Die NIS2 Richtlinie erfasst alle mittleren und großen Unternehmen ab 50 Mitarbeiter oder 10 Millionen Euro Jahresumsatz, die in einem der 18 definierten Sektoren der EU tätig sind. In Deutschland fallen damit rund 30.000 Einrichtungen in den Anwendungsbereich. Dies stellt eine drastische Ausweitung gegenüber der bisherigen KRITIS Regulierung dar. Wer die eigene Betroffenheit ignoriert, riskiert erhebliche Bußgelder und die persönliche Haftung der Geschäftsführer. Viele Unternehmen stellen sich aktuell die Frage: NIS2 wer ist betroffen? Die MR Datentechnik unterstützt betroffene Unternehmen im DACH-Raum dabei, die neuen gesetzlichen Anforderungen als strategischer IT-Partner sicher zu navigieren.
Was regelt die NIS2-Richtlinie konkret?
Die NIS 2 Richtlinie (Network and Information Security) verbessert die EU-weite Cybersicherheit kritischer Dienste auf nationaler Ebene. Sie ersetzt die alte NIS Richtlinie aus dem Jahr 2016. Die Anzahl der betroffenen Organisationen steigt massiv. Neu erfasst sind Branchen wie Industrieunternehmen, Maschinenbauer und IT-Dienstleister, die bisher nicht als KRITIS Sektor galten. Das primäre Ziel ist ein hohes, gemeinsames Schutzniveau gegen wachsende Bedrohungen.
Die Richtlinie fordert zwingend Mindeststandards in der IT Sicherheit. Sie verlangt ein umfassendes Risikomanagement mit besonderem Fokus auf die Lieferkette sowie Netz- und Informationssysteme. Zudem gelten strenge Meldepflichten bei Vorfällen. Unternehmen in Deutschland müssen Vorfälle innerhalb von 24 Stunden initial und innerhalb von 72 Stunden detailliert an Behörden wie das BSI melden. Die Registrierung beim BSI ist für erfasste Einrichtungen verpflichtend.
Die zwei zentralen Kriterien der Betroffenheit
Die proaktive Betroffenheitsprüfung erfolgt systematisch in zwei Schritten. Behörden verschicken keine automatischen Benachrichtigungen. Unternehmen und Einrichtungen prüfen die Kriterien selbständig.
Kriterium 1: Die Unternehmensgröße („size-cap“-Regel)
Die Unternehmensgröße ist der erste entscheidende Faktor. Ein Unternehmen fällt unter NIS2, wenn es mindestens 50 Mitarbeitende beschäftigt oder einen Umsatz von mindestens 10 Millionen Euro erzielt. Mittelgroße Betriebe mit bis zu 249 Beschäftigten gelten typischerweise als wichtige Einrichtungen (Important Entities). Große Unternehmen ab 250 Beschäftigten in kritischen Sektoren stuft das Gesetz meist als wesentliche Einrichtungen (Essential Entities) ein.
Kriterium 2: Der Unternehmenssektor
Das zweite Kriterium ist die Zugehörigkeit zu einem der 18 definierten Sektoren. Die EU Richtlinie teilt diese in zwei Hauptkategorien auf. Elf Sektoren gelten als hochkritisch. Dazu zählen Energie, Verkehr, Bankwesen, Gesundheitswesen, Trinkwasser, Wasserversorgung, Abwasser, das digitale Netz und zentrale öffentliche Verwaltung. Sieben weitere Sektoren gelten als wichtig. Diese umfassen Postdienste, Abfallwirtschaft, die Herstellung kritischer Produkte, Lebensmittel Produktion und Vertrieb sowie digitale Dienste. Hier gibt es weitreichende Änderungen zur bisherigen Rechtslage.
Essential vs. Important Entities: Der feine Unterschied
Die Einstufung bestimmt die Härte der Aufsicht. Zwischen den Kategorien wird in der Praxis stark unterschieden.
- Essential Entities: Diese Betreiber unterliegen einer proaktiven, intensiven Überwachung. Behörden führen regelmäßige Vor Ort-Kontrollen durch. Bei Verstößen drohen Strafen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.
- Important Entities: Hier kontrollieren die Behörden vorwiegend anlassbezogen, etwa nach schweren Cyberattacken. Hier liegen die maximalen Bußgelder bei 7 Millionen Euro oder 1,4 Prozent des Jahresumsatzes.
