Magazin
NIS2: Wer ist betroffen? Sektoren und Branchen im Überblick

NIS2: Wer ist betroffen? Sektoren und Branchen im Überblick

Letztes Update:
06
.
08
.
2025
Lesezeit:
0
Min
Voraussichtlich ab Herbst 2025 müssen rund 29.500 Unternehmen in Deutschland zu mehr Cybersicherheit beitragen. Denn dann tritt das neue IT-Sicherheitsgesetz NIS2 auch hierzulande in Kraft. Wer Strafen vermeiden will, muss künftig zentrale Schutzmaßnahmen etablieren. Die Frage ist: Wer ist von NIS2 betroffen?
NIS2: Wer ist betroffen? Sektoren und Branchen im Überblick
Die wichtigsten Erkenntnisse
  • Im Sommer 2025 hat die Bundesregierung die Umsetzung der NIS2-Richtlinie in deutsches Recht auf den Weg gebracht.
  • NIS2 betrifft etwa 29.500 Unternehmen in Deutschland aus 18 festgelegten Sektoren.
  • Für von NIS2 betroffene Unternehmen gelten verschärfte Sicherheitsanforderungen, Meldepflichten und höhere Bußgelder.
  • NIS2 gilt für Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz.
  • Führungskräfte haften bei Verstößen und müssen Cybersicherheitsschulungen absolvieren.

Hintergrund: Was bedeutet NIS2 für Ihr Unternehmen?

Mit der NIS2-Richtlinie reagiert die EU auf die zunehmenden Gefahren durch Cyberangriffe und entwickelt die bisher geltende NIS-Richtlinie (Network and Information Security-Richtlinie) von 2016 weiter. Ziel von NIS2 ist es, Unternehmen und Einrichtungen in der gesamten EU im Kampf gegen Cyberbedrohungen zu stärken und die Zusammenarbeit zwischen den Mitgliedsstaaten und Unternehmen zu fördern. Deshalb sieht die neue Richtlinie unter anderem höhere Sicherheitsstandards als bisher vor. Die Umsetzung in deutsches Recht wird noch für 2025 erwartet. Auf viele Unternehmen in Deutschland kommen damit zahlreiche neue Pflichten und erhöhte Bußgelder im Zusammenhang mit IT-Sicherheit zu.

Wer ist von NIS2 betroffen?

Experten schätzen, dass sich der Kreis der betroffenen Unternehmen und öffentlichen Einrichtungen im Vergleich zu NIS1 allein in Deutschland von etwa 8.000 auf rund 29.500 Unternehmen erweitert. Für sie bringt die Anordnung verschärfte Meldepflichten und Sicherheitsmaßnahmen mit sich. Doch für wen gilt NIS2 nun im Detail? Ob öffentliche und private Einrichtungen unter die NIS2-Vorgabe fallen, hängt maßgeblich von zwei Kriterien ab:

  • Sie gehören einer von 18 festgelegten Sektoren nach NIS2 an.
  • Sie übersteigen eine bestimmte Unternehmensgröße.

Außerdem sind Unternehmen auch indirekt von der NIS2-Richtlinie betroffen, wenn sie Dienstleister oder Lieferanten von betroffenen Einrichtungen sind.

Warum ist es wichtig, die eigene NIS2-Betroffenheit zu prüfen?

Viele Unternehmen beschäftigen sich zwar mit NIS2, glauben aber, nicht von der neuen Richtlinie betroffen zu sein. Laut dem Maschinenbauverband VDMA kamen 24 Prozent der Maschinenbauer in Deutschland nach eigener Prüfung zu dem Schluss, nicht von der NIS2 nicht betroffen sind. In einer eigenen Analyse stellt der VDMA jedoch fest, dass die NIS2-Betroffenheit in der Branche bei rund 90 Prozent liegt und viele Unternehmen ihre Betroffenheit falsch einstufen.  

Ist Ihr Unternehmen NIS2-betroffen?

