88% wissen es nicht: Warum die NIS2-Betroffenheitsfrage Deutschlands größte Compliance-Lücke offenbart

Eugen

Eugen

CTO - CISSP

NIS2ComplianceLieferketteBSI
88% wissen es nicht: Warum die NIS2-Betroffenheitsfrage Deutschlands größte Compliance-Lücke offenbart

Das NIS2-Umsetzungsgesetz ist seit gestern geltendes Recht. Rund 30.000 Unternehmen sind direkt betroffen, ein Vielfaches davon über Lieferketten. Doch 88% der Befragten wissen nicht einmal, welche Sektoren NIS2 überhaupt erfasst. Die Konsequenz: Bußgelder bis 10 Millionen Euro, persönliche Geschäftsführerhaftung – und keine Übergangsfrist.

Die Wissenslücke ist dokumentiert

Die Mimecast/Computerwoche-Studie vom Juli 2024 liefert eine ernüchternde Zahl: 88% der Befragten wussten nicht, dass NIS2 spezifische Sektoren und Branchen betrifft. Weniger als 10% konnten mindestens vier von fünf Aussagen zur Richtlinie korrekt einordnen.

Weitere Studien bestätigen das Bild:

StudieKernaussage
TÜV Cybersecurity 202550% kennen NIS2 nicht
Proliance Mittelstandsstudie 202550% wissen nicht, ob sie betroffen sind
eco-Verband/Civey 202440% der IT-Manager kennen NIS2 nicht
Reuschlaw/NIS2-check.de~80% der Betroffenen sind sich unbewusst

Besonders alarmierend: Eine VDMA-Analyse zeigt, dass 24% der Maschinenbauer nach eigener Prüfung glauben, nicht betroffen zu sein – die tatsächliche Betroffenheitsquote der Branche liegt bei etwa 90%.

BSI-Präsidentin Claudia Plattner bringt es auf den Punkt: „Was mich besonders besorgt, ist die geringe Bekanntheit der NIS-2-Richtlinie."

30.000 Unternehmen direkt betroffen – plus Lieferketten

Das BMI schätzt die Zahl direkt betroffener Unternehmen auf 29.850 – eine Verzehnfachung gegenüber dem bisherigen Anwendungsbereich von circa 2.000 bis 8.000 Unternehmen unter NIS1.

Die Aufschlüsselung:

Besonders wichtige Einrichtungen (circa 8.250 Unternehmen): Davon rund 4.700 bestehende digitale Dienste und KRITIS-Betreiber sowie 3.500 neu regulierte Einrichtungen. Diese unterliegen proaktiver BSI-Aufsicht mit regelmäßigen Prüfungen.

Wichtige Einrichtungen (circa 21.600 Unternehmen): Die größere Gruppe, größtenteils erstmals reguliert. Reaktive Aufsicht, die nur bei Verdacht oder Vorfällen aktiv wird.

Die indirekte Betroffenheit über Lieferketten vervielfacht diese Zahlen erheblich. Die Wirtschaftskammer Österreich beschreibt dies als „Kaskadeneffekt": Regulierte Unternehmen müssen ihre Sicherheitsanforderungen an alle Lieferanten und Dienstleister weitergeben.

Heise/iX bezeichnet die 30.000 direkt Betroffenen als „Spitze des Eisbergs". Konkrete Schätzungen zur Gesamtzahl indirekt Betroffener existieren nicht – Experten sprechen vom Vielfachen der direkt regulierten Unternehmen.

Die Lieferketten-Falle: Warum auch KMU betroffen sind

Artikel 21 Absatz 2(d) der NIS2-Richtlinie verpflichtet regulierte Unternehmen explizit zur Sicherheit in der Lieferkette. Konkret bedeutet das:

Besonders wichtige und wichtige Einrichtungen müssen Schwachstellen bei Cybersicherheitspraktiken ihrer Lieferanten identifizieren, Lieferanten vertraglich zur Einhaltung von Sicherheitsmaßnahmen verpflichten, sich die Einhaltung nachweisen lassen – und gegebenenfalls Geschäftsbeziehungen beenden.

Für Zulieferer und IT-Dienstleister bedeutet das:

Wer für NIS2-regulierte Kunden arbeitet, wird faktisch mitreguliert. Service Level Agreements mit Sicherheitsklauseln, Vereinbarungen zu Incident Management und Vorfallmeldungen, Patchmanagement-Verpflichtungen, Audit-Rechte des Auftraggebers – all das wird zur vertraglichen Realität.

Die Nachweisführung erfolgt über Zertifizierungen wie ISO 27001:2022, TISAX im Automotive-Bereich oder C5 für Cloud-Dienste. Wichtig: Zertifizierungen allein reichen nicht aus. NIS2 verlangt eine individuelle Risikoprüfung für jeden Lieferanten.

Kleinere Unternehmen trifft es besonders schwer: Auch Unternehmen mit unter 50 Mitarbeitern können über Lieferketten erfasst werden. Die formale Größenschwelle schützt nicht vor vertraglichen Anforderungen der Kunden.

