Wissen/NIS2 Quick-Check: 10 Fragen in 30 Minuten

NIS2 Quick-Check: 10 Fragen in 30 Minuten

Erste strukturierte NIS2-Selbst-Bewertung anhand von 10 Leitfragen. Typischer Aufwand 30-60 Minuten, abhängig von Vorwissen und Komplexität. Keine Rechtsberatung.

ComplyCheck-Redaktion · Stand: 2026-07-02

NIS2KMUQuick-CheckQuick-Decision

NIS2 Quick-Check: 10 Fragen in 30 Minuten

Die folgenden 10 Leitfragen ermöglichen eine erste strukturierte Selbst-Einordnung der voraussichtlichen NIS2-Pflichtenstellung. Der typische Aufwand beträgt 30-60 Minuten, abhängig vom internen Vorwissen und der Komplexität der Unternehmensstruktur. Der Selbst-Check ersetzt keine rechtliche Bewertung — er strukturiert das anschließende Beratungsgespräch.

Wichtig

Diese Einordnung ist eine pauschale Orientierung auf Basis öffentlicher Quellen. Sie ersetzt keine Einzelfall-Prüfung durch qualifizierte Beratung. Die Selbst-Einordnung anhand der nachstehenden Fragen ist eine Erstabschätzung — sie ersetzt keine rechtsverbindliche Scope-Bewertung durch eine spezialisierte Beratung oder Anwaltskanzlei.
Rechtsstand

Das deutsche NIS2UmsuCG ist am 6. Dezember 2025 in Kraft getreten (BGBl. 2025 I Nr. 301). Registrierungs- und Meldepflichten gelten — Selbst-Registrierung beim BSI binnen 3 Monaten ab Geltungsbeginn der Einrichtung. EU-Grundlage: Richtlinie (EU) 2022/2555.

Welche regulatorischen Vorgaben sind einschlägig?

Die Einordnung in den NIS2-Anwendungsbereich erfolgt nach einer mehrstufigen Prüfung:

  • Schwellwert-Prüfung nach Art. 2 Abs. 1 NIS2: Mitarbeitendenzahl und Umsatz/Bilanzsumme nach den Kategorien der Empfehlung 2003/361/EG (über 50 MA bzw. über 10 Mio. € für die Schwelle „wichtige Einrichtung"; über 250 MA bzw. über 50 Mio. € für „wesentliche Einrichtung").
  • Sektor-Prüfung nach Anhängen I und II NIS2: Tätigkeit in einem hochkritischen Sektor (Anhang I) oder kritischen Sektor (Anhang II).

Detail

  • Sonderregel-Prüfung nach Art. 2 Abs. 2 NIS2: Tätigkeit in einem der dort genannten Bereiche (eIDAS-Vertrauensdienste, DNS-Service-Anbieter, TLD-Registries, qualifizierte MSSP, öffentliche elektronische Kommunikationsnetze, Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste) — diese Pflicht greift unabhängig von der Größe.
  • KRITIS-Prüfung nach BSI-Kritisverordnung: Status als Betreiber kritischer Infrastruktur mit den ergänzenden Anforderungen nach § 8a BSIG.

Welche Konstellation passt zu deinem Unternehmen?

Die folgenden 10 Leitfragen strukturieren die Selbst-Einordnung. Jede Frage ist mit „Ja" oder „Nein" zu beantworten; bei Unsicherheit ist eine vorläufige Antwort plus Nachprüfungs-Notiz sinnvoll.

1. Beschäftigt das Unternehmen 50 oder mehr Mitarbeitende (Vollzeitäquivalente)?

Die Größenschwelle nach Empfehlung 2003/361/EG ist Eingangsfilter für die Pflichtenstellung. Bei verbundenen Unternehmen erfolgt die Berechnung konsolidiert. Eine Antwort mit „Ja" führt zur zwingenden Sektor-Prüfung in Frage 2.

2. Ist die Haupttätigkeit einem der Sektoren aus Anhang I oder II NIS2 zuzuordnen?

Anhang I (hochkritisch): Energie, Verkehr, Banken, Finanzmarkt-Infrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstleistungsverwaltung, öffentliche Verwaltung, Weltraum. Anhang II (kritisch): Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, Maschinenbau, Kraftfahrzeuge, Forschung, digitale Anbieter. Bei „Ja" in Kombination mit Frage 1 ist eine direkte NIS2-Pflicht regelmäßig wahrscheinlich.