Der Kreis der NIS2-betroffenen Unternehmen erweitert sich von 8.000 auf 29.500. Viele schätzen ihre Betroffenheit falsch ein. Prüfen Sie kostenlos in nur 10 Minuten, ob auch Ihr Unternehmen die neuen Cybersicherheitsanforderungen erfüllen muss.

Kostenlosen NIS2-Check starten

Betroffene Branchen: Für welche Sektoren gilt NIS2?

Die EU-Anordnung NIS2 unterscheidet zwischen 18 Sektoren. 11 davon gelten als „wichtige“ und 7 als „wesentliche“ Sektoren, also als besonders wichtig. Die Zugehörigkeit einer der beiden Gruppen entscheidet darüber, wie streng die Behörden die Unternehmen beaufsichtigen und wie hoch die Strafen bei Missachtung der Richtlinie oder bei Zuwiderhandlungen ausfallen.

Welche Einrichtungen im Einzelnen von der NIS2 Directive betroffen sind, ist im Detail in den Anlagen 1 und 2 spezifiziert. Die folgende Auflistung gibt Ihnen einen Überblick über die Sektoren, für die strengere NIS2-Sicherheitsanforderungen in Bezug auf IT-Security gelten werden.

Essential Entities: Besonders wichtige Einrichtungen mit hoher Kritikalität

Diese Organisationen spielen eine entscheidende Rolle für das Funktionieren der Gesellschaft und der Wirtschaft. Sie unterliegen besonders strengen Sicherheitsanforderungen und regulatorischen Kontrollen. Zu den wesentlichen Einrichtungen gehören Unternehmen und Betreiber aus den folgenden NIS2-Sektoren:

| Branchensektor | Einrichtungen mit hoher Kritikalität | | :--- | :--- | | **Öffentliche Verwaltung:** | Ministerien, Regierungsbehörden, Kritische Verwaltungsinstitutionen | | **Energie** | Stromnetzbetreiber, Erdgas- und Ölversorger, Betreiber von Wasserstoffnetzwerken, Raffinerien | | **Transport und Verkehr** | Betreiber von Flughäfen und Seehäfen, Bahnunternehmen und Schieneninfrastrukturbetreiber, Unternehmen im öffentlichen Nah- und Fernverkehr, Betreiber von Verkehrssystemen | | **Bankensektor und Finanzmarkt** | Banken, Zahlungsdienstleister, Versicherungen | | **Gesundheitswesen** | Krankenhäuser, Hersteller kritischer Medizinprodukte, Pharmaunternehmen | | **Trinkwasserversorgung und Abwasserwirtschaft** | Wasserversorger, Kläranlagenbetreiber | | **Digitale Infrastruktur und IKT** | Anbieter von Cloud-Diensten und Rechenzentren, Betreiber von Internetknotenpunkten, DNS-Dienstleister | | **Raumfahrt** | Betreiber von Satelliteninfrastrukturen, Hersteller von Raumfahrttechnologie, Unternehmen, die weltraumgestützte Kommunikationssysteme bereitstellen |

Important Entities: Wichtige Einrichtungen nach NIS2

Solche Organisationen sind ebenfalls von hoher Bedeutung, unterliegen jedoch weniger strengen Regulierungen als Essential Entities. Zu den wichtigen Einrichtungen von NIS2 gehören Unternehmen und Betreiber, die in einem der folgenden Bereiche tätig sind:

| Branchensektor | Wichtige Einrichtungen nach NIS2 | | :--- | :--- | | **Post- und Kurierdienste** | Nationale und internationale Paket- und Briefdienstleister | | **Abfallwirtschaft** | Betreiber von Recycling- und Entsorgungsanlagen | | **Herstellung, Produktion und Vertrieb von chemischen Stoffen** | Hersteller und Lieferanten von ChemikalienHerstellung | | **Produktion und Vertrieb von Lebensmitteln** | Produzenten und Großhändler von Lebensmitteln, Unternehmen der Lebensmittelversorgungskette | | **Verarbeitendes Gewerbe (inkl. Medizinprodukte)** | Hersteller von Maschinen und Anlagen, Produktionsunternehmen für kritische Medizinprodukte, Hersteller von pharmazeutischen Grundstoffen | | **Digitale Dienstleistungen** | Unternehmen, die Halbleiter, Maschinen oder IT-Hardware herstellen | | **Forschung** | Universitäten und Labore mit kritischer Forschung |

Betroffene Unternehmen nach NIS2: Ab welcher Betriebsgröße gelten die Vorgaben?

