Zum Hauptinhalt springen
Informationssicherheit / NIS2

NIS2-Betroffenheitsprüfung

Die Prüfung, ob ein Unternehmen als wesentliche oder wichtige Einrichtung unter die NIS-2-Richtlinie fällt.

Die NIS2-Betroffenheitsprüfung ist der erste und entscheidende Schritt zur Umsetzung der NIS-2-Richtlinie. Sie analysiert, ob ein Unternehmen die Schwellenwerte für Unternehmensgröße sowie die Zugehörigkeit zu einem der in Anhang I (wesentliche Einrichtungen) oder Anhang II (wichtige Einrichtungen) der Richtlinie gelisteten Sektoren erfüllt. Die Prüfung ist selbst bei Unklarheiten zwingend durchzuführen, da eine Nichteinstufung bei tatsächlicher Betroffenheit erhebliche Bußgeldrisiken birgt.

Als wesentliche Einrichtungen gelten in der Regel Unternehmen ab 250 Mitarbeitenden oder einem Jahresumsatz von über 50 Mio. EUR in Sektoren wie Energie, Verkehr, Bankwesen, Gesundheit oder digitale Infrastruktur. Wichtige Einrichtungen sind typischerweise mittelgroße Unternehmen (ab 50 Mitarbeitende oder 10 Mio. EUR Umsatz) in Sektoren wie Post, Lebensmittel, Chemie oder digitale Dienste. Bestimmte Einrichtungen wie Betreiber kritischer Anlagen gelten unabhängig von ihrer Größe als wesentlich.

Die Betroffenheitsprüfung sollte dokumentiert und regelmäßig aktualisiert werden, da Unternehmensveränderungen wie Wachstum, Zukäufe oder neue Geschäftsfelder die Einstufung beeinflussen können. Im Ergebnis der Prüfung steht entweder die Feststellung der Nichtbetroffenheit (mit Dokumentation) oder die Einleitung eines NIS2-Umsetzungsprojekts mit Risikoanalyse, Maßnahmenplanung und Registrierungspflicht bei der zuständigen Behörde.

Rechtliche Grundlage

Art. 2, Anhang I und II der NIS-2-Richtlinie 2022/2555

Praxisbeispiel

Ein IT-Dienstleister mit 180 Mitarbeitenden und 22 Mio. EUR Jahresumsatz möchte wissen, ob er unter NIS2 fällt. Die Betroffenheitsprüfung ergibt, dass das Unternehmen als Anbieter von Managed Security Services dem Sektor „Verwaltung von IKT-Diensten" in Anhang II zuzuordnen ist und die Schwellenwerte für eine wichtige Einrichtung erfüllt. Daraufhin wird ein NIS2-Projektplan erstellt, der die Registrierung beim BSI, eine Gap-Analyse der bestehenden Sicherheitsmaßnahmen und die Erstellung einer Richtlinie zur Meldung von Sicherheitsvorfällen umfasst.

Häufige Fragen

Die NIS2-Betroffenheitsprüfung klärt, ob ein Unternehmen unter den Anwendungsbereich der NIS-2-Richtlinie fällt. Dabei werden die Unternehmensgröße und die Sektorzugehörigkeit nach Anhang I und II der Richtlinie analysiert.
Grundsätzlich sollte jedes Unternehmen, das in einem der in NIS2 genannten Sektoren tätig ist und die Schwellenwerte für mittlere oder große Unternehmen erfüllt, eine Betroffenheitsprüfung vornehmen. Auch Unternehmen, die unsicher sind, ob sie betroffen sind, sollten die Prüfung aktiv angehen und dokumentieren.
Wer die Betroffenheitsprüfung unterlässt und tatsächlich unter NIS2 fällt, riskiert empfindliche Bußgelder und eine persönliche Haftung der Geschäftsführung. Für wesentliche Einrichtungen können Bußgelder bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes verhängt werden.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

NIS-2-Richtlinie Meldepflicht nach NIS2 ISMS (Informationssicherheits-Managementsystem) Compliance-Management-System (CMS) Risikobewertung (Risk Assessment)
Zurück zum Glossar