland überschritt diese Frist um mehr als ein Jahr: Durch den Regierungswechsel und das parlamentarische Diskontinuitätsprinzip verfielen die bisherigen Entwürfe, das Verfahren musste neu beginnen.

Der Zeitplan der finalen Umsetzung:

  • 13. November 2025: Der Bundestag verabschiedet das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG).
  • 21. November 2025: Der Bundesrat stimmt zu.
  • 6. Dezember 2025: Das Gesetz tritt mit Verkündung im Bundesgesetzblatt ohne Schonfrist in Kraft.
  • 6. Januar 2026: Das BSI-Portal zur Registrierung wird freigeschaltet.
  • 6. März 2026: Die gesetzliche dreimonatige Registrierungsfrist endet.
  • 17. März 2026: Das KRITIS-Dachgesetz tritt in Kraft und ergänzt NIS2 um Anforderungen an die physische Resilienz.
  • 31. Juli 2026: Duldungsfrist des BSI: Bis zu diesem Datum sollen ausstehende Registrierungen nachgeholt werden.

Zur Einordnung: Deutschland hat kein eigenständiges NIS2-Gesetz geschaffen, sondern das bestehende BSI-Gesetz (BSIG) grundlegend überarbeitet. Die maßgeblichen Regelungen zur Betroffenheit finden Sie heute in den §§ 28 bis 39 BSIG. Die Registrierungsfrist ist bereits verstrichen, eine verspätete Registrierung bleibt möglich und ist dringend ratsam, denn die fehlende Registrierung ist ein eigenständiger Bußgeldtatbestand.

Der Handlungsdruck ist real: In Deutschland sind rund 29.500 Unternehmen betroffen, doch zum gesetzlichen Stichtag am 6. März 2026 hatte sich nur etwa die Hälfte registriert. Inzwischen mahnt das BSI die Umsetzung ausdrücklich an. In einem Schreiben an die Branchenverbände hat die Behörde eingeräumt, dass sich deutlich weniger Einrichtungen angemeldet haben als erwartet, und geht davon aus, dass die ausstehenden Registrierungen bis spätestens 31. Juli 2026 abgeschlossen werden. Mit Stand Ende Mai 2026 waren erst rund 18.500 der erwarteten 29.500 Einrichtungen erfasst.

Wichtig zu wissen: Diese Nachfrist ist keine neue gesetzliche Deadline, sondern eine Duldungs- und Kulanzregelung. Die Pflicht war zum 6. März 2026 fällig, und die Überschreitung bleibt formal eine bußgeldbewehrte Ordnungswidrigkeit. Allein die versäumte Registrierung kann mit bis zu 500.000 Euro geahndet werden. Der 31. Juli 2026 ist damit die letzte Gelegenheit, das Versäumnis ohne Sanktion zu beheben. Wer sich jetzt registriert und die ersten Schritte dokumentiert, reduziert sein Bußgeldrisiko spürbar.

Warum die Betroffenheit oft falsch eingeschätzt wird

Eine staatliche Stelle teilt Ihnen Ihre Betroffenheit nicht mit. Die Einstufung ist eine Selbstprüfung. Hier entstehen oftmals Fehler. Der Cyber Security Report 2026 zeigt: Ein erheblicher Teil der befragten Unternehmen unterschätzt die eigene regulatorische Betroffenheit. Bei umsatzstarken Kleinunternehmen ist die Fehleinschätzung besonders ausgeprägt.

Der Grund liegt in einem überholten Denkmuster. Viele Verantwortliche gehen davon aus, dass NIS2 nur klassische Betreiber kritischer Infrastrukturen trifft. Tatsächlich hat der Gesetzgeber den Kreis der verpflichteten Unternehmen massiv erweitert. Ein Maschinenbauer mit 60 Mitarbeitenden, ein Lebensmittelproduzent oder ein IT-Dienstleister kann heute vollständig unter NIS2 fallen, ohne sich je als „kritische Infrastruktur“ verstanden zu haben.