Grundsätzlich sind alle Einrichtungen betroffen, die in den genannten Sektoren tätig sind und eine bestimmte Unternehmensgröße überschreiten.

Die gesetzlichen Vorgaben von NIS2 gelten für wichtige Unternehmen,

  • die mehr als 50 Mitarbeiter beschäftigen, oder
  • deren Jahresumsatz 10 Millionen Euro übersteigt, oder
  • die eine Jahresbilanzsumme von weniger als 43 Millionen Euro haben.

Bei den besonders wichtigen Einrichtungen sind Unternehmen von NIS2-Vorgaben betroffen, die

  • über 250 Mitarbeitende beschäftigen, oder
  • einen Jahresumsatz von mehr als 50 Millionen Euro haben, und
  • eine Jahresbilanzsumme von mehr als 43 Millionen Euro haben.

Diese Sonderfälle gibt es

Einige Organisationen, die können vom Anwendungsbereich ausgenommen sein oder fallen aufgrund ihrer Größe nicht unter die NIS2-Anordnung (Size-Cap-Rule). Umgekehrt gibt es eine Reihe von Unternehmen, die immer von NIS2 reguliert werden – unabhängig von ihrer Größe.

Bei den Sonderfällen handelt es sich um Betreiber, bei denen ein Cyberangriff besonders großen Schaden anrichten kann und deren Ausfall ein erhöhtes Risiko für Bereiche wie Sicherheit oder Gesundheit darstellen. Beispiele sind Vertrauensdiensteanbieter oder kritische Einrichtungen der öffentlichen Verwaltung auf regionaler Ebene.

NIS2 Sonderfälle - Betroffen, aber keine Zeit?

Um Ihre IT-Sicherheit ganzheitlich auf die bevorstehenden Änderungen anzupassen und um herauszufinden, welche Anforderungen konkret auf Ihr Unternehmen zukommen und von welchen Sonderfällen Sie womöglich betroffen sind, beraten wir Sie gern.

Zur NIS2 Beratung

Bedeutung der unterschiedlichen Sektoren in der Praxis

Ob Ihr Unternehmen zu den wichtigen oder besonders wichtigen Einrichtungen zählt, entscheidet unter anderem darüber, wie Ihre Organisation beaufsichtigt wird und welche Pflichten und Sanktionen gelten:

  • Wichtige Unternehmen werden nach NIS2 nur anlassbezogen beaufsichtigt, bei wesentlichen Einrichtungen erfolgt die Aufsicht proaktiv, also ohne Anlass.
  • Die Pflichten aus NIS2 sind für alle Sektoren gleich. Bei Sanktionen wird nicht zwischen besonders wichtigen Einrichtungen und kritischen Anlagen, sondern zwischen fahrlässigem und vorsätzlichem Verschulden.
  • Für Organisationen aus diesen Sektoren drohen bei NIS2-Verstößen Bußgelder von bis zu 10 Millionen Euro oder mindestens zwei Prozent des weltweiten Jahresumsatzes betragen. Maßgeblich ist der höhere Betrag.
  • Bei den wichtigen Einrichtungen können die Bußgelder bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes betragen, je nachdem, welcher Wert der höhere ist.

Warum von NIS2 betroffene Unternehmen jetzt handeln müssen

Spätestens 2026 müssen mehr Unternehmen als zuvor – darunter Cloud-Anbieter und zahlreiche digitale Dienstleister – Maßnahmen zum Schutz vor Cyberattacken ergreifen. Ansonsten drohen empfindliche Bußgelder. Bei Verstößen gegen NIS2-Pflicht, haften unter der neuen Richtlinie auch Geschäftsführer, Führungskräfte und Verantwortliche für die Auswirkungen eines Angriffs.

