NIS2 verstehen: Anwendungsbereich und Betroffenheit
Kernaussage
Die erste NIS2-Frage ist nicht "Welche Maßnahmen müssen wir umsetzen?", sondern "Sind wir überhaupt betroffen, und wenn ja, als welche Kategorie?". Die Richtlinie (EU) 2022/2555 (NIS2) unterscheidet zwischen **wesentlichen Einrichtungen** und **wichtigen Einrichtungen**. Diese Einordnung bestimmt vor allem das Aufsichtsregime und die Sanktionshöhe, nicht das Ob der Pflichten.
Betroffenheit ergibt sich aus der Kombination von **Sektor** (Anhang I oder Anhang II) und **Größe** des Unternehmens. Wer das nicht sauber feststellt und dokumentiert, riskiert unbemerkte Non-Compliance oder unnötigen Aufwand. Wichtig: NIS2 ist eine EU-Richtlinie und wird erst durch die **nationale Umsetzung** verbindlich. Die Einordnung muss daher gegen das nationale Recht abgeglichen werden, in Deutschland gegen das NIS2-Umsetzungsgesetz.
Problem in der Praxis
In vielen Unternehmen kursiert die Annahme "Wir sind keine kritische Infrastruktur, also betrifft uns NIS2 nicht". Das ist gefährlich verkürzt. NIS2 erweitert den Adressatenkreis deutlich gegenüber der aufgehobenen NIS-Richtlinie (EU) 2016/1148. Betroffen sind nun zahlreiche mittlere und große Unternehmen quer durch Anhang I und II, vom verarbeitenden Gewerbe über Lebensmittel und Abfallwirtschaft bis zu digitalen Diensten.
Zweites Problem: Die Betroffenheit wird im Bauchgefühl abgehakt, aber nicht belegt. Bei einer Aufsichtsmaßnahme oder einem Vorfall fehlt dann die nachvollziehbare Begründung. Eine Betroffenheitsanalyse ist kein Vermerk in einer E-Mail, sondern eine begründete, datierte und freigegebene Feststellung. Drittes Problem: Konzernstrukturen und grenzüberschreitende Tätigkeiten machen die Einordnung komplex; eine pauschale Konzernantwort verdeckt oft, dass einzelne Gesellschaften unterschiedlich einzustufen sind.
CISO-Einordnung
Die Betroffenheitsanalyse beantwortet vier Fragen:
- Sektor: Fällt eine Tätigkeit unter Anhang I (Sektoren mit hoher Kritikalität, u. a. Energie, Verkehr, Bankwesen, Gesundheit, Trinkwasser, digitale Infrastruktur, öffentliche Verwaltung) oder Anhang II (sonstige kritische Sektoren, u. a. Post-/Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe, Anbieter digitaler Dienste)? Die vollständigen Listen stehen in den Anhängen der Richtlinie und im nationalen Recht.
- Größe: NIS2 stellt grundsätzlich auf mittlere und große Unternehmen ab (size-cap-Regel). Für bestimmte Einrichtungen gilt die Betroffenheit jedoch unabhängig von der Größe.
- Kategorie: Sind wir danach eine wesentliche oder eine wichtige Einrichtung? Diese Zuordnung steuert vor allem Aufsichtsregime und Sanktionsrahmen. Die nationale Umsetzung kann abweichende Bezeichnungen verwenden; in Deutschland spricht das NIS2-Umsetzungsgesetz von besonders wichtigen und wichtigen Einrichtungen.
- Sonderregime: Greift ein vorrangiges Spezialregime? Für den Finanzsektor gilt etwa DORA (Verordnung (EU) 2022/2554) als lex specialis; Ausnahmen bestehen u. a. für nationale Sicherheit und Verteidigung.
Der Unterschied liegt nicht im Ob der Risikomanagement- und Meldepflichten, sondern in Aufsichtsintensität und Sanktionshöhe. Wesentliche Einrichtungen unterliegen einer proaktiven Aufsicht (u. a. Inspektionen, Audits), wichtige primär einer anlassbezogenen Aufsicht (ex post).
Umsetzungsperspektive
Eine belastbare Betroffenheitsanalyse lässt sich in nachvollziehbaren Schritten aufbauen:
- Tätigkeiten erfassen: je Gesellschaft und Standort. Nicht der Firmenname zählt, sondern die reale Tätigkeit.
- Sektor-Mapping: jede Tätigkeit gegen Anhang I und II der Richtlinie und gegen die nationale Umsetzung spiegeln.
- Größenprüfung: Mitarbeiterzahl und finanzielle Schwellen pro Einheit bestimmen, Konzernzurechnung beachten. Die genauen Schwellen und Zurechnungsregeln stehen im nationalen Recht.
- Kategorisierung: je Einheit als wesentlich, wichtig oder nicht betroffen einordnen, mit Begründung.
- Sonderregime und Folgepflichten: vorrangige Rahmen (z. B. DORA) und Ausnahmen prüfen sowie etwaige Registrierungs- und Meldepflichten gegenüber der zuständigen Behörde klären (Verfahren nach nationalem Recht).
- Freigabe und Wiedervorlage: Ergebnis durch die Leitung freigeben und mit festem Prüfintervall versehen.
