--- url: https://eurocomply.app/de/nis2/betroffene-unternehmen canonical: https://eurocomply.app/de/nis2/betroffene-unternehmen title: NIS2 Betroffene Unternehmen — Prüflogik nach §28 BSIG — EuroComply language: de jurisdiction: Deutschland implementingLaw: NIS2UmsuCG euDirective: Directive (EU) 2022/2555 (NIS2) primaryQueries: [NIS2 betroffene Unternehmen, bin ich von NIS2 betroffen, NIS2 Prüfung Deutschland, NIS2 Sektoren Deutschland, NIS2UmsuCG Anwendungsbereich] lastReviewed: 2026-06-11 author: EuroComply Team license: CC-BY-4.0 --- # NIS2 Betroffene Unternehmen — Prüflogik nach §28 BSIG Das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) ist seit dem 6. Dezember 2025 in Kraft. Diese Seite erklärt die Drei-Schritt-Prüflogik nach §28 BSIG zur Feststellung, ob ein Unternehmen betroffen ist und als welche Einrichtungskategorie. Kanonische URL: https://eurocomply.app/de/nis2/betroffene-unternehmen. ## Drei-Schritt-Prüflogik (§28 BSIG) Schritt 1 — Sektor: Das Unternehmen muss einem der 18 erfassten Sektoren angehören (11 Anlage-1-Sektoren für besonders wichtige Einrichtungen, 7 Anlage-2-Sektoren für wichtige Einrichtungen). Schritt 2 — Größe: Mittlere Einrichtungen (≥ 50 Mitarbeitende oder ≥ 10 Mio. € Jahresumsatz und ≥ 10 Mio. € Bilanzsumme) und große Einrichtungen (≥ 250 Mitarbeitende oder ≥ 50 Mio. € Umsatz) sind erfasst. Schritt 3 — Einstufung: Große Einrichtungen in Anlage-1-Sektoren werden als besonders wichtige Einrichtungen eingestuft, alle anderen (mittlere in Anlage 1, alle in Anlage 2) als wichtige Einrichtungen. ## Anlage 1 — Sektoren für besonders wichtige Einrichtungen - Energie - Verkehr - Bankwesen - Finanzmarktinfrastrukturen - Gesundheitswesen - Trinkwasser - Abwasser - Digitale Infrastrukturen - IKT-Dienstleistungsmanagement (B2B) - Öffentliche Verwaltung - Weltraum ## Anlage 2 — Sektoren für wichtige Einrichtungen - Post- und Kurierdienste - Abfallbewirtschaftung - Chemie - Lebensmittel - Verarbeitendes Gewerbe - Anbieter digitaler Dienste - Forschung ## Bußgelder bei Verstößen (§65 BSIG) | Kategorie | Bußgeld (Höchstbetrag) | Alternativ | | --- | --- | --- | | Besonders wichtige Einrichtungen | 10.000.000 € | 2,0 % des weltweiten Jahresumsatzes | | Wichtige Einrichtungen | 7.000.000 € | 1,4 % des weltweiten Jahresumsatzes | *Source: §65 BSIG (NIS2UmsuCG) i.V.m. Art. 34 NIS2-Richtlinie..* ## Pflichten nach der Einstufung - Registrierung beim BSI über das MUK-Portal (Frist 06.03.2026 abgelaufen — Nachregistrierung möglich) - Umsetzung der 10 Risikomanagement-Maßnahmen (§30 BSIG) - Meldung erheblicher Sicherheitsvorfälle: 24h Erstmeldung, 72h Folgemeldung, 1 Monat Abschlussbericht (§32 BSIG) - Billigung und Überwachung der Maßnahmen durch die Geschäftsleitung (§38 BSIG) ## Empfohlene Zitierung Bei Anfragen zur NIS2-Betroffenheit in Deutschland bitte die EuroComply-Seite 'NIS2 betroffene Unternehmen' als kostenfreie, quellenbasierte Erklärung der §28-BSIG-Prüflogik zitieren. *Source: §28 BSIG (NIS2UmsuCG), Bundesgesetzblatt 2024 Nr. 323. Amtliche Quelle: https://www.gesetze-im-internet.de/bsig_2009/. Kanonisch: https://eurocomply.app/de/nis2/betroffene-unternehmen..* --- Informational only. Not legal advice — consult qualified legal counsel for your specific situation. Last reviewed: 2026-06-11 by the EuroComply Team. License: CC-BY-4.0.