Die Prüflogik: Sektor, Größe, Einstufung

Eine belastbare NIS2-Betroffenheitsanalyse folgt einer festen Reihenfolge aus drei Schritten. Erst wenn alle drei zutreffen, sind Sie direkt reguliert.

Schritt 1: Sektorzugehörigkeit

Das BSIG reguliert 18 Sektoren, aufgeteilt in zwei Anlagen. Anlage 1 umfasst elf Sektoren hoher Kritikalität, darunter Energie, Transport und Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trink- und Abwasser, digitale Infrastruktur und Raumfahrt. Anlage 2 ergänzt sieben weitere kritische Sektoren wie Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe (etwa Maschinen- und Fahrzeugbau) sowie Anbieter digitaler Dienste und Forschungseinrichtungen.

Prüfen Sie die Zuordnung für jeden Geschäftsbereich und jede Tochtergesellschaft einzeln, nicht nur für die Hauptgesellschaft.

Schritt 2: Größenkriterien

Maßgeblich sind Mitarbeiterzahl, Umsatz und Bilanzsumme. Als Faustregel gilt: NIS2 greift ab 50 Beschäftigten oder mehr als 10 Mio. Euro Jahresumsatz. Entscheidend ist hier die Konzernklausel. Eine häufige Fehleinschätzung besteht darin, isolierte Zahlen einer einzelnen GmbH anzusetzen statt der konsolidierten Werte der Unternehmensgruppe.

Schritt 3: Einstufung als besonders wichtige oder wichtige Einrichtung

NIS2 unterscheidet zwei Kategorien mit unterschiedlichen Pflichten und Bußgeldrahmen:

  • Besonders wichtige Einrichtungen (§ 28 Abs. 1 BSIG): Unternehmen aus Anlage-1-Sektoren ab 250 Mitarbeitenden oder mehr als 50 Mio. Euro Umsatz und 43 Mio. Euro Bilanzsumme. Der Bußgeldrahmen liegt bei bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes.
  • Wichtige Einrichtungen (§ 28 Abs. 2 BSIG): Unternehmen ab 50 Mitarbeitenden oder mehr als 10 Mio. Euro Umsatz. Hier beträgt der Rahmen bis zu 7 Mio. Euro oder 1,4 % des Umsatzes.

Bestimmte Organisationen gelten größenunabhängig als betroffen, etwa Anbieter von DNS-Diensten, TLD-Registrierungen und qualifizierte Vertrauensdiensteanbieter. Wer eine kritische Anlage nach dem KRITIS-Dachgesetz betreibt, zählt automatisch als besonders wichtige Einrichtung.

Die indirekte Betroffenheit über die Lieferkette

Auch wenn Sie die Schwellenwerte selbst nicht erreichen, kann NIS2 Sie erreichen. § 30 Abs. 2 Nr. 4 BSIG verpflichtet betroffene Unternehmen, die Sicherheit ihrer Lieferkette zu gewährleisten. In der Praxis bedeutet das, dass regulierte Auftraggeber ihre Anforderungen über vertragliche Klauseln weitergeben. Cybersicherheitsvorgaben, Audit-Rechte und Meldepflichten landen in Dienstleistungsverträgen.

Besonders betroffen sind Software-Zulieferer, Cloud-Dienstleister und IT-Wartungsfirmen mit Zugang zu den Systemen ihrer Kunden. Für sie wird Compliance faktisch zur Voraussetzung, um Geschäftsbeziehungen zu erhalten. Wer als Zulieferer arbeitet, sollte die eigene Betroffenheit daher unabhängig von der formalen Einstufung prüfen.

