Zum Inhalt springen
compliance advisory
Erstgespräch vereinbaren
NIS2-Betroffenheitsanalyse: Sind Sie betroffen? | vsca
NIS2Zuletzt aktualisiert: 2026-06-23

NIS2-Betroffenheitsanalyse: In wenigen Minuten Klarheit

NIS2-Betroffenheitscheck

Schritt 1 von 3

In welchem Sektor ist Ihr Unternehmen überwiegend tätig?

Bitte den am besten passenden Sektor wählen.

Sektoren hoher Kritikalität

Sonstige kritische Sektoren

Zuletzt aktualisiert: 23.06.2026

Ist Ihr Unternehmen von NIS2 betroffen – und wenn ja, als „wesentliche" oder „wichtige" Einrichtung? Unsere NIS2-Betroffenheitsanalyse beantwortet genau diese Frage: kostenlos, ohne Vorwissen und in wenigen Minuten. Sie geben Sektor, Größe und Tätigkeit an, der Check ordnet Ihr Unternehmen ein und zeigt Ihnen, welche Pflichten gelten und welche Schritte als Nächstes anstehen. Seit dem 6. Dezember 2025 gibt es in Deutschland keinen behördlichen Bescheid mehr, der Ihnen Ihre Betroffenheit mitteilt – Sie müssen sie selbst feststellen. Genau dabei hilft dieser Check.

Check starten → in unter 5 Minuten zur ersten Einschätzung. Kostenlos und unverbindlich.

Warum eine NIS2-Betroffenheitsanalyse jetzt zählt

Mit dem NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist der Kreis der betroffenen Einrichtungen in Deutschland von rund 4.500 auf etwa 29.500 Einrichtungen in 18 Sektoren gewachsen. Viele davon haben sich nie als „kritische Infrastruktur" verstanden – vom Maschinenbauer über den IT-Dienstleister bis zum Lebensmittel- oder Logistikbetrieb.

Die entscheidende Besonderheit: NIS2 kennt keinen behördlichen Bescheid. Es gibt keine Behörde, die Ihnen schreibt „Sie sind betroffen". Stattdessen gilt eine Selbstprüfungspflicht – Sie müssen selbst feststellen, ob und in welcher Kategorie Sie in den Anwendungsbereich fallen, und entsprechend handeln. Wer das versäumt, befindet sich nicht am Anfang eines Countdowns, sondern bereits im Verzug:

  • In Kraft seit dem 6. Dezember 2025 – ohne allgemeine Übergangsfrist.
  • BSI-Registrierungsfrist 6. März 2026 – bereits abgelaufen: Laut BDO waren bis dahin erst rund 11.500 der etwa 29.500 betroffenen Einrichtungen registriert.
  • Persönliche Haftung der Geschäftsleitung plus Schulungspflicht für die Leitungsorgane.
  • Bußgelder bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes – maßgeblich ist der jeweils höhere Wert.

Deshalb steht am Anfang jeder NIS2-Umsetzung eine saubere Betroffenheitsanalyse: Sie ist die Grundlage für alles Weitere – für die Registrierung, für die Priorisierung der Maßnahmen und für den Nachweis, dass Ihre Geschäftsleitung ihrer Sorgfaltspflicht nachkommt.

Was Ihnen der NIS2-Betroffenheitscheck bringt

Der Check ist bewusst schlank gehalten. Er ersetzt keine rechtliche Einzelfallprüfung, gibt Ihnen aber eine fundierte erste Orientierung – die Basis für eine belastbare Entscheidung.

  • Schnelle Ersteinschätzung anhand von Sektor, Unternehmensgröße und Tätigkeit – in unter fünf Minuten.
  • Klare Kategorisierung: voraussichtlich betroffen als wesentliche Einrichtung, als wichtige Einrichtung oder voraussichtlich nicht im Anwendungsbereich.
  • Konkrete nächste Schritte statt Paragrafen – inklusive Hinweis auf Registrierungs- und Nachweispflichten.
  • Solide Gesprächsgrundlage: Ihr Ergebnis ist der ideale Ausgangspunkt für ein kostenloses Erstgespräch und eine vertiefte NIS2-Beratung.
  • Kostenlos und unverbindlich – ohne Verkaufsdruck, mit dem Anspruch, präzise statt alarmistisch zu informieren.