Häufige Fragen

Sie haben noch Fragen? Wir haben die Antworten

Welche Vorteile bringt NIS2 für Betroffene?
  • NIS2 steigert die Cyberresilienz: Im Rahmen des Business Continuity Managements vorab definierte Notfall- und Wiederanlaufprozesse helfen Organisationen, nach Hackerangriffen und Cybervorfällen schnell wieder arbeitsfähig zu werden.  
  • NIS2 unterstützt den Datenschutz: Bessere Informationssicherheit kann personenbezogene Daten schützen und Pannen vorbeugen.  
  • NIS2 verbessert die Effizienz: Die Umsetzung der Vorgaben schafft Prozessklarheit, verschlankt Abläufe und macht Risiken sichtbar und besser beherrschbar.  
  • NIS2 bringt mehr Sicherheit: Betroffene Organisationen steigern ihr Sicherheitsniveau, reduzieren finanzielle und reputative Schäden und sichern sich Wettbewerbsvorteile – zum Beispiel durch eine ISO 27001-Zertifizierung. Und: Viele Cyberversicherungen verlangen NIS2 als Voraussetzung.  
  • NIS2 schützt persönlich: Die saubere Umsetzung der Vorgaben senkt persönliche Haftungsrisiken der Geschäftsführung.
Kann mein Unternehmen über die Lieferkette mittelbar betroffen sein?

Auch wenn ein Unternehmen der Größe nach nicht unter NIS2 fallen oder keinem der 18 Sektoren angehören, kann es über die Lieferkette mittelbar betroffen sein. Das gilt insbesondere für Zulieferer, deren Kunden die NIS2-Vorgaben umsetzen müssen.

Beispiel: Ein metallverarbeitender Zulieferer für medizinische Geräte mit 80 Mitarbeitenden und 15 Mio. Euro Umsatz muss NIS2-nahe Anforderungen erfüllen, weil seine Auftraggeber NIS2 unterliegen. Das bedeutet, der Zulieferer muss über Vertrags- und Nachweisanforderungen NIS2-konforme Maßnahmen in wesentlichen Teilen umsetzen.

Was müssen von NIS2 betroffene Unternehmen beachten, wenn sie mit Lieferanten zusammenarbeiten?

Von NIS2 betroffene Unternehmen müssen sicherstellen, dass über Verbindungen zu Dienstleistern, Lieferanten und Kunden keine Angriffe oder Schadsoftware ins eigene Netz gelangen können. Dafür sind technische und organisatorische Maßnahmen wie abgesicherte Schnittstellen, Zugriffskontrollen, Monitoring und regelmäßige Tests relevant.  

Zudem müssen sie die operative Resilienz der Lieferkette absichern, indem sie zum Beispiel Alternativen wie Second oder Third Supplier, Notfallprozesse und Wiederanlaufpläne etablieren und regelmäßig überprüfen.  

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Jetzt beraten lassen
Themen
IT-Sicherheit
Datensicherheit
Cyberangriffe
NIS2
Redaktion
Sabrina Schaub
Freie Redakteurin
Mit ihrer Content-Erfahrung unterstützt Sabrina das Team von Proliance dabei, komplexe Themen verständlich zu kommunizieren. Als freie Autorin kennt sie die Datenschutzbedürfnisse unterschiedlicher Branchen und übersetzt selbst anspruchsvolle Informationen in zielgruppengerechte Inhalte.
Zum Autorenprofil
Zum Expertenprofil
Stefan Rühl
Information Security Lead
In seiner Funktion als Leiter des Bereiches InfoSec und als ISO27001 Lead Auditor unterstützt Stefan unsere Kunden bei der Implementierung- und Optimierung von ISMS Systemen. Sein spezieller Bereich ist der Aufbau von BCM-Umgebungen, Notfall- und Krisenstäben sowie die Erstellung und Verprobung von Notfallprozessen, sowohl bei KMUs als auch bei Konzernstrukturen. Darüber hinaus berät er Geschäftsführer und Vorstände bei der Entscheidungsfindung zur Cyberresilienz und der Optimierung von IT-Organisationen.
Zum Autorenprofil
Zum Expertenprofil
Über Proliance
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
In diesem Beitrag
Example Link H2
Example Link H3
Example Link H4
Example Link H5
Example Link H6
Beitrag teilen
Sie haben noch Fragen? Wir sind gerne für Sie da.
Jetzt beraten lassen
Verwandte Artikel