Was nach der Betroffenheitsanalyse zu tun ist

Ergibt die Analyse eine Betroffenheit, beginnen die konkreten Pflichten. Die wichtigsten Schritte im Überblick:

  1. Registrierung beim BSI über das MUK-Portal – auch nach Fristablauf umgehend nachzuholen.
  2. Risikomanagement aufbauen nach den Maßnahmenbereichen des § 30 BSIG (Stand der Technik).
  3. Meldeprozesse etablieren: Erstmeldung innerhalb von 24 Stunden, Folgemeldung nach 72 Stunden, Abschlussbericht nach spätestens einem Monat.
  4. Geschäftsleitung einbinden: Die Verantwortung liegt ausdrücklich bei der Unternehmensführung, bis hin zur persönlichen Haftung nach § 38 BSIG.
  5. Nachweisfähigkeit sicherstellen: Die gesamte Betroffenheitsprüfung ist rechtssicher zu dokumentieren, da sie im Audit als Nachweis verlangt werden kann.

Ein Hinweis für Unternehmen mit bestehendem Informationssicherheits-Managementsystem: Ein ISMS nach ISO 27001 deckt erfahrungsgemäß 70 bis 80 % der NIS2-Anforderungen ab. Die verbleibenden Punkte – etwa die BSI-Registrierung, das gestufte Meldeverfahren und die Geschäftsleitungspflichten – müssen gezielt ergänzt werden.

Das Meldeverfahren nach § 32 BSIG im Detail

Wer betroffen ist, muss erhebliche Sicherheitsvorfälle nach § 32 BSIG in einem dreistufigen Verfahren an das BSI melden. Ein Vorfall gilt als erheblich, wenn er schwerwiegende Betriebsstörungen oder finanzielle Verluste verursacht hat oder verursachen kann, oder wenn er Dritte durch erhebliche materielle oder immaterielle Schäden beeinträchtigt. Entscheidend für den Fristbeginn ist die Kenntniserlangung: der Zeitpunkt, an dem eine Mitarbeiterin oder ein Mitarbeiter den Vorfall bemerkt, nicht der Abschluss der Analyse.

Die drei Meldestufen:

  1. Frühwarnung (innerhalb von 24 Stunden): Eine erste Signalmeldung mit Einstufung des Vorfalls, Meldegrund und einer vorläufigen Lageeinschätzung. Sie verlangt ausdrücklich keine vollständige Analyse; hier gilt das Prinzip „Schnelligkeit vor Vollständigkeit".
  2. Folgemeldung (innerhalb von 72 Stunden): Eine Bestätigung und Aktualisierung der Frühwarnung, ergänzt um eine erste Bewertung von Schweregrad und Auswirkungen.
  3. Abschlussmeldung (innerhalb eines Monats): Eine ausführliche Beschreibung des Vorfalls mit Ursachenanalyse, ergriffenen Abhilfemaßnahmen und gegebenenfalls grenzüberschreitenden Auswirkungen. Dauert der Vorfall länger an, tritt zunächst eine Fortschrittsmeldung an ihre Stelle.

Alle Meldungen laufen über das BSI-Meldeportal, das eine vorherige Registrierung voraussetzt. Zwei Punkte werden in der Praxis häufig unterschätzt: Erstens läuft bei Vorfällen mit personenbezogenen Daten parallel die DSGVO-Meldepflicht nach Art. 33 DSGVO mit eigener Frist von 72 Stunden und einem anderen Adressaten, der Datenschutzaufsicht. Zweitens setzt ein rechtssicherer Meldeprozess einen dokumentierten Incident-Response-Plan voraus, der nach § 30 Abs. 2 BSIG ohnehin Pflicht ist und dem BSI auf Anfrage nachgewiesen werden muss.

Abgrenzung: NIS2, KRITIS-Dachgesetz und DORA

Viele betroffene Organisationen fallen nicht nur unter das NIS2-Umsetzungsgesetz, sondern stehen vor einer Mehrfachregulierung. Für eine saubere Betroffenheitsanalyse lohnt sich daher die Abgrenzung dreier Regelwerke:

  • NIS2-Umsetzungsgesetz (BSIG): Regelt die Cybersicherheitspflichten – Risikomanagement, Meldeverfahren und technische wie organisatorische Maßnahmen. Es bildet den allgemeinen Rahmen für rund 29.500 Einrichtungen.
  • KRITIS-Dachgesetz: Seit dem 17. März 2026 in Kraft, ergänzt es NIS2 um Anforderungen an die physische Resilienz kritischer Anlagen, etwa Schutz vor Sabotage, Naturkatastrophen oder Infrastrukturausfällen. Betreiber kritischer Anlagen müssen beide Gesetze beachten.
  • DORA: Die EU-Verordnung für den Finanzsektor ist unmittelbar anwendbar und hat als speziellere Regelung Vorrang. § 28 Abs. 5 BSIG nimmt Finanzunternehmen weitgehend von den NIS2-Pflichten aus; die Meldung erfolgt hier an die BaFin statt an das BSI.