So funktioniert der Check – Ihr Fragen-Flow

Der NIS2-Betroffenheitscheck führt Sie durch wenige, klar formulierte Fragen. Sie brauchen kein juristisches Vorwissen – nur grundlegende Eckdaten zu Ihrem Unternehmen.

Schritt 1 – Sektor: In welchem der 18 NIS2-Sektoren ist Ihr Unternehmen tätig? Dazu zählen unter anderem Energie, Transport/Verkehr, Bankwesen und Finanzmarktinfrastruktur, Gesundheit, Trinkwasser und Abwasser, digitale Infrastruktur, IKT-Dienstleistungsmanagement, öffentliche Verwaltung, Weltraum sowie – neu hinzugekommen – etwa Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe (z. B. Maschinen- und Fahrzeugbau), digitale Dienste und Forschung.

Schritt 2 – Unternehmensgröße: Wie viele Mitarbeitende beschäftigen Sie und wie hoch ist Ihr Jahresumsatz bzw. Ihre Bilanzsumme? Maßgeblich ist in den betroffenen Sektoren grundsätzlich die Schwelle ab 50 Mitarbeitenden oder 10 Mio. € Umsatz.

Schritt 3 – Tätigkeit und Sonderfälle: Erbringen Sie bestimmte Dienste (z. B. als Anbieter digitaler Dienste, als Betreiber kritischer Anlagen oder als Teil einer Lieferkette), bei denen NIS2 unabhängig von der Größe greifen kann? Hier fragen wir die wichtigsten Sonderkonstellationen ab.

Schritt 4 – Ergebnis: Der Check fasst Ihre Angaben zusammen und ordnet Ihr Unternehmen einer der drei Ergebniskategorien zu. Das Ergebnis sehen Sie sofort auf dieser Seite. Auf Wunsch senden wir Ihnen anschließend das ausführliche Ergebnis samt Maßnahmenblatt per E-Mail.

Ihr Ergebnis – und was es bedeutet

Auf Basis Ihrer Angaben ordnet der Check Ihr Unternehmen einer von drei Kategorien zu. Wichtig: Das Ergebnis ist eine Orientierung, keine rechtsverbindliche Feststellung. Die belastbare Einordnung treffen wir im Zweifel gemeinsam.

Voraussichtlich „wesentliche Einrichtung". Sie fallen in einen Sektor mit hoher Kritikalität und überschreiten die Größenschwellen. Für Sie gelten die NIS2-Pflichten in vollem Umfang, inklusive proaktiver Aufsicht. Nächste Schritte: Registrierung beim BSI nachholen, Risikomanagementmaßnahmen nach Art. 21 aufbauen, Meldeprozesse einrichten und die Governance der Geschäftsleitung dokumentieren.

Voraussichtlich „wichtige Einrichtung". Sie sind betroffen, unterliegen aber einer eher reaktiven Aufsicht. Die inhaltlichen Pflichten – Risikomanagement, Meldewesen, Geschäftsleiter-Verantwortung – gelten dennoch. Nächste Schritte: Betroffenheit dokumentieren, Registrierung prüfen und Lücken zwischen Soll und Ist schließen.

Voraussichtlich nicht im Anwendungsbereich. Nach Ihren Angaben fallen Sie derzeit nicht unter NIS2. Das kann sich durch Wachstum, neue Tätigkeiten oder Lieferkettenanforderungen Ihrer Kund:innen ändern – viele Unternehmen werden über Verträge mittelbar in die Pflicht genommen. Eine dokumentierte Negativ-Einschätzung ist auch hier wertvoll.

In allen drei Fällen erhalten Sie Ihr Ergebnis per E-Mail – mit den passenden nächsten Schritten und dem Angebot, die Einordnung gemeinsam zu validieren.

Hinweis zur Selbstprüfungspflicht: Da NIS2 keinen behördlichen Bescheid kennt, ist die dokumentierte Selbsteinschätzung selbst Teil Ihrer Pflichten. Bewahren Sie das Ergebnis und die zugrunde liegenden Annahmen nachvollziehbar auf – das entlastet im Zweifel auch Ihre Geschäftsleitung.