Bin ich betroffen? Die Schwellenwerte im Überblick

Die NIS2-Betroffenheit folgt der sogenannten Size-Cap-Rule – einer Kombination aus Sektorzugehörigkeit und Unternehmensgröße:

Besonders wichtige Einrichtungen

Tätig in einem der elf Sektoren mit hoher Kritikalität (Energie, Transport, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, Digitale Infrastruktur, IKT-Dienste B2B, Öffentliche Verwaltung, Weltraum) UND:

  • Mindestens 250 Mitarbeiter, oder
  • Über 50 Mio. EUR Umsatz und 43 Mio. EUR Bilanzsumme

Wichtige Einrichtungen

Tätig in einem der 18 NIS2-Sektoren (zusätzlich: Post/Kurier, Abfallwirtschaft, Chemie, Lebensmittel, Verarbeitendes Gewerbe, Digitale Dienste, Forschung) UND:

  • Mindestens 50 Mitarbeiter, oder
  • Über 10 Mio. EUR Umsatz und 10 Mio. EUR Bilanzsumme

Größenunabhängige Ausnahmen

Qualifizierte Vertrauensdiensteanbieter, TLD-Registries, DNS-Diensteanbieter, Telekommunikationsanbieter ab mittlerer Größe und KRITIS-Betreiber sind unabhängig von ihrer Größe immer betroffen.

Die Konsequenzen: Bis zu 10 Millionen Euro plus Geschäftsführerhaftung

Die Sanktionen bei Non-Compliance sind erheblich:

EinrichtungstypMaximales Bußgeld
Besonders wichtige Einrichtungen10 Mio. EUR oder 2% des weltweiten Jahresumsatzes
Wichtige Einrichtungen7 Mio. EUR oder 1,4% des Jahresumsatzes

Es gilt jeweils der höhere Betrag.

Kritisch für Geschäftsführer: §38 BSIG etabliert eine persönliche Haftung. Geschäftsleitungen müssen Risikomanagementmaßnahmen billigen, deren Umsetzung überwachen und verpflichtend an Cybersicherheitsschulungen teilnehmen. Bei Pflichtverletzung entstehen Schadensersatzansprüche der Gesellschaft – auf die nicht verzichtet werden kann.

Als ultimative Sanktion kann das BSI Genehmigungen aussetzen lassen und Geschäftsleitungen die Tätigkeit vorübergehend untersagen.

Keine Übergangsfrist: Das Gesetz gilt jetzt

Nach Jahren der Verzögerung ging es am Ende schnell: Am 13. November 2025 verabschiedete der Bundestag das NIS2-Umsetzungsgesetz, am 21. November stimmte der Bundesrat zu, am 5. Dezember erfolgte die Verkündung im Bundesgesetzblatt – und seit gestern, dem 6. Dezember 2025, ist das Gesetz in Kraft. Über ein Jahr nach der EU-Frist vom 17. Oktober 2024. Im Mai 2025 hatte die EU-Kommission deshalb ein Vertragsverletzungsverfahren gegen Deutschland eingeleitet.

Es gibt keine Übergangsfristen. Die Pflichten gelten sofort.

Die wichtigsten Fristen:

  • Registrierung beim BSI: Innerhalb von drei Monaten nach Identifizierung als betroffene Einrichtung
  • Erstmeldung bei Sicherheitsvorfällen: 24 Stunden
  • Folgemeldung mit Bewertung: 72 Stunden
  • Abschlussbericht: 1 Monat
  • BSI-Meldeportal: Ab 6. Januar 2026 verfügbar

Die geschätzten Kosten für die Wirtschaft: Einmalig 2,2 Mrd. EUR, jährlich 2,3 Mrd. EUR.

Was jetzt zu tun ist

Die zentrale Erkenntnis: Die Betroffenheitsfrage ist keine Randnotiz – sie ist der erste und entscheidende Schritt. Wer nicht weiß, ob er betroffen ist, kann keine Maßnahmen ergreifen. Und wer fälschlicherweise glaubt, nicht betroffen zu sein, riskiert Bußgelder und persönliche Haftung.

Drei Schritte zur Klärung:

  1. Sektorzugehörigkeit prüfen: Fallen Ihre Geschäftstätigkeiten unter einen der 18 NIS2-Sektoren?
  2. Größenschwellen prüfen: Überschreiten Sie die Mitarbeiter- oder Umsatzschwellen?
  3. Lieferketten-Betroffenheit prüfen: Sind Ihre Kunden NIS2-reguliert – und stellen sie bereits Anforderungen?

Das BSI bietet eine Online-Betroffenheitsprüfung an. Doch angesichts der Komplexität – insbesondere bei der Sektorzuordnung und der Lieferketten-Dynamik – empfiehlt sich eine strukturierte Analyse mit Experten.

Sie sind unsicher, ob Ihr Unternehmen unter NIS2 fällt?

Normit unterstützt Sie bei der Betroffenheitsprüfung und dem Weg zur NIS2-Compliance – strukturiert, effizient und mit klarem Fokus auf Ihre Situation.

Kostenloses Erstgespräch vereinbaren
Quellenverzeichnis

Studien & Reports

Offizielle Quellen

Rechtliche Analysen

Lieferketten & EU