Die NIS2-Richtlinie steht nicht nur für große Konzerne oder klassische Betreiber kritischer Infrastrukturen im Raum, sondern sie kann auch kleine und mittlere Unternehmen (KMU) in Nordrhein-Westfalen betreffen. Damit stellt sich für viele die Frage: „Gilt das auch für uns?“. Genau hier setzt die Betroffenheitsprüfung an, als erster Schritt um Klarheit zu schaffen. 

Warum eine Betroffenheitsprüfung für KMU in NRW wichtig ist

Neben den klassischen Betreibern kritischer Infrastrukturen wie Energie, Wasser, Gesundheit oder Verkehr sind auch Sektoren wie verarbeitende Industrie, Chemie, digitale Dienste, Post- und Kurierdienste, Forschung und weitere Branchen in der NIS2-Richtlinie erfasst. 

Zentral sind zwei Kriterien: 

  1. In welchem Sektor ist das Unternehmen tätig? 
  1. Wie groß ist das Unternehmen (mind. 50 Beschäftigte oder mind. 10 Mio. € Jahresumsatz/Jahresbilanzsumme)? 

Da betroffene Unternehmen sicherstellen müssen, dass ihre Geschäftspartner (z.B. Zulieferer) Maßnahmen der Cybersicherheit ergreifen, kann sich für diese eine indirekte Betroffenheit ergeben. Auch wenn sie die Kriterien der NIS2-Betroffenheit nicht direkt erfüllen, kann es dennoch sein, dass an sie Cybersicherheitsanforderungen gestellt werden. Deshalb lohnt sich eine strukturierte Prüfung unbedingt. Diese kann sich auch vor dem Inkrafttreten des deutschen Umsetzungsgesetzes lohnen. 

Schritte der Betroffenheitsprüfung 

Die Prüfung lässt sich in folgenden Schritten gliedern, um die Frage „bin ich betroffen?“ leichter zu antworten: 

  1. Sektor oder Tätigkeitsbereich prüfen
    Identifizieren Sie, ob Ihr Unternehmen in einem der von NIS2 erfassten, 18 Branchen tätig ist, wie z. B. Energie, Verkehr, Gesundheit, IT-Dienstleistungen, digitale Infrastruktur, Chemie etc. 
  2. Unternehmensgröße und Schwellenwerte klären
    Die Untergrenze für die NIS2-Betroffenheit sind 50 Mitarbeitende oder jährlich 10 Mio. Euro Jahresumsatz bzw. Jahresbilanzsumme. Auch Unternehmensverbünde/Tochtergesellschaften können in die Berechnung einfließen, man sollte also nicht nur das Einzelunternehmen betrachten. 
  3. Klassifizierung der Einrichtung
    NIS2 unterscheidet zwischen „wichtigen Einrichtungen“ und „besonders wichtigen Einrichtungen“. Je nach Einstufung unterscheiden sich Pflichten und mögliche Bußgelder. 

Weitere hilfreiche Hinweise
Nutzen Sie Tools wie den Entscheidungsbaum vom BSI oder buchen Sie gerne unser kostenloses Orientierungsgespräch. Wir geben KMU in NRW Orientierung und helfen beim Umgang den öffentlichen Informationen. Ein erster Schritt kann die Betroffenheitsprüfungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) oder die Nutzung des FitNIS2-Navigator.
Wichtig zu wissen ist: Diese Einschätzung ersetzt nicht die rechtlich verbindliche Prüfung, sie dient nur als Orientierung.  

Unter weiterführende Informationen finden Sie die offiziellen Tools zur Betroffenheitsprüfung auf unserer Website.

Was beinhaltet der Entscheidungsbaum und das Online-Tool des BSI? 

Das BSI stellt kostenlos zur Verfügung: 

  • Einen klar gegliederten Entscheidungsbaum, mit dem Sie systematisch durch zentrale Fragen geführt werden (z. B. „In welchem Sektor tätig?“, „Erreichen wir die Schwellenwerte?“). Hier können Sie auch die Anhänge 1 und 2 herunterladen, welche Ihnen bei der Einschätzung helfen, ob Ihr Unternehmen unter einen der relevanten Sektoren fällt. 
  • Eine online Betroffenheitsprüfung, bei der anonymisierte Fragen beantwortet werden, um eine erste Einschätzung zu erhalten.  

Diese Hilfsmittel helfen dabei, ohne großen Aufwand zu prüfen, ob eine Verpflichtung bestehen könnte. Aber rechtlich verbindlich sind sie jedoch nicht. 

Und wenn ich feststelle: Ja, wir sind könnten betroffen sein! 