3. Wird das Unternehmen als Betreiber kritischer Infrastruktur nach BSI-Kritisverordnung geführt?

KRITIS-Betreiber sind über § 8a BSIG geregelt und unterliegen parallel den NIS2-Anforderungen. Bei „Ja" sind die KRITIS-spezifischen Audit-Pflichten zusätzlich einschlägig.

4. Bestehen Liefer- oder Dienstleistungsbeziehungen zu Einrichtungen, die voraussichtlich oder bestätigt NIS2-pflichtig sind?

Lieferketten-Sicherheit ist Bestandteil der Mindestmaßnahmen nach Art. 21 Abs. 2 lit. d NIS2. Bei „Ja" ist eine indirekte Betroffenheit über Lieferanten-Anforderungen wahrscheinlich; entsprechende Fragebögen werden im Markt seit 2025 versendet.

5. Ist das Unternehmen als Anbieter von Cloud-Computing-Diensten, Datenzentrums-Diensten oder Content-Delivery-Network-Diensten tätig?

Diese Bereiche fallen unter Anhang I „digitale Infrastruktur" und können auch bei kleineren Mitarbeitenden-Zahlen erfasst sein. Bei „Ja" ist eine Einzelfall-Prüfung der Anwendungsvoraussetzungen zwingend.

6. Werden im Tagesgeschäft personenbezogene Daten in signifikantem Umfang verarbeitet, insbesondere besondere Kategorien nach Art. 9 DSGVO?

NIS2 und DSGVO überschneiden sich in den Anforderungen an Risikomanagement und Maßnahmen-Dokumentation. Bei „Ja" sind die Anforderungen aus Art. 32 DSGVO regelmäßig parallel relevant und können sektoral verschärft sein (z.B. § 75c SGB V im Gesundheitswesen).

7. Ist das Unternehmen Bank, Versicherer, Wertpapierdienstleister, Zahlungsdienstleister oder anderer Finanzdienstleister im Sinne der einschlägigen Aufsichtsgesetze?

Im Finanzsektor greift parallel die Verordnung (EU) 2022/2554 (DORA). Bei „Ja" ist die spezifische DORA-Regelung für ICT-Risikomanagement, Incident-Reporting und Drittparteien-Risikomanagement vorrangig zu prüfen.

8. Werden vernetzte Maschinen, Industrieanlagen oder Industriekomponenten hergestellt oder betrieben?

Maschinenbau ist Anhang II NIS2; bei Vernetzungs- und Cybersicherheits-relevanten Funktionen können sektorale Spezifika (z.B. Cyber Resilience Act für Produkte) ergänzend einschlägig sein.

9. Ist das Unternehmen in einem der Sektoren Energie, Wasserwirtschaft, Trinkwasser, Abwasser oder Gesundheit tätig?

Diese Sektoren sind Anhang I (hochkritisch); sektorale Schwellwerte können niedriger sein als in anderen Sektoren (z.B. Krankenhäuser oberhalb bestimmter Bettenzahlen unabhängig von der allgemeinen KMU-Schwelle). Bei „Ja" ist eine sektorspezifische Einzelfall-Prüfung zwingend.

10. Ist das Unternehmen grenzüberschreitend in mehreren EU-Mitgliedstaaten tätig?

Bei mehrstaatlicher Tätigkeit ist die Zuständigkeit der Aufsichtsbehörde nach Art. 26 NIS2 zu klären; bei DNS-, Cloud- und TLD-Diensten gilt eine spezifische Niederlassungs-Logik.

Welcher Aufbau-Rahmen ist verbreitet?

Die Auswertung der Antworten folgt einer einfachen, aber nicht abschließenden Logik:

  • Drei oder mehr Ja-Antworten (insb. bei Kombination Frage 1/2 oder Frage 3/9): hohe Wahrscheinlichkeit für eine direkte NIS2-Pflicht als „wesentliche" oder „wichtige" Einrichtung. Empfohlene Folge-Aktion: rechtsverbindliches Scope-Assessment durch eine spezialisierte Beratung.
  • Ein oder zwei Ja-Antworten (insb. bei Frage 4): voraussichtlich indirekte Betroffenheit über Lieferanten-Anforderungen oder über sektorale Sonderregeln. Empfohlene Folge-Aktion: Sichtung der bestehenden B2B-Vertragsklauseln und Vorbereitung eines verwertbaren Sicherheits-Dossiers.

