NIS2: Welche Unternehmen sind betroffen?

von Marcel Geschwill |
13. Mai 2026 |
Digitale Transformation

Die NIS2-Richtlinie hat den Kreis der betroffenen Unternehmen gegenüber der Vorgängerrichtlinie drastisch erweitert. Während NIS1 noch auf eine überschaubare Zahl klassischer kritischer Infrastrukturen zielte, erfasst NIS2 nun 18 Sektoren mit tausenden zusätzlichen Unternehmen in Deutschland. Dieser Artikel gibt einen vollständigen Überblick über alle betroffenen Branchen.

So teilt NIS2 betroffene Unternehmen ein

NIS2 unterscheidet grundlegend zwischen zwei Kategorien, nicht nach Branche, sondern nach Kritikalität und Unternehmensgröße:

Wesentliche Einrichtungen (Essential Entities): Unternehmen ab 250 Mitarbeitern ODER mit mehr als 50 Millionen Euro Jahresumsatz und mehr als 43 Millionen Euro Bilanzsumme in hochkritischen Sektoren. Proaktive Aufsicht durch das BSI, Bußgelder bis 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.

Wichtige Einrichtungen (Important Entities): Unternehmen ab 50 Mitarbeitern ODER mit mehr als 10 Millionen Euro Jahresumsatz in weiteren wichtigen Sektoren. Reaktive Aufsicht (nach Vorfällen), Bußgelder bis 7 Millionen Euro oder 1,4 % des Jahresumsatzes.

Wichtig: Einige Unternehmen gelten unabhängig von Größe und Umsatz als wesentliche Einrichtungen, zum Beispiel, wenn sie der einzige Anbieter eines kritischen Dienstes in einem Mitgliedsstaat sind oder wenn der Ausfall ihrer Dienste erhebliche gesellschaftliche Auswirkungen hätte.

Wesentliche Einrichtungen

Sektor 1: Energie

Betroffen sind Unternehmen aus der Stromerzeugung und -verteilung, Gaserzeugung, -verteilung und -transport, Fernwärme und -kälte sowie Erdöl- und Wasserstoffinfrastruktur. Besondere Herausforderung: Viele Energieversorger betreiben sowohl IT-Systeme (Buchhaltung, ERP) als auch OT-Systeme (Operational Technology wie SCADA und ICS), die jeweils eigene Sicherheitsanforderungen stellen und schwer zu integrieren sind.

Sektor 2: Verkehr

Luft-, Schienen-, Straßenverkehr und Seeschifffahrt. Betroffen sind Flughafenbetreiber, Eisenbahnunternehmen (Infrastruktur und Betrieb), Hafenbetreiber sowie Anbieter intelligenter Verkehrssysteme. Für den Verkehrssektor besonders relevant: die Sicherheit von Leitsystemen, Echtzeit-Kommunikationsinfrastruktur und Passagierdaten.

Sektor 3: Bankwesen

Kreditinstitute und Zahlungsdienstleister. Viele Finanzinstitute unterliegen bereits bestehenden Regulierungen (DORA, BAIT, MaRisk). NIS2 ergänzt und verschärft diese Anforderungen, schafft aber auch Synergien: Wer DORA-konform ist, hat viele NIS2-Anforderungen bereits erfüllt.

Sektor 4: Finanzmarktinfrastrukturen

Handelsplätze, zentrale Gegenparteien und Zentralverwahrer. Auch hier bestehen enge Überschneidungen mit DORA, die eine koordinierte Umsetzung beider Regelwerke empfehlenswert macht.

Sektor 5: Gesundheitswesen

Krankenhäuser, Labore, Medizinproduktehersteller, Pharmaunternehmen und Apothekenversorger. Ransomware-Angriffe auf Kliniken haben gezeigt, wie verheerend Sicherheitsvorfälle im Gesundheitsbereich sein können: Patientenleben sind in Gefahr, wenn Systeme ausfallen. NIS2 zwingt den Sektor zu einem deutlich höheren Sicherheitsniveau.

Sektor 6: Trinkwasser

Wasserversorgungsunternehmen. Besondere Herausforderung: Viele kommunale Versorger sind erstmals reguliert und müssen Sicherheitsstrukturen von Grund auf aufbauen. Gleichzeitig sind Budgets oft begrenzt und IT-Kompetenz intern kaum vorhanden.

Sektor 7: Abwasser

Abwasserentsorger und -behandler. Ähnlich wie bei der Trinkwasserversorgung stehen viele Betreiber vor der Aufgabe, erstmals strukturierte Cybersicherheitsmaßnahmen einzuführen.

Sektor 8: Digitale Infrastruktur

Rechenzentren, Cloud-Anbieter, DNS-Betreiber, Internet Exchange Points (IXPs) und Telekommunikationsunternehmen. Als Backbone der digitalen Wirtschaft tragen diese Unternehmen eine besondere Verantwortung: Ein Ausfall oder eine Kompromittierung kann tausende weitere Unternehmen gleichzeitig betreffen.