Wenn Sie zu dem Ergebnis kommen, dass Ihr Unternehmen vermutlich unter NIS2 fällt, heißt das nicht nur „Ich muss etwas tun“, sondern vor allem: Ich sollte zeitnah starten.
Relevante nächste Schritte könnten sein: 

  • Gegebenenfalls Registrierung bei der zuständigen Aufsichtsbehörde (sobald das Gesetz in Kraft und diese bekannt ist) 
  • Ergreifen geeigneter Cybersicherheitsmaßnahmen 
  • Schulung der Mitarbeitenden und Sensibilisierung für Cybersicherheit 

Je früher Sie sich mit den Anforderungen auseinandersetzen, desto besser lassen sich Aufwand, Kosten und Risiko steuern. 

Warum es sich lohnt, jetzt Klarheit zu gewinnen 

  • Rechtliche Unsicherheit: Auch wenn das deutsche Umsetzungsgesetz (Stand Herbst 2025) teils noch in der Abstimmung ist, ist die Richtung schon klar. Eine frühzeitige Prüfung verschafft Planungssicherheit.  
  • Bußgelder und Haftung: Für betroffene Einrichtungen drohen erhebliche Sanktionen bei Nichterfüllung, also besser vorbereitet sein als reagieren müssen.  
  • Wettbewerbsvorteil Cybersicherheit: Ein guter Sicherheitsstandard stärkt nicht nur die Compliance, sondern kann auch Vertrauen bei Kunden, Partnern und Lieferanten schaffen und das ist gerade für KMU ein Plus. 

Wie die NIS2-Anlaufstelle NRW Sie unterstützt:  

Wir bei der NIS2-Anlaufstelle NRW haben es uns zur Aufgabe gemacht, kleinen und mittelständischen Unternehmen in Nordrhein-Westfalen den Einstieg in das Thema NIS2 kostenfrei und praxisnah zu erleichtern. Unsere Unterstützung umfasst: 

  • Orientierung und Begleitung bei der Betroffenheitsprüfung: In einem ersten Gespräch tauchen wir tiefer in die Thematik rund um NIS2 ein und die Anlaufstelle unterstützt Sie dabei die nächsten Schritte zu definieren 
  • Maßnahmenplanung: Falls bei Ihnen eine mögliche Betroffenheit vorliegt, entwickeln unsere IT-Sicherheitsberater kostenlos einen konkreten Maßnahmenplan bei Ihnen vor Ort im Unternehmen, mit dem Sie direkt eigenverantwortlich in die Umsetzung starten können 
  • Weiterführende Begleitung, z. B. dem Aufzeigen der nächsten Schritte nach der Erstellung des Maßnahmenplans und Bereitstellung von relevanten Informationsmaterialien 

Fazit:  

Die NIS2-Richtlinie betrifft auch KMU in NRW und eine frühzeitige Betroffenheitsprüfung ist der erste Schritt, um Klarheit zu schaffen. 

Nutzen Sie dafür die BSI-Betroffenheitsprüfung oder den FitNIS2-Navigator, die wir auf unserer Website gebündelt verlinken:
https://nis2-anlaufstelle.nrw/weiterfuehrende-informationen/ 

Sie müssen nicht alle Antworten selbst haben, sondern wir gehen den Weg gemeinsam. So gewinnen Sie Planungssicherheit, vermeiden Risiken und stärken die Cybersicherheit Ihres Unternehmens. Kontaktieren Sie uns jetzt, wenn Sie eine unverbindliche Orientierung wünschen oder Unterstützung bei der Betroffenheitsprüfung benötigen. 

Die NIS2-Richtlinie steht nicht nur für große Konzerne oder klassische Betreiber kritischer Infrastrukturen im Raum, sondern sie kann auch kleine und mittlere Unternehmen (KMU) in Nordrhein-Westfalen betreffen. Damit stellt sich für viele die Frage: „Gilt das auch für uns?“. Genau hier setzt die Betroffenheitsprüfung an, als erster Schritt um Klarheit zu schaffen. 

Warum eine Betroffenheitsprüfung für KMU in NRW wichtig ist

Neben den klassischen Betreibern kritischer Infrastrukturen wie Energie, Wasser, Gesundheit oder Verkehr sind auch Sektoren wie verarbeitende Industrie, Chemie, digitale Dienste, Post- und Kurierdienste, Forschung und weitere Branchen in der NIS2-Richtlinie erfasst. 

Zentral sind zwei Kriterien: 

  1. In welchem Sektor ist das Unternehmen tätig? 
  1. Wie groß ist das Unternehmen (mind. 50 Beschäftigte oder mind. 10 Mio. € Jahresumsatz/Jahresbilanzsumme)? 

Da betroffene Unternehmen sicherstellen müssen, dass ihre Geschäftspartner (z.B. Zulieferer) Maßnahmen der Cybersicherheit ergreifen, kann sich für diese eine indirekte Betroffenheit ergeben. Auch wenn sie die Kriterien der NIS2-Betroffenheit nicht direkt erfüllen, kann es dennoch sein, dass an sie Cybersicherheitsanforderungen gestellt werden. Deshalb lohnt sich eine strukturierte Prüfung unbedingt. Diese kann sich auch vor dem Inkrafttreten des deutschen Umsetzungsgesetzes lohnen. 

Schritte der Betroffenheitsprüfung 

Die Prüfung lässt sich in folgenden Schritten gliedern, um die Frage „bin ich betroffen?“ leichter zu antworten: 

  1. Sektor oder Tätigkeitsbereich prüfen
    Identifizieren Sie, ob Ihr Unternehmen in einem der von NIS2 erfassten, 18 Branchen tätig ist, wie z. B. Energie, Verkehr, Gesundheit, IT-Dienstleistungen, digitale Infrastruktur, Chemie etc. 
  2. Unternehmensgröße und Schwellenwerte klären
    Die Untergrenze für die NIS2-Betroffenheit sind 50 Mitarbeitende oder jährlich 10 Mio. Euro Jahresumsatz bzw. Jahresbilanzsumme. Auch Unternehmensverbünde/Tochtergesellschaften können in die Berechnung einfließen, man sollte also nicht nur das Einzelunternehmen betrachten. 
  3. Klassifizierung der Einrichtung
    NIS2 unterscheidet zwischen „wichtigen Einrichtungen“ und „besonders wichtigen Einrichtungen“. Je nach Einstufung unterscheiden sich Pflichten und mögliche Bußgelder. 

Weitere hilfreiche Hinweise
Nutzen Sie Tools wie den Entscheidungsbaum vom BSI oder buchen Sie gerne unser kostenloses Orientierungsgespräch. Wir geben KMU in NRW Orientierung und helfen beim Umgang den öffentlichen Informationen. Ein erster Schritt kann die Betroffenheitsprüfungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) oder die Nutzung des FitNIS2-Navigator.
Wichtig zu wissen ist: Diese Einschätzung ersetzt nicht die rechtlich verbindliche Prüfung, sie dient nur als Orientierung.  

Unter weiterführende Informationen finden Sie die offiziellen Tools zur Betroffenheitsprüfung auf unserer Website.

Was beinhaltet der Entscheidungsbaum und das Online-Tool des BSI? 

Das BSI stellt kostenlos zur Verfügung: 

  • Einen klar gegliederten Entscheidungsbaum, mit dem Sie systematisch durch zentrale Fragen geführt werden (z. B. „In welchem Sektor tätig?“, „Erreichen wir die Schwellenwerte?“). Hier können Sie auch die Anhänge 1 und 2 herunterladen, welche Ihnen bei der Einschätzung helfen, ob Ihr Unternehmen unter einen der relevanten Sektoren fällt. 
  • Eine online Betroffenheitsprüfung, bei der anonymisierte Fragen beantwortet werden, um eine erste Einschätzung zu erhalten.  

Diese Hilfsmittel helfen dabei, ohne großen Aufwand zu prüfen, ob eine Verpflichtung bestehen könnte. Aber rechtlich verbindlich sind sie jedoch nicht. 

Und wenn ich feststelle: Ja, wir sind könnten betroffen sein! 

Wenn Sie zu dem Ergebnis kommen, dass Ihr Unternehmen vermutlich unter NIS2 fällt, heißt das nicht nur „Ich muss etwas tun“, sondern vor allem: Ich sollte zeitnah starten.
Relevante nächste Schritte könnten sein: 

  • Gegebenenfalls Registrierung bei der zuständigen Aufsichtsbehörde (sobald das Gesetz in Kraft und diese bekannt ist) 
  • Ergreifen geeigneter Cybersicherheitsmaßnahmen 
  • Schulung der Mitarbeitenden und Sensibilisierung für Cybersicherheit 

Je früher Sie sich mit den Anforderungen auseinandersetzen, desto besser lassen sich Aufwand, Kosten und Risiko steuern. 

Warum es sich lohnt, jetzt Klarheit zu gewinnen 

  • Rechtliche Unsicherheit: Auch wenn das deutsche Umsetzungsgesetz (Stand Herbst 2025) teils noch in der Abstimmung ist, ist die Richtung schon klar. Eine frühzeitige Prüfung verschafft Planungssicherheit.  
  • Bußgelder und Haftung: Für betroffene Einrichtungen drohen erhebliche Sanktionen bei Nichterfüllung, also besser vorbereitet sein als reagieren müssen.  
  • Wettbewerbsvorteil Cybersicherheit: Ein guter Sicherheitsstandard stärkt nicht nur die Compliance, sondern kann auch Vertrauen bei Kunden, Partnern und Lieferanten schaffen und das ist gerade für KMU ein Plus. 

Wie die NIS2-Anlaufstelle NRW Sie unterstützt:  

Wir bei der NIS2-Anlaufstelle NRW haben es uns zur Aufgabe gemacht, kleinen und mittelständischen Unternehmen in Nordrhein-Westfalen den Einstieg in das Thema NIS2 kostenfrei und praxisnah zu erleichtern. Unsere Unterstützung umfasst: 

  • Orientierung und Begleitung bei der Betroffenheitsprüfung: In einem ersten Gespräch tauchen wir tiefer in die Thematik rund um NIS2 ein und die Anlaufstelle unterstützt Sie dabei die nächsten Schritte zu definieren 
  • Maßnahmenplanung: Falls bei Ihnen eine mögliche Betroffenheit vorliegt, entwickeln unsere IT-Sicherheitsberater kostenlos einen konkreten Maßnahmenplan bei Ihnen vor Ort im Unternehmen, mit dem Sie direkt eigenverantwortlich in die Umsetzung starten können 
  • Weiterführende Begleitung, z. B. dem Aufzeigen der nächsten Schritte nach der Erstellung des Maßnahmenplans und Bereitstellung von relevanten Informationsmaterialien 

Fazit:  

Die NIS2-Richtlinie betrifft auch KMU in NRW und eine frühzeitige Betroffenheitsprüfung ist der erste Schritt, um Klarheit zu schaffen. 

Nutzen Sie dafür die BSI-Betroffenheitsprüfung oder den FitNIS2-Navigator, die wir auf unserer Website gebündelt verlinken:
https://nis2-anlaufstelle.nrw/weiterfuehrende-informationen/ 

Sie müssen nicht alle Antworten selbst haben, sondern wir gehen den Weg gemeinsam. So gewinnen Sie Planungssicherheit, vermeiden Risiken und stärken die Cybersicherheit Ihres Unternehmens. Kontaktieren Sie uns jetzt, wenn Sie eine unverbindliche Orientierung wünschen oder Unterstützung bei der Betroffenheitsprüfung benötigen. 

Kategorien: Allgemein
Teile diesen Beitrag

Ähnliche Beiträge

  • Beiträge: Wie NIS2 zur Chance wird: IT-Sicherheit als Wettbewerbsvorteil

    Mi., 12. November 2025

    Wie NIS2 zur Chance wird: IT-Sicherheit als Wettbewerbsvorteil

    Wenn es um NIS2 geht, begegnen uns in Gesprächen mit Unternehmen häufig zwei Grundstimmungen: Auf der einen Seite ist klar, dass das Thema wichtig ist und angegangen werden muss. [...]

    Wenn es um NIS2 geht, begegnen uns in Gesprächen mit Unternehmen häufig zwei Grundstimmungen: Auf der einen Seite ist klar, dass das Thema wichtig ist und angegangen werden muss. [...]

    Allgemein

  • Beiträge: Bin ich betroffen? So funktioniert die Betroffenheitsprüfung

    Mi., 29. Oktober 2025

    Bin ich betroffen? So funktioniert die Betroffenheitsprüfung

    Die NIS2-Richtlinie steht nicht nur für große Konzerne oder klassische Betreiber kritischer Infrastrukturen im Raum, sondern sie kann auch kleine und mittlere Unternehmen (KMU) in Nordrhein-Westfalen betreffen. Damit stellt [...]

    Die NIS2-Richtlinie steht nicht nur für große Konzerne oder klassische Betreiber kritischer Infrastrukturen im Raum, sondern sie kann auch kleine und mittlere Unternehmen (KMU) in Nordrhein-Westfalen betreffen. Damit stellt [...]

    Allgemein

  • Beiträge: Was ist die NIS2-Richtlinie und warum betrifft sie auch KMU?

    Di., 14. Oktober 2025

    Was ist die NIS2-Richtlinie und warum betrifft sie auch KMU?

    Was ist die NIS2-Richtlinie? Die NIS2Richtlinie (Netz- und Informationssicherheit, Richtlinie (EU) 2022/2555) ist ein neues Rahmenwerk der Europäischen Union. Sie ersetzt die bisherige NIS-Richtlinie und verschärft europaweit die Anforderungen an IT- [...]

    Was ist die NIS2-Richtlinie? Die NIS2Richtlinie (Netz- und Informationssicherheit, Richtlinie (EU) 2022/2555) ist ein neues Rahmenwerk der Europäischen Union. Sie ersetzt die bisherige NIS-Richtlinie und verschärft europaweit die Anforderungen an IT- [...]

    Allgemein