Ist NIS2 für Sie anwendbar?

Hinweis: Dieser Selbsttest hilft dir, grob einzuschätzen, ob dein Unternehmen voraussichtlich unter NIS2 fällt (inkl. erster Einordnung “wesentlich” vs. “wichtig”).

0. Wurdest du bereits als (kritische) Einrichtung nach nationalem Recht erfasst (z.B. CER/NIS2) oder bist du eine zentrale öffentliche Verwaltung? ⁰

Wenn “Ja”, bist du praktisch immer im NIS2-Scope – Details laufen dann über nationale Listen/Behörden.

Nein

1. In welchem Bereich bist du hauptsächlich tätig? ¹

2. Trifft einer dieser Punkte zu? ²

Beispiele: qualifizierter Vertrauensdiensteanbieter, DNS-Provider, TLD-Registry, Domain-Registrar, Anbieter öffentlicher Telekommunikationsnetze/-dienste.

3. Unternehmensgröße (EU-KMU-Klassifizierung) ³

Bitte möglichst Konzern-/Gruppenkontext berücksichtigen, wenn relevant.

4. Könnte dein Betrieb national als “besonders kritisch” eingestuft werden? ⁴

Z.B. einziger Anbieter, erhebliche Auswirkungen auf öffentliche Sicherheit/Gesundheit, systemisches Risiko.

Nein

Unsicher

Rechtliche Fundstellen (Kurz):

⁰ NIS2-RL: Art. 2 Abs. 2 lit. f und Art. 3 Abs. 1 lit. d/f (Behörden/CER)

¹ NIS2-RL: Anhang I (hoch kritisch) und Anhang II (weitere kritische Sektoren)

² NIS2-RL: Art. 2 Abs. 2 lit. a sowie Art. 2 Abs. 4; “wesentlich” u.a. Art. 3 Abs. 1 lit. b/c

³ NIS2-RL: Art. 2 Abs. 1 (EU-KMU-Kriterien über Empfehlung 2003/361/EG)

⁴ NIS2-RL: Art. 2 Abs. 2 lit. b–e (Sole provider/Impact/Systemrisiko/nationale Bedeutung)

NIS2 Check: Gilt NIS2 für mein Unternehmen?

Die NIS2-Richtlinie verändert gerade ziemlich spürbar, wie Unternehmen in der EU über IT-Sicherheit, Cybersecurity und Meldeprozesse nachdenken müssen. Viele stellen sich dieselbe Frage: Bin ich überhaupt betroffen – oder trifft das nur “die ganz Großen” und KRITIS? Spoiler: So einfach ist es nicht.

Mit diesem NIS2 Check (Selbsttest) kannst du in wenigen Minuten einschätzen, ob dein Unternehmen voraussichtlich in den Anwendungsbereich der NIS2-Richtlinie (EU) 2022/2555 fällt. Du bekommst am Ende eine erste Einordnung, ob du eher als wesentliche Einrichtung oder wichtige Einrichtung zu behandeln bist – und was das für die nächsten Schritte bedeutet.

Worum geht es bei NIS2?

NIS2 ist EU-Recht, das die Cyber- und Informationssicherheit in vielen Branchen verbindlicher macht. Es geht nicht um “nice to have”, sondern um klare Erwartungen an Organisation, Technik und Prozesse: Risikomanagement, Sicherheitsmaßnahmen, Incident Handling, Meldewege, Lieferkette. Und ja: Das betrifft oft auch Unternehmen, die bisher “nur” ISO 27001 kannten oder mit einem ISMS geliebäugelt haben.

Wichtig: Die konkreten Pflichten laufen über die nationale Umsetzung (Deutschland, Österreich etc.). Der Check hier ist bewusst praxisnah – als Entscheidungshilfe, ob du tiefer einsteigen solltest.

Für wen gilt NIS2 typischerweise?