Ähnliche Themen, die Sie auch interessieren könnten

Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Berechtigungskonzept: Effektiver Datenschutz durch gezielte Zugriffssteuerung
12
.
11
.
2025
Berechtigungskonzept: Effektiver Datenschutz durch gezielte Zugriffssteuerung
Wer darf im Unternehmen auf welche Daten zugreifen? Ein Berechtigungskonzept liefert klare Antworten. Warum ein solches Konzept für Unternehmen erforderlich ist, was darin geregelt sein muss und wie Sie es effektiv umsetzen.
Datenschutz-Folgenabschätzung: Wann brauchen Unternehmen die DSFA?
12
.
11
.
2025
Datenschutz-Folgenabschätzung: Wann brauchen Unternehmen die DSFA?
Die Datenschutzgrundverordnung fordert von Unternehmen, sorgsam mit personenbezogenen Daten umzugehen. Ein wichtiges Instrument, um Risiken bei der Datenverarbeitung zu reduzieren, ist die Datenschutz-Folgenabschätzung (DSFA). Erfahren Sie, wann Ihr Unternehmen eine DSFA braucht, wer zuständig ist und was drinstehen sollte.
ChatGPT & Datenschutz: Welche Folgen hat die Nutzung des Chatbots?
07
.
11
.
2025
ChatGPT & Datenschutz: Welche Folgen hat die Nutzung des Chatbots?
ChatGPT weckt weltweit die Neugierde auf Künstliche Intelligenz. Wöchentlich tauschen sich rund 500 Millionen Menschen mit dem Chatbot aus. Doch mit dem Hype wächst auch die Sorge von Datenschützern. Wie sicher ist ChatGPT hinsichtlich des Datenschutzes und müssen Unternehmen auf das KI-Tool verzichten?
AI Act: Was die KI-Verordnung für Unternehmen bedeutet
05
.
11
.
2025
AI Act: Was die KI-Verordnung für Unternehmen bedeutet
Mit dem zunehmenden Einsatz von künstlicher Intelligenz (KI) in Unternehmen wächst auch der Bedarf an klaren gesetzlichen Regeln. Der AI Act der Europäischen Union bietet seit August 2024 einen rechtlichen Rahmen für den regulierten und sicheren Einsatz von KI-Systemen in der EU. Die KI-Verordnung (KI-VO) trat am 1. August 2024 in Kraft – mit gestaffelten Übergangsfristen bis 2027. In diesem Artikel erfahren Sie, welche konkreten Anforderungen auf Ihr Unternehmen zukommen und wie Sie Compliance-Risiken minimieren.
datenschutz-Muster

Kostenlose Materialien zum Thema

Datenschutzerklärung für Mitarbeiter
Erstellen Sie mit unserem kostenlosen Muster eine DSGVO-konforme Datenschutzinformation für Ihre Mitarbeiter.
Bestellung eines Datenschutz­beauftragten nach DSGVO
Berufen Sie jetzt einfach und schnell Proliance mit unserer Bestellurkunde.
Home-Office Vereinbarung für Mitarbeiter
Jetzt Datenschutz-Vorlage downloaden und eine Zusatzvereinbarung Home-Office erstellen
Verarbeitungsverzeichnis (VVT)
Nutzen Sie unser kostenloses VVT Datenschutz Muster und setzen Sie die DSGVO sicher um.
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!