Die Analyse ist kein Einmalprodukt: Neue Geschäftsfelder, Zukäufe, Wachstum über Größenschwellen oder Gesetzesänderungen können die Einordnung kippen. Der CISO sollte sie deshalb als wiederkehrenden Prüfpunkt im ISMS verankern.
Typische Fehler
- Betroffenheit wird pauschal verneint, weil man sich nicht als "kritische Infrastruktur" sieht.
- Die Prüfung erfolgt nur auf Konzernebene statt je Gesellschaft und Tätigkeit.
- Die Einordnung wird nicht dokumentiert und nicht von der Leitung freigegeben.
- Es wird nur der Richtlinientext gelesen, ohne die nationale Umsetzung mit ihren abweichenden Details und Schwellen.
- Nationale Detailregelungen werden fälschlich als unionsweit einheitlich angenommen.
- Die Analyse wird nicht wiederholt, obwohl sich Tätigkeiten und Größe ändern.
Risiken und Trade-offs
Eine zu enge Auslegung ist das größere Risiko: Wer sich fälschlich als nicht betroffen einstuft, baut weder Governance- noch Melde- und Risikomanagementstrukturen auf und steht bei einem Vorfall ohne Nachweise da. Die Folgen reichen von empfindlichen Geldbußen bis zur persönlichen Verantwortung der Leitungsebene.
Eine zu weite Auslegung kostet Ressourcen für Pflichten, die rechtlich nicht greifen, kann aber als bewusste, dokumentierte Vorsichtsentscheidung sinnvoll sein, etwa bei unsicherer Einstufung an einer Schwelle oder absehbarem Wachstum. Bei Konzernen und Mischtätigkeiten ist die granulare Prüfung aufwendiger, aber rechtssicherer als die schnelle Pauschalantwort.
Entscheidungspunkte
- Prüfen wir Betroffenheit je rechtlicher Einheit und Tätigkeit oder pauschal auf Gruppenebene?
- Wer trägt die fachliche und rechtliche Verantwortung für die Einstufung, und wer gibt sie frei?
- Wie gehen wir mit Grenzfällen an Sektor- oder Größenschwellen um, konservativ oder strikt nach Wortlaut?
- In welchem Intervall und bei welchen Auslösern (Zukauf, Wachstum, neue Geschäftsfelder, Gesetzesänderung) prüfen wir erneut, und ziehen wir dafür externe Rechtsberatung hinzu?
Praktische Empfehlungen
- Führen Sie eine dokumentierte Betroffenheitsanalyse je Gesellschaft und Tätigkeit durch, mit Begründung, Datum und Freigabe.
- Spiegeln Sie Tätigkeiten zuerst gegen Anhang I und II, danach gegen die nationale Umsetzung; behandeln Sie nationale Details nicht als unionsweit fix.
- Klären Sie Größenkriterien und Konzernzurechnung anhand des nationalen Rechts.
- Trennen Sie Kategorie (wesentlich/wichtig) und Pflichteninhalt; die Kategorie steuert vor allem Aufsicht und Sanktionen.
- Verankern Sie die Prüfung als wiederkehrenden Prüfpunkt mit klaren Auslösern und ziehen Sie bei Grenzfällen und Sonderregimen früh juristische Expertise hinzu.
Relevante Normreferenzen
- Richtlinie (EU) 2022/2555 (NIS2) vom 14. Dezember 2022, ABl. L 333 vom 27.12.2022, S. 80 bis 152: Rechtsgrundlage für Anwendungsbereich, Kategorien (wesentlich/wichtig), Anhang I und II sowie Aufsicht und Sanktionen. Hebt die NIS-Richtlinie (EU) 2016/1148 auf.
- Nationale Umsetzung, in Deutschland das NIS2-Umsetzungsgesetz: maßgeblich für verbindliche Schwellen, Verfahren und Detailregelungen. Die EU-Umsetzungsfrist endete am 17. Oktober 2024; der nationale Umsetzungsstand kann davon abweichen und ist vor Nutzung zu prüfen.
- Verordnung (EU) 2022/2554 (DORA): Spezialregime für den Finanzsektor (lex specialis).
Häufige Fragen
Sind wir von NIS2 betroffen, wenn wir keine kritische Infrastruktur sind?+
Möglicherweise ja. NIS2 erfasst zahlreiche mittlere und große Unternehmen in den Sektoren von Anhang I und II, nicht nur klassische kritische Infrastrukturen. Maßgeblich sind Tätigkeit und Größe.
Was ist der Unterschied zwischen wesentlichen und wichtigen Einrichtungen?+
Beide unterliegen Risikomanagement- und Meldepflichten. Sie unterscheiden sich vor allem in Aufsichtsintensität (proaktiv vs. anlassbezogen) und Sanktionshöhe.
Gilt NIS2 direkt, oder brauchen wir das nationale Gesetz?+
NIS2 ist eine Richtlinie und wird über die nationale Umsetzung verbindlich. Für Schwellen, Verfahren und Details ist das nationale Recht maßgeblich, in Deutschland das NIS2-Umsetzungsgesetz.
Reicht eine einmalige Prüfung der Betroffenheit?+
Nein. Tätigkeiten, Größe und Recht ändern sich. Die Analyse sollte mit festen Auslösern und Intervallen wiederholt werden.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen NIS-2 prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: nis2-001.