NIS2 – wer ist betroffen? Die typischen Graubereiche

Die Frage „NIS2 – wer ist betroffen?" lässt sich für viele Unternehmen mit Sektor und Größenschwelle beantworten. In der Praxis entstehen die meisten Unsicherheiten aber an den Rändern. Genau deshalb fragt der Check gezielt nach Tätigkeit und Sonderfällen. Diese Konstellationen führen besonders häufig zu Fehleinschätzungen:

  • „Wir sind doch keine kritische Infrastruktur." NIS2 reicht weit über den klassischen KRITIS-Begriff hinaus. Auch ein mittelständischer Maschinen- oder Fahrzeugbauer, ein Lebensmittelproduzent, ein Abfallwirtschaftsbetrieb oder ein Chemieunternehmen kann in den Anwendungsbereich fallen, sobald Sektor und Größenschwelle zusammenkommen.
  • IT- und Managed-Service-Dienstleister: Anbieter von IKT-Dienstleistungsmanagement und digitalen Diensten gehören ausdrücklich zu den 18 Sektoren – auch wenn sie sich selbst eher als „Zulieferer" verstehen.
  • Mittelbare Betroffenheit über die Lieferkette: Selbst wer formal nicht unter NIS2 fällt, wird häufig vertraglich in die Pflicht genommen: Betroffene Kund:innen müssen ihre Lieferketten-Sicherheit nachweisen und geben Anforderungen an ihre Dienstleister weiter.
  • Konzern- und Gruppenstrukturen: Bei verbundenen Unternehmen ist die Zuordnung der Mitarbeitenden- und Umsatzschwellen nicht immer trivial – hier lohnt der genaue Blick.
  • Wachstum kurz unter der Schwelle: Wer heute knapp unter 50 Mitarbeitenden oder 10 Mio. € Umsatz liegt, sollte die Betroffenheit regelmäßig neu bewerten. Eine dokumentierte Negativ-Einschätzung mit Datum ist Gold wert.

Der Check bildet diese Graubereiche so weit wie möglich ab und weist Sie darauf hin, wenn eine vertiefte Prüfung ratsam ist. Eine ausführliche Erläuterung von Betroffenheit, Fristen und Pflichten finden Sie auf unserer Themenseite NIS2.

Was nach der Analyse auf betroffene Unternehmen zukommt

Wenn der Check Sie als betroffen einordnet, ist die Betroffenheitsanalyse erst der Anfang. NIS2 verlangt von wesentlichen wie wichtigen Einrichtungen ein angemessenes, risikobasiertes Maßnahmenpaket. Die wichtigsten Pflichtbereiche im Überblick:

  • Risikomanagementmaßnahmen nach Art. 21 – darunter Risikoanalyse, Vorfallbehandlung, Business Continuity, Lieferketten-Sicherheit, Zugriffskontrolle, Verschlüsselung und Schulungen.
  • Meldepflichten an das BSI mit gestaffelten Fristen bei erheblichen Sicherheitsvorfällen.
  • Registrierung der Einrichtung beim BSI – die Frist vom 6. März 2026 ist abgelaufen, die Pflicht besteht fort.
  • Governance der Geschäftsleitung: Billigung und Überwachung der Maßnahmen sowie Erfüllung der Schulungspflicht der Leitungsorgane – die direkte Antwort auf die persönliche Haftung. Was das für Sie als Geschäftsführer:in konkret bedeutet, fassen wir im Geschäftsführer-Haftungs-Briefing zusammen.

Eine kompakte Schritt-für-Schritt-Orientierung von der Betroffenheit bis zur Umsetzung liefert unsere NIS2-10-Schritte-Checkliste. Ein anerkanntes Gerüst für die technisch-organisatorischen Maßnahmen ist ein ISMS nach ISO/IEC 27001:2022. Es ist kein automatischer NIS2-Nachweis, deckt aber viele der geforderten Maßnahmen ab und erleichtert den Nachweis erheblich. Welche Lücken in Ihrem Fall konkret zu schließen sind, ermitteln wir in der anschließenden NIS2-Beratung.

Von der Analyse zur Umsetzung

Der Check schafft Klarheit über das Ob. Das Wie der Umsetzung gehen wir gemeinsam an – nach dem Baukastenprinzip, risikobasiert statt formalistisch:

  1. Ergebnis besprechen: Im kostenlosen Erstgespräch validieren wir Ihre Einordnung und klären offene Fragen.
  2. Bausteine zusammenstellen: Von der Gap-Analyse über den Aufbau der Risikomanagementmaßnahmen bis zur Meldeprozess-Einrichtung – Sie wählen, was Ihr Reifegrad erfordert.
  3. Umgehend starten: Ohne langen Vorlauf und ohne erzwungene Langfristbindung, priorisiert nach dem höchsten Risiko.

