NIS2: Bin ich betroffen? Die 10-Minuten-Prüfung für Geschäftsführer
NIS2 ist keine IT-Frage, sondern eine Geschäftsführungsfrage: Die Pflichten treffen das Unternehmen, die Haftung trifft die Leitung. Diese Prüfung beantwortet in drei Schritten, ob Ihr Unternehmen dazugehört.
Schritt 1: Sind Sie in einem der Sektoren aktiv?
Die NIS2-Richtlinie (EU 2022/2555) erfasst 18 Sektoren. Für den Mittelstand am relevantesten:
- Verarbeitendes Gewerbe: u. a. Maschinenbau, Fahrzeugbau, Elektronik, Medizinprodukte, Chemie
- Digitale Dienste & IT: Managed Services, Rechenzentren, Cloud, Online-Marktplätze
- Energie, Wasser, Abfall, Transport, Post, Lebensmittel, Gesundheit
- Zulieferer: Wer kritische Kunden beliefert, bekommt die Anforderungen zunehmend vertraglich weitergereicht, auch ohne selbst reguliert zu sein.
Schritt 2: Reißen Sie die Schwellenwerte?
Grundregel: NIS2 greift ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz bzw. Bilanzsumme (mittlere Unternehmen; große Unternehmen ab 250 MA / 50 Mio. € gelten als „wesentliche" Einrichtungen mit strengerer Aufsicht). Wichtig: Verbundene Unternehmen können zusammengerechnet werden. Einzelne Tätigkeiten (z. B. qualifizierte Vertrauensdienste, TLD-Registries) sind größenunabhängig erfasst.
Schritt 3: Was gilt, wenn ja?
- Registrierung der Einrichtung bei der zuständigen Behörde (in Deutschland: BSI).
- Risikomanagement nach Art. 21: u. a. Risikoanalyse, Incident-Handling, Business Continuity, Lieferkettensicherheit, Verschlüsselung, MFA, Schulungen.
- Meldepflichten: Frühwarnung binnen 24 Stunden, Meldung binnen 72 Stunden, Abschlussbericht binnen eines Monats.
- Leitungsverantwortung: Die Geschäftsführung muss Maßnahmen billigen und überwachen, sich schulen lassen und haftet bei Verstößen.
- Sanktionen: bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes (wesentliche Einrichtungen); wichtige Einrichtungen bis 7 Mio. € oder 1,4 %.
Die drei häufigsten Irrtümer
- „Wir sind zu klein." Zulieferer kritischer Kunden bekommen die Pflichten per Vertrag, Schwellenwerte hin oder her.
- „Unsere IT macht das schon." NIS2 verlangt nachweisbare Organisation (Prozesse, Dokumentation, Übungen), nicht nur Technik.
- „Wir warten auf ein Anschreiben." Die Registrierungspflicht liegt beim Unternehmen selbst. Wer wartet, ist im Zweifel bereits säumig.
In 90 Sekunden wissen, wo Sie stehen
Unser kostenloser Pre-flight-Check prüft KI-Reife und Compliance-Lage in 5 Fragen. Ergebnis sofort, unverbindlich.
Pre-flight-Check starten →Hinweis: Dieser Beitrag ist eine praxisorientierte Einordnung und keine Rechtsberatung. Verbindliche Aussagen zur Betroffenheit erfordern eine Einzelfallprüfung.