Sektor 9: Öffentliche Verwaltung

Behörden und öffentliche Einrichtungen auf nationaler und regionaler Ebene. Besondere Herausforderung: Verwaltungen verfügen oft über gewachsene, heterogene IT-Landschaften und müssen Sicherheitsstrukturen häufig ohne dedizierte Cybersicherheitsteams aufbauen.

Sektor 10: Raumfahrt

Betreiber von Raumfahrtinfrastruktur auf nationaler oder europäischer Ebene. Erstmals explizit in der NIS2-Richtlinie aufgeführt – ein klares Signal für die wachsende sicherheitspolitische Bedeutung des Sektors.

Wichtige Einrichtungen

Neben den zehn wesentlichen Sektoren erfasst NIS2 weitere acht Sektoren als wichtige Einrichtungen:

  • Post- und Kurierdienste: Paketdienstleister, Briefzusteller und Logistikdienstleister
  • Abfallwirtschaft: Entsorgungsunternehmen, Recyclinganlagen, kommunale Betriebe
  • Chemische Industrie: Herstellung, Produktion und Vertrieb von Chemikalien und Gefahrstoffen
  • Lebensmittel: Produktion, Verarbeitung und Großhandel
  • Herstellung: Medizingeräte, Elektronik, Fahrzeugbau, allgemeiner Maschinenbau
  • Digitale Anbieter: Online-Marktplätze, Suchmaschinen, soziale Netzwerke sowie Managed Service Provider (MSP) und IT-Dienstleister
  • Forschung: Universitäten und Institute mit sicherheitsrelevanten Projekten
  • Arzneimittel & Medizinprodukte: Herstellung und Vertrieb unentbehrlicher Medikamente und medizinischer Geräte

Was die Einstufung konkret bedeutet

Unabhängig vom Sektor gelten für alle betroffenen Einrichtungen dieselben Kernpflichten: Risikoanalyse, technische und organisatorische Sicherheitsmaßnahmen, 24-Stunden-Meldepflicht, Lieferkettensicherheit und Business-Continuity-Management. Der Unterschied liegt in der Höhe der Bußgelder und der Intensität der BSI-Aufsicht.

Unternehmen, die in mehreren Sektoren tätig sind, werden nach dem strengsten Kriterium eingestuft. Ein Pharmaunternehmen mit eigener Logistik etwa wird als wesentliche Einrichtung behandelt.

Bin ich betroffen?

Bejahen Sie eine der folgenden Fragen, sollten Sie Ihre NIS2-Betroffenheit professionell prüfen lassen:

  • Sind wir in einem der genannten Sektoren tätig?
  • Beschäftigen wir mehr als 50 Mitarbeiter oder erzielen wir mehr als 10 Millionen Euro Jahresumsatz?
  • Sind wir Zulieferer für ein Unternehmen, das kritische Infrastruktur betreibt?
  • Erbringen wir Dienste, deren Ausfall weitreichende gesellschaftliche Konsequenzen hätte?

Häufig gestellte Fragen (FAQ)

Welche Branchen sind von NIS2 betroffen?

NIS2 erfasst insgesamt 18 Sektoren in zwei Kategorien. Zu den wesentlichen Einrichtungen zählen unter anderem Energie, Verkehr, Banken und Finanzmärkte, Gesundheitswesen, Wasser, digitale Infrastruktur und Raumfahrt. Wichtige Einrichtungen umfassen unter anderem Post- und Kurierdienste, Chemie, Lebensmittelproduktion, Fertigung, digitale Dienste, Forschung sowie IT- und Kommunikationsdienstleister.

Muss ein Handwerksbetrieb NIS2 umsetzen?

In der Regel nein. Handwerksbetriebe gehören nicht zu den NIS2-relevanten Sektoren und liegen meist unter den Grenzwerten. Ausnahmen gelten, wenn ein Handwerksbetrieb als Zulieferer kritischer Infrastruktur fungiert oder spezialisierte Systeme für Sektoren wie Energie oder Gesundheit betreut.

Sind IT-Dienstleister grundsätzlich von NIS2 betroffen?

IT-Dienstleister, die Rechenzentren, Cloud-Dienste, Telekommunikationsinfrastruktur oder Managed Services betreiben, fallen direkt unter NIS2. Generelle IT-Dienstleister ohne kritischen Infrastrukturcharakter sind nicht automatisch direkt betroffen, müssen jedoch die NIS2-Anforderungen ihrer Kunden erfüllen.

Sie möchten mehr über NIS2 wissen? Nehmen Sie Kontakt auf und erfahren Sie, wie Ihr Unternehmen NIS2-konform wird: https://www.fme.de/dienstleistungen/business-consulting/nis2/

Haben wir Ihr Interesse geweckt? Dann schreiben Sie uns doch einfach.
JETZT KONTAKT AUFNEHMEN
×

0 Kommentare

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert