NIS2 · Erstorientierung

NIS2-Betroffenheit prüfen

In wenigen Minuten erhalten Sie eine erste Einschätzung, ob Ihr Unternehmen voraussichtlich als wichtige oder besonders wichtige Einrichtung einzuordnen ist. Die Prüfung läuft anonym im Browser und ersetzt keine juristische Einzelfallprüfung.

Prüfung starten → NIS2-Beratung ansehen
anonym im Browser keine Datenspeicherung Stand: 18. März 2026

Was die Prüfung leistet

Kein Behördendeutsch, sondern eine belastbare Erstorientierung entlang der Fragen, die in der Praxis wirklich zählen.

01

Sonderrollen zuerst

KRITIS, Telekommunikation, Vertrauensdienste und digitale Infrastruktur werden zuerst geprüft, weil diese Fälle oft früh entschieden sind.

02

Sektor und Größe sauber trennen

Die Prüfung trennt bewusst zwischen Sektorzuordnung und Größenkriterien. Genau da passieren in Unternehmen die meisten Fehleinschätzungen.

03

Nächste Schritte statt leerer Labels

Am Ende bekommen Sie nicht nur eine Kategorie, sondern auch die wichtigsten Pflichten und den sinnvollen nächsten Schritt.

Interaktive Prüfung

Bin ich von NIS2 betroffen?

Schritt 1 von maximal 6

Betreibt Ihr Unternehmen eine kritische Anlage nach BSI-Kritisverordnung?

Wenn Ihr Unternehmen eine kritische Anlage betreibt, ist die NIS2-Einordnung in der Regel nicht mehr die offene Frage. Entscheidend ist dann die saubere Umsetzung und Nachweisbarkeit.

KRITIS-Betreiber werden im BSIG gesondert behandelt.

Unverbindliche Ersteinschätzung auf Basis Ihrer Angaben. Keine Rechtsberatung im Einzelfall.

Sektorlogik

Anlage 1 und Anlage 2 sind der Kern

Die meisten Praxisfälle hängen an der Frage, ob Ihr Unternehmen einer Einrichtungsart nach Anlage 1 oder 2 BSIG zuzuordnen ist. Genau dort sollte man nicht mit groben Branchenetiketten arbeiten, sondern mit der konkreten Tätigkeit.

Größenlogik

Größe entscheidet nicht allein

Erst wenn die Sektor- oder Sonderrollenfrage geklärt ist, werden Mitarbeitende, Umsatz und Bilanzsumme wirklich aussagekräftig. Reine Unternehmensgröße ohne passende Zuordnung reicht nicht.

Umsetzung

Nach der Betroffenheit beginnt die eigentliche Arbeit

Wenn Ihr Unternehmen betroffen ist, folgen Registrierung, Risikomanagement, Vorfallsmeldung, Lieferkette und belastbare Dokumentation. Genau dort entscheidet sich, ob NIS2 operativ tragfähig umgesetzt wird.

Anlage 1, Anlage 2 und Lieferkette kurz erklärt

Die meisten Missverständnisse entstehen nicht bei den Schwellenwerten, sondern bei der Frage, ob die eigene Tätigkeit überhaupt in Anlage 1 oder 2 fällt.

Anlage 1 BSIG

Typische Bereiche mit hoher Kritikalität

Hier finden sich vor allem klassische kritische und digitale Kernsektoren. Typische Beispiele sind:

  • Energie, Strom, Gas, Fernwärme
  • Transport und Verkehr
  • Bankwesen und Finanzmarktinfrastrukturen
  • Gesundheit, Trinkwasser, Abwasser
  • Digitale Infrastruktur wie Cloud, Rechenzentrum, DNS, TLD, MSP und MSSP

Faustregel: Wenn Ihr Unternehmen in einem klar regulierten Kernsektor arbeitet, sollten Sie Anlage 1 zuerst prüfen.

Anlage 2 BSIG

Erweiterter Kreis wichtiger Einrichtungen

Hier landen viele mittelständische Industrie- und Digitalunternehmen, die oft zu spät an NIS2 denken. Typische Beispiele sind:

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Chemie, Lebensmittel und industrielle Produktion
  • Maschinenbau, Elektronik, Elektrotechnik, Fahrzeugbau
  • Online-Marktplätze, Suchmaschinen, soziale Netzwerke, Forschung

Faustregel: Gerade im verarbeitenden Gewerbe ist Anlage 2 oft der eigentliche Einstieg in die NIS2-Betroffenheit. Beispiel: Maschinenbau nach Anlage 2 Nr. 5.4 / 5.4.1 plus mindestens 50 Mitarbeitende führt in der Regel zur wichtigen Einrichtung.

Lieferkette

Liefern an NIS2-Unternehmen reicht allein nicht

Ein Zulieferer wird nicht automatisch selbst regulierte Einrichtung, nur weil er an ein NIS2-pflichtiges Unternehmen liefert.

  • Direkt betroffen ist nur, wer selbst in eine Einrichtungsart aus Anlage 1 oder 2 fällt oder eine Sonderrolle erfüllt.
  • Indirekt betroffen sind viele Lieferanten trotzdem über Verträge, Audits, Sicherheitsanforderungen und Incident-Meldepflichten.
  • § 30 BSIG verpflichtet regulierte Unternehmen ausdrücklich zur Sicherheit der Lieferkette.

Faustregel: Lieferkettendruck ist real, aber keine automatische Eintrittskarte in den gesetzlichen Anwendungsbereich.

Offizielle Quellen: Anlage 1 BSIG, Anlage 2 BSIG, § 30 BSIG.

Praxisbeispiele zur Einordnung

Die folgenden Beispiele ersetzen keine Einzelfallprüfung, zeigen aber, wie die Logik aus Anlage, Größe und Sonderrolle in typischen Konstellationen wirkt.

Anlage 1 · Digitale Infrastruktur

Cloud- oder Rechenzentrumsanbieter mit 260 Mitarbeitenden

Ein Anbieter von Cloud-Computing-Diensten oder Rechenzentrumsdiensten fällt in Anlage 1. Mit 260 Mitarbeitenden liegt in der Regel eine besonders wichtige Einrichtung vor.

Warum: Anlage 1 plus höhere Größenschwelle ab 250 Mitarbeitenden.

Ergebnis: voraussichtlich besonders wichtige Einrichtung

Anlage 2 · Maschinenbau

Maschinenbau mit 51 bis 100 Mitarbeitenden

Wenn das Unternehmen fachlich unter Anlage 2 Nr. 5.4 / 5.4.1 fällt, reicht die Schwelle von mindestens 50 Mitarbeitenden in der Regel bereits für die Kategorie wichtige Einrichtung.

Warum: Anlage 2 plus mittlere Größenschwelle.

Ergebnis: voraussichtlich wichtige Einrichtung

Anlage 2 · Post und Kurier

Kurierdienst mit 55 Mitarbeitenden

Ein Anbieter von Post- oder Kurierdiensten nach Anlage 2 Nr. 1.1.1 ist bei 55 Mitarbeitenden typischerweise als wichtige Einrichtung einzuordnen.

Warum: Anlage 2 greift, die 50-Mitarbeitenden-Schwelle ist überschritten.

Ergebnis: voraussichtlich wichtige Einrichtung

Anlage 2 · Chemie

Chemiehersteller mit 42 Mitarbeitenden, 14 Mio. Euro Umsatz und 12 Mio. Euro Bilanzsumme

Auch unter 50 Mitarbeitenden kann eine Betroffenheit entstehen, wenn sowohl Jahresumsatz als auch Jahresbilanzsumme jeweils über 10 Mio. Euro liegen und die Tätigkeit fachlich unter Anlage 2 Nr. 3.1.1 fällt.

Warum: Anlage 2 plus alternative Finanzschwelle.

Ergebnis: voraussichtlich wichtige Einrichtung

Lieferkette · Grenzfall

IT-Zulieferer mit 35 Mitarbeitenden, der an NIS2-Kunden liefert

Wenn der Anbieter selbst keiner Einrichtungsart aus Anlage 1 oder 2 zugeordnet ist und keine Sonderrolle erfüllt, führt die bloße Lieferbeziehung noch nicht automatisch in den direkten gesetzlichen Anwendungsbereich.

Warum: Lieferkettendruck ist real, ersetzt aber keine eigene Sektor- oder Sonderrollenzuordnung.

Ergebnis: nicht automatisch direkt NIS2-betroffen

Häufige Fragen

Was vor der internen Entscheidung oft unklar ist

Ist die Prüfung rechtlich bindend?

Nein. Sie dient als fachliche Ersteinschätzung auf Basis Ihrer Angaben. Für Grenzfälle, Konzernstrukturen, unklare Sektorzuordnungen oder Sonderkonstellationen sollte die Einordnung individuell geprüft werden.

Welche Angaben sollte ich vorab kennen?

Hilfreich sind drei Punkte: Ihre grobe Sektorzuordnung, die Größenklasse Ihres Unternehmens und ob Sie Sonderrollen wie KRITIS-Betreiber, Telekommunikationsanbieter oder Vertrauensdiensteanbieter erfüllen.

Werden meine Antworten gespeichert?

Nein. Die Prüfung läuft clientseitig in Ihrem Browser. Es werden keine Antworten an den Server übertragen und keine personenbezogenen Daten abgefragt.

Was mache ich, wenn ich mir bei Anlage 1 oder 2 unsicher bin?

Dann ist genau diese Sektorzuordnung der kritische Punkt. In solchen Fällen sollte die Betroffenheit kurz fachlich geprüft werden, bevor intern Entwarnung gegeben oder unnötige Maßnahmen gestartet werden.

NIS2 · Nächster Schritt

Das Ergebnis ist nur der Startpunkt.

Wenn Sie bei Sektorzuordnung, Größenklasse oder Pflichtenprofil nicht sicher sind, kläre ich die Betroffenheit mit Ihnen strukturiert und ohne Behördensprache.

Betroffenheit gemeinsam prüfen → Mehr zur NIS2-Beratung

info@tpc-security.de · Leipheim / deutschlandweit