Die unterschätzte Gefahr: Indirekte Betroffenheit über Lieferketten
NIS 2 erfasst Unternehmen auch indirekt über die Lieferkette. Große KRITIS-Kunden fordern ab sofort strenge Nachweise über Sicherheitsmaßnahmen von ihren Zulieferern. Wer diese vertraglichen Anforderungen nicht erfüllt, verliert wichtige Aufträge. Die MR Unternehmensgruppe begleitet den Mittelstand beim Aufbau normgerechter Sicherheitskonzepte und eines belastbaren ISMS nach ISO 27001.
Das Gesetz ist in Kraft: Keine Übergangsfristen
Das deutsche Umsetzungsgesetz (NIS2UmsuCG) hat die Vorgaben final in nationales Recht überführt. Das Gesetz ist am 6. Dezember 2025 in Kraft getreten. Der Gesetzgeber sieht keine Übergangsfristen vor, sodass die Pflichten zur Cybersicherheit ab sofort und unmittelbar gelten. Neben empfindlichen Bußgeldern drohen bei gezielten Cyberangriffen massive Betriebsausfälle.
Eine umgehende Betroffenheitsprüfung und eine professionelle Gap-Analyse schaffen Klarheit. Die MR Datentechnik etabliert als zertifizierter Lösungsanbieter passgenaue Maßnahmen, um Infrastrukturen ganzheitlich abzusichern.
MR Datentechnik – Ihr erfahrener Partner für die NIS2-Umsetzung
Die Umsetzung der NIS 2 Richtlinie ist hochkomplex und erfordert strategische Weitsicht. Die MR Datentechnik unterstützt den Mittelstand und den Public Sector im DACH-Raum bei dieser Herausforderung. Als ISO 27001 zertifiziertes IT-Systemhaus bietet die Unternehmensgruppe einen strukturierten Überblick und ganzheitliche Lösungen. Das Leistungsspektrum reicht von der Betroffenheitsprüfung über die Klärung aller relevanten Themen bis hin zur Implementierung modernster Sicherheitsmaßnahmen. Unternehmen minimieren so ihre rechtlichen Risiken, sichern den Schutz ihrer Daten und stärken ihre Cyberresilienz nachhaltig.
Sichern Sie Ihre IT-Infrastruktur ab. Kontaktieren Sie die Experten der MR Datentechnik noch heute für ein fundiertes Erstgespräch und machen Sie Ihre Organisation prüfungssicher.
HÄUFIG GESTELLTE FRAGEN (FAQ)
Wer ist von der NIS2-Richtlinie betroffen?
Die Richtlinie erfasst alle mittleren und großen Unternehmen ab 50 Mitarbeitenden oder 10 Millionen Euro Umsatz, die in einem der 18 definierten kritischen oder wichtigen Sektoren tätig sind.
Bin ich von NIS2 betroffen?
Um diese Frage zu klären, müssen Organisationen eigenständig prüfen, ob sie die gesetzlichen Schwellenwerte überschreiten und in den betroffenen Branchen aktiv sind. Eine professionelle Betroffenheitsprüfung durch externe IT-Berater schafft hier Rechtssicherheit.
Welche Unternehmen fallen unter das KRITIS Dachgesetz?
Das KRITIS-Dachgesetz fokussiert sich auf die physische Sicherheit und erfasst die essenziellsten Betreiber kritischer Anlagen, etwa im Bereich der Energie- oder Wasserversorgung. Diese Unternehmen gelten unter NIS2 ohnehin als wesentliche Einrichtungen.
Wann gilt NIS2?
Die NIS 2 Anforderungen gelten bereits vollumfänglich. Das nationale Umsetzungsgesetz (NIS2UmsuCG) ist am 6. Dezember 2025 in Kraft getreten. Es gibt keine Übergangsfristen; betroffene Unternehmen müssen die Vorgaben sofort erfüllen.
Welche Bedeutung hat ein ISMS für die NIS2-Erfüllung?
Ein Informationssicherheits-Managementsystem (ISMS), idealerweise zertifiziert nach ISO 27001, bildet das strategische Fundament. Es steuert technische Maßnahmen und hilft, gesetzliche Vorgaben verlässlich gegenüber dem BSI nachzuweisen.