Wie das konkret aussieht, lesen Sie auf der Seite zur NIS2-Beratung. Wenn Sie zunächst tiefer in Definition, Fristen und Pflichten einsteigen möchten, finden Sie alles Wichtige auf unserer Themenseite NIS2 – immer auf aktuellem Stand.

Häufige Fragen zur NIS2-Betroffenheitsanalyse

Wer ist von NIS2 betroffen? Betroffen sind Einrichtungen in den 18 NIS2-Sektoren, die grundsätzlich die Schwelle ab 50 Mitarbeitenden oder 10 Mio. € Umsatz überschreiten. In Deutschland sind das rund 29.500 Einrichtungen – statt zuvor etwa 4.500. Unterschieden wird zwischen „wesentlichen" und „wichtigen" Einrichtungen. In bestimmten Konstellationen (z. B. bei kritischen Diensten) kann NIS2 auch unabhängig von der Größe greifen. Welche Kategorie auf Sie zutrifft, klärt die NIS2-Betroffenheitsanalyse oben.

Wie genau ist das Ergebnis des Checks? Der Check liefert eine fundierte erste Einschätzung anhand der wichtigsten Kriterien – Sektor, Größe und Tätigkeit. Er ersetzt keine rechtliche Einzelfallprüfung, denn NIS2 enthält Sonderfälle und Auslegungsfragen. Für eine belastbare, dokumentierte Einordnung empfehlen wir das anschließende Erstgespräch im Rahmen unserer NIS2-Beratung.

Muss ich selbst prüfen, ob ich betroffen bin? Ja. NIS2 sieht eine Selbstprüfungspflicht vor – es gibt keinen behördlichen Bescheid, der Ihnen Ihre Betroffenheit mitteilt. Sie müssen Ihre Einordnung selbst feststellen, dokumentieren und entsprechend handeln. Genau das macht eine nachvollziehbare Betroffenheitsanalyse so wichtig.

Wir haben die Registrierungsfrist verpasst – was nun? Die BSI-Registrierungsfrist lief am 6. März 2026 ab; bis dahin waren laut BDO erst rund 11.500 der etwa 29.500 Einrichtungen registriert. Die Pflicht besteht aber fort. Klären Sie zuerst mit dem Check Ihre Betroffenheit und holen Sie dann die Nachregistrierung sowie die Umsetzung der Pflichten nach. Wir unterstützen Sie dabei und begrenzen so das Haftungsrisiko Ihrer Geschäftsleitung.

Was kostet die NIS2-Betroffenheitsanalyse? Der Online-Check und das anschließende Erstgespräch zur Einordnung sind kostenlos und unverbindlich. Erst wenn Sie konkrete Umsetzungsbausteine beauftragen, entstehen Kosten – passgenau auf Ihren Bedarf zugeschnitten, ohne Langfristbindung.

Was passiert mit meinen Daten? Wir verarbeiten Ihre Angaben ausschließlich, um Ihnen das Ergebnis bereitzustellen und – bei entsprechender Einwilligung – Sie zu kontaktieren. Die Zusendung erfolgt im Double-Opt-in-Verfahren, eine Weitergabe an Dritte findet nicht statt. Details finden Sie in unseren Datenschutzhinweisen.

Starten Sie jetzt Ihre NIS2-Betroffenheitsanalyse

Klarheit in wenigen Minuten – ohne Vorwissen, kostenlos und unverbindlich. Erfahren Sie, ob NIS2 Ihr Unternehmen trifft und welche Schritte als Nächstes anstehen. Im Anschluss validieren wir Ihr Ergebnis gerne in einem kostenlosen Erstgespräch.

Check starten

Ihr Kontakt: vsquadrat compliance advisory GmbH Kleiner Burstah 12, 20457 Hamburg Tabea Lehnert, Managing Director · tabea@vsquadrat.de · +49 151 40701461 Team Legal · legal@vsquadrat.dewww.vsquadrat.de

Zuletzt aktualisiert: 23.06.2026. Alle regulatorischen Angaben auf dieser Seite geben den Stand vom 23.06.2026 wieder. Der Check liefert eine erste Orientierung und ersetzt keine individuelle Rechtsberatung.

Kostenloses Erstgespräch

Lassen Sie uns sprechen.

Unverbindlich, kostenfrei und konkret: Wir klären Ihren Bedarf und stellen die passenden Bausteine zusammen.

Antwort i. d. R. innerhalb von 24 Stunden. Keine Kosten, keine Verpflichtung.