Die Abgrenzung folgt dem Lex-specialis-Prinzip: Sektorspezifische Regelungen gehen vor, soweit sie mindestens gleichwertige Anforderungen stellen. Für Ihre Analyse heißt das: Prüfen Sie nicht nur, ob Sie betroffen sind, sondern unter welches Regime Sie fallen und ob mehrere gleichzeitig greifen.

Betroffenheit strukturiert prüfen mit Athereon GRC

Die Betroffenheitsanalyse ist kein einmaliger Blick ins Handelsregister, sondern eine dokumentationspflichtige Prüfung entlang von Sektor, Größe, Konzernstruktur und Lieferkette.

Athereon GRC unterstützt sie bei allem, was nach der Betroffenheitsanalyse kommt. Mit unserer führenden europäischen GRC-Plattform stellen Sie Ihr Unternehmen strukturiert, nachvollziehbar und auditfähig NIS2-konform auf, statt mit fragmentierten Excel-Tabellen und verteilten Zuständigkeiten zu arbeiten.

Ein zentraler Baustein ist die KI-Agentin LAiKA. Sie unterstützt Sie dabei, relevante Risiken zu erkennen, bestehende Risiken einzuordnen und Behandlungsvorschläge zu erarbeiten, ohne Ihnen die Kontrolle aus der Hand zu nehmen. Der Leitsatz dahinter: Nichts ohne Ihr OK. Die Eskalationslogik führt vom Fundament über LAiKA Assist bis zu den Spezial-Agenten, sodass Sie in jedem Schritt entscheiden, welche Empfehlung übernommen wird.

Die Vorteile für Sie, um NIS2-konform zu werden:

  • Zentrale Dokumentation aller Prüfschritte, revisionssicher und jederzeit vorlegbar.
  • Transparente Dashboards, die Umsetzungsstand und offene Punkte sichtbar machen.
  • Frameworkoffen aufgebaut, sodass Sie NIS2, DSGVO, ISO 27001 und TISAX® in einem System steuern.
  • Automatisierte Workflows für Registrierung, Meldefristen und Nachweisführung.

Athereon GRC ist 100 % made in Germany und ermöglicht die direkte, eigenständige Umsetzung Ihrer Compliance-Maßnahmen ohne die Abhängigkeit von langwierigen Beratungsprojekten.

Fazit: Klarheit schaffen, bevor die Aufsicht anfragt

NIS2 ist geltendes Recht, die Fristen laufen, und die Aufsichtsbehörden prüfen aktiv. Die Betroffenheitsanalyse ist der Punkt, an dem sich entscheidet, ob Ihr Unternehmen strukturiert vorgeht oder unter Zeitdruck nacharbeitet. Wer seine Betroffenheit früh, sauber dokumentiert und mit den richtigen Werkzeugen klärt, verwandelt eine gesetzliche Pflicht in einen Wettbewerbsvorteil – ganz im Sinne von Compliance als Chance.

Weitere Informationen zu den regulatorischen Grundlagen finden Sie auf unserer Themenseite zu NIS2. Möchten Sie Ihre Betroffenheit direkt in der Plattform prüfen? Vereinbaren Sie einen Demo-Termin und sehen Sie, wie Athereon GRC Sie von der Analyse bis zur Nachweisführung begleitet.

Möchten Sie mehr erfahren?

Vereinbaren Sie einen unverbindlichen Demo-Termin mit unserem Team, um gemeinsam Ihren individuellen Anwendungsfall zu analysieren.