Detail

  • Null Ja-Antworten: NIS2-Pflicht voraussichtlich nicht einschlägig; eine Wiederholung des Selbst-Checks bei wesentlichen Veränderungen (Wachstum über 50 MA, Sektor-Ausweitung, neue Großkunden) bleibt sinnvoll.

Sonderregel zur Auswertung: Frage 3, Frage 5 und Frage 9 können einzeln zur Pflichtenstellung führen, unabhängig von der Anzahl weiterer Ja-Antworten — die sektoralen Sonderregeln nach Art. 2 Abs. 2 NIS2 kennen keine Größenfilter.

Eine schriftliche Dokumentation der Antworten — einschließlich der Personen, die mitgewirkt haben, und des Datums — ist Bestandteil einer ordnungsgemäßen Compliance-Vorgeschichte und kann in späteren Aufsichtsverfahren als Nachweis der Befassung dienen.

Welche Konstellationen erfordern abweichendes Vorgehen?

Dieser Selbst-Check ist nicht ausreichend oder nicht das geeignete Instrument, sofern eine der folgenden Konstellationen vorliegt:

  • KRITIS-Betreiber oder Unternehmen mit dokumentierter KRITIS-Schwellwert-Nähe: Eine Selbst-Bewertung anhand allgemeiner Leitfragen trägt nicht; die KRITIS-Verordnung enthält spezifische, sektorbezogene Schwellwerte mit eigener Berechnungslogik.
  • Konzern- oder Holding-Strukturen mit verbundenen Unternehmen: Die konsolidierte Bewertung nach Empfehlung 2003/361/EG ist komplex und sollte durch eine gesellschaftsrechtliche Beratung begleitet werden.

Detail

  • Tätigkeit als Vertrauensdiensteanbieter, DNS-Service-Anbieter, TLD-Registry oder qualifizierter MSSP: Die sektoralen Sonderregeln nach Art. 2 Abs. 2 NIS2 erfordern eine spezifische Einzelfall-Bewertung.
  • Bereits laufende Aufsichts- oder Verwaltungsverfahren im Bereich IT-Sicherheit oder Datenschutz: Eine eigenständige Selbst-Bewertung kann die Verteidigungslinie beeinträchtigen; eine Begleitung durch eine spezialisierte Anwaltskanzlei ist regelmäßig zwingend.
  • Anstehende M&A-Transaktion oder Unternehmensnachfolge: Die NIS2-Bewertung ist Bestandteil der Due Diligence und sollte transaktionsbegleitend strukturiert werden.

Nächster Schritt

Für eine systematische Erst-Einordnung — die das Ergebnis dieses Selbst-Checks strukturiert dokumentiert und um sektorale Spezifika ergänzt — steht der NIS2-Scope-Check zur Verfügung. Er ersetzt keine rechtliche Bewertung, liefert aber ein verwertbares Ausgangsdokument für die anschließende Beratung.

Bei drei oder mehr Ja-Antworten, bei Sektor-Sonderregel-Verdacht oder bei Konzern-Strukturen ist eine rechtsverbindliche Scope-Bewertung durch eine auf IT-Sicherheits- und Verwaltungsrecht spezialisierte Beratung dringend angezeigt. Die hier dargestellten Informationen sind redaktionell aufbereitet und ersetzen keine Rechtsberatung im Einzelfall.

Grundsätzlicher Einstieg in den Anwendungsbereich der Richtlinie: Was ist NIS2 und wer muss reagieren?.

Veröffentlicht durch die ComplyCheck-Redaktion. Veröffentlicht am 2. Juli 2026.

Verantwortlich i.S.d. § 18 MStV: siehe Impressum.

Fehler entdeckt oder ergänzende Erfahrung? korrektur@complycheck.de

Artikel teilen
CC

Compliance-Updates ohne GRC-Bloat

NIS2-, DORA- und KRITIS-Hinweise für KMU: kurz, quellenbasiert und mit nächsten Schritten.

🎁 Gratis dazu: NIS2-Scope-Checkliste für KMU

Das könnte dich auch interessieren

Kommentare (0)

Kommentar schreiben

Kommentare werden vor der Veröffentlichung geprüft.