Die meisten Antworten auf "Bin ich von NIS2 betroffen?" sind schwammig. Hier ist die eindeutige Version. Sie fallen unter die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) nur, wenn Sie beide Fragen mit Ja beantworten.
Frage 1: Ist Ihr Sektor erfasst?
NIS2 listet Sektoren in zwei Anhängen.
Anhang I (Sektoren mit hoher Kritikalität): Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B, einschließlich Managed Service Provider), öffentliche Verwaltung und Weltraum.
Anhang II (sonstige kritische Sektoren): Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe (Medizinprodukte, Computer und Elektronik, Maschinen, Kraftfahrzeuge), digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke) und Forschung.
Frage 2: Sind Sie groß genug?
NIS2 gilt in der Regel ab dem mittleren Unternehmen: ab 50 Mitarbeitern oder 10 Mio. EUR Jahresumsatz bzw. Bilanzsumme. Darunter sind Sie meist nicht betroffen, mit Ausnahmen (DNS-Anbieter, TLD-Registries, Vertrauensdiensteanbieter und bestimmte Telekom- und Digitalinfrastruktur-Anbieter sind unabhängig von der Größe betroffen).
Wesentliche oder Wichtige Einrichtung?
- Wesentliche Einrichtung (große Einrichtungen in Anhang I): proaktive Aufsicht, Bußgelder bis 10 Mio. EUR oder 2% des weltweiten Umsatzes.
- Wichtige Einrichtung (mittlere Einrichtungen in Anhang I sowie Anhang-II-Einrichtungen): reaktive Aufsicht, Bußgelder bis 7 Mio. EUR oder 1,4%.
Nach Art. 20 muss die Geschäftsleitung die Maßnahmen genehmigen und überwachen und haftet persönlich.
Die Ausnahme für Banken und Versicherer: DORA statt NIS2
Häufigster Irrtum: Bankwesen und Finanzmarktinfrastruktur stehen zwar in Anhang I, aber DORA (Verordnung (EU) 2022/2554) ist die speziellere Regelung für Finanzunternehmen. Wo ein sektorspezifischer Rechtsakt mindestens gleichwertige Anforderungen stellt, gilt dieser statt NIS2 (Art. 4). Das bedeutet: Banken, Versicherer und die meisten regulierten Finanzunternehmen folgen DORA, nicht den Art.-21-Maßnahmen von NIS2.
Deutschland und Österreich
Die Umsetzung erfolgt national. In Deutschland über das NIS2-Umsetzungsgesetz (Registrierung beim BSI), in Österreich über das NISG (Meldung bei der zuständigen Behörde). Die genauen Fristen ergeben sich aus dem jeweiligen nationalen Gesetz. Prüfen Sie Ihren Status jetzt und dokumentieren Sie Ihre Registrierung.
Prüfen Sie Ihre Betroffenheit in 30 Sekunden
-> Kostenlose NIS2-Betroffenheitsprüfung starten - Sektor, Mitarbeiterzahl und Umsatz eingeben und sofort das Ergebnis erhalten: Wesentlich, Wichtig oder nicht betroffen.
-> Welche EU-Vorschriften gelten für mich? - der QuickScan deckt NIS2, DSGVO, CBAM, PPWR und den AI Act ab.
Quelle
Richtlinie (EU) 2022/2555 (NIS2) | Verordnung (EU) 2022/2554 (DORA)
Zuletzt geprüft: 21. Juni 2026.