Cybervize Logo

Betroffenheitsprüfung nach NIS2 – wenn „Vielleicht“ teuer wird

By Alexander Busse6/8/2025
Betroffenheitsprüfung nach NIS2 – wenn „Vielleicht“ teuer wird

NIS2-Betroffenheitsprüfung: Millionen-Euro-Strafen oder Planungssicherheit?

Viele Unternehmen stehen gerade vor einer Frage, die über Millionen € Strafen oder Planungssicherheit entscheidet: Betroffenheitsprüfung nach NIS2 – sind wir drin oder draußen?

Am 07. Mai 2025 stellte das BSI im Rahmen von #nis2know – Wirtschaft Fokus Betroffenheitsprüfung klar, wie Organisationen den Scope-Check strukturiert angehen. Ich habe das Webinar für Sie seziert und die Essenz aufgeschrieben.

Speed-Briefing

  • Zeitleiste: Umsetzungsgesetz soll im 3. Quartal 2025 verabschiedet werden. Wer bis dahin keine Betroffenheitsprüfung vorlegt, riskiert Bußgelder bis 2 % des weltweiten Umsatzes.
  • x5-Effekt: Die Zahl der regulierten Firmen steigt von 6.000 auf ca. 29.000.
  • Self-Check: Das kostenlose BSI-Tool liefert in unter zehn Minuten ein Prüfergebnis: https://www.bsi.bund.de/NIS2-Betroffenheitspruefung
  • Kennzahlen: <50 MA oder <10 Mio € Umsatz? meistens raus. Alle anderen müssen prüfen.
  • Grundlagen: EU-Richtlinie 2022/2555, EU-SME-Definition 2003/361/EC, BSI-FAQ-Seite sowie die Webinar-Folien.

Nach der Bundestagswahl: Warum sich der Fahrplan kaum verschiebt

Die Neuwahl im Februar 2025 verzögert den Gesetzgebungsprozess, aber die EU-Kommission treibt das Vertragsverletzungsverfahren bereits voran.

Das Innenministerium will den letzten Entwurf des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes fast unverändert erneut einbringen.

Für Chief Information Security Officers, Geschäftsleitungen und IT-Leiter heißt das: Die Basislinie der EU bleibt das Mindestmaß – wer heute höher liegt, bleibt auf der sicheren Seite.

Das BSI bestätigte im Webinar, dass Unternehmen, die sich freiwillig registrieren, bevorzugt unterstützt werden. Dieser Good-Will-Bonus kann sich bei künftigen Aufsichtsprüfungen auszahlen.

Gleichzeitig warnen Fachjuristen, dass eine freiwillige Registrierung keine nachteiligen Folgen hat, solange das Unternehmen belegbar außerhalb des Scopes liegt.

Die Formel lautet also: Lieber früh Transparenz schaffen, als später in Beweisnot geraten.

Drei Aha-Momente aus dem Webinar

  • Konzerneffekt: Tochtergesellschaften landen schnell im Scope, wenn konzernweite MA- und Umsatzzahlen addiert werden. Beispiel: Ein Entwicklungshub mit 30 MA wird wesentliche Einrichtung, sobald der Mutterkonzern insgesamt >250 MA zählt.
  • Nebengeschäft kippt den Status: Eine Photovoltaikanlage auf dem Hallendach, die Strom ins Netz einspeist, verschiebt sogar einen Möbelproduzenten in den Energiesektor – inklusive NIS2-Pflichten.
  • Entscheidungsbaum statt Bauchgefühl: Das BSI-Tool führt mit reiner Ja-/Nein-Logik durch Richtlinienartikel, Anhänge und Ausnahmen. Die letzte Seite spuckt ein PDF aus, das als Audit-Nachweis dient. Tipp: Lassen Sie dieses Resultat von CISO, Legal und Controlling gegenzeichnen und archivieren.

Betroffenheitsprüfung in fünf Schritten

  • Tool starten: Öffnen Sie das BSI-Self-Assessment und sichern Sie den Link in Ihrem Wiki.
  • Sektor auswählen: Energie, Verkehr, Gesundheit, FinTech, verarbeitendes Gewerbe (C 26-30) usw. – alles direkt aus Anhang 1 & 2 der EU-Richtlinie.
  • Kennzahlen eintragen: Sonderfälle prüfen
  • Telco, DNS, qualifizierter Vertrauensdienst: hier greift NIS2 unabhängig von der Größe.
  • Ergebnis dokumentieren: PDF herunterladen, in Ihrem ISMS ablegen, Prüfdatum setzen.

Praxis-Tipp: Nutzen Sie den IT-Grundschutz-Kompass als Schnell-Audit, um Lücken noch vor Inkrafttreten des Gesetzes zu schließen.

Wichtige, wesentliche, KRITIS – Kurzvergleich

Die Unterschiede liegen aktuell hauptsächlich bei Bußgeldern und Aufsichtsintensität. Wer von wichtige in wesentliche Einrichtung rutscht, muss vor allem mit häufigeren Nachweisanforderungen rechnen.

Maßnahmen, die Sie heute schon realisieren können

  • Inventar aktualisieren: Verknüpfen Sie Geschäftstätigkeiten mit Anhang 1 & 2 und legen Sie verantwortliche Owner fest.
  • Kennzahlen simulieren: Controlling liefert MA-, Umsatz- und Bilanzdaten pro Rechtsträger – konsolidiert und separat.
  • Rollen klären: Mindestens zwei namentliche Ansprechpartner für Incident-Meldungen bestimmen.
  • Grundschutz-Gap schließen: Ein dreistündiger Workshop reicht oft, um erste Quick-Wins (Patch-Management, MFA, Logging) zu fixen.
  • Lieferanten einbeziehen: Ab 2026 müssen Kernlieferanten ähnliche Controls nachweisen – NDA-Ergänzung jetzt vorbereiten.

Wie das BSI weiter vorgeht

FAQ-Updates: Monatlicher Release-Zyklus mit neuen Praxisfragen.

Melde-Portal: Testbetrieb in H2 2025 geplant – Unternehmen können fiktive Vorfälle zum Üben einstellen.

Pilot-Audits: 50 wichtige und wesentliche Einrichtungen aus Energie und Health-Tech erhalten ab Q4 2025 einen Erstbesuch.

Die Aufsicht betont, dass „kooperatives Verhalten" bei Pilot-Audits positiv vermerkt wird – ein starkes Argument für frühzeitige Dokumentation.