NIS2 knüpft im Kern an zwei Punkte an:

1) Branche/Sektor (Anhang I oder II)
Viele Bereiche sind ausdrücklich genannt – zum Beispiel Energie, Verkehr, Gesundheit, digitale Infrastruktur, Cloud-/Rechenzentrumsleistungen, Telekommunikation, bestimmte IT-Dienstleister (Managed Services/Managed Security), aber auch Post/Kurier, Abfallwirtschaft, Chemie, Lebensmittel, bestimmte Fertigung, digitale Plattformen oder Forschung.

2) Unternehmensgröße (meist “mittel” oder “groß”)
Häufig gilt: Ab mittlerer Unternehmensgröße (nach EU-KMU-Kriterien) bist du im Scope, wenn du in einem NIS2-Sektor tätig bist.

3) Sonderfälle – auch ohne “mittel/groß” möglich
Ein paar Rollen sind so grundlegend, dass NIS2 auch unabhängig von der Größe greifen kann (je nach Konstellation). Typische Stichworte: bestimmte Trust-Services, DNS/TLD, Domain-Registrierung, Telekommunikationsdienste – und nationale Einstufungen, wenn ein Unternehmen als besonders kritisch gilt (z.B. “alleiniger Anbieter”, erhebliche Auswirkungen, systemische Relevanz).

Genau hier wird es in der Beratung oft spannend: Man hält sich für “zu klein”, ist aber als Dienstleister oder Plattformteil trotzdem betroffen – oder bekommt es über Kundenanforderungen und Lieferkettendruck sehr direkt auf den Tisch.

Was bringt dir dieser NIS2 Selbsttest konkret?

Der Check ist ein schneller Filter. Er hilft dir:

die grundsätzliche Betroffenheit einzuschätzen,
typische Sonderfälle (Cloud/Managed Services/Telko/Domain/Trust) nicht zu übersehen,
eine erste Tendenz zu bekommen: “wesentlich” oder “wichtig”,
die nächsten Schritte sauber zu priorisieren (statt blind ein “NIS2-Projekt” zu starten, das dann im Sand verläuft).

Wenn du am Ende ein “wahrscheinlich betroffen” bekommst, heißt das nicht automatisch, dass schon alles glasklar ist. Aber es heißt ziemlich zuverlässig: Hier lohnt sich die echte Prüfung (inkl. Konzern-/Gruppenkriterien, konkreter Tätigkeit, nationaler Einstufung, Verträge/Services).

Was sind typische nächste Schritte, wenn du betroffen bist?

Viele Unternehmen machen am Anfang denselben Fehler: Sie springen sofort in Tools und Technik. NIS2 ist aber auch ein Governance-Thema.

In der Praxis sieht ein guter Einstieg oft so aus:

Du klärst erst die Scope-Frage sauber (wer genau ist die “Einrichtung”, welche Services, welche Länder, welche kritischen Abhängigkeiten). Dann baust du eine Risikologik auf: Welche Assets sind kritisch, welche Bedrohungen sind realistisch, welche Maßnahmen sind priorisiert? Und parallel definierst du Melde- und Incident-Prozesse, damit im Ernstfall nicht erst Teams-Calls organisiert werden müssen, während der Laden brennt.

Wenn du schon ein ISMS hast: super. Dann geht’s eher um Abgleich, Nachschärfen und vor allem um die Frage, ob die Organisation wirklich “lebt”, was da dokumentiert ist.

Häufige Fragen (FAQ)

Gilt NIS2 nur für KRITIS-Unternehmen?
Nein. KRITIS ist ein Teil der Welt. NIS2 geht deutlich breiter und erfasst viele Branchen und Dienstleister – je nach Größe und Rolle im Markt.

Reicht es, wenn wir “nur” IT-Dienstleister sind?
Gerade IT-Dienstleister können schnell im Scope sein, z.B. bei Managed Services oder Managed Security Services. Auch wenn du “nur für Unternehmen” arbeitest, kann NIS2 relevant werden.

Was bedeutet “wesentliche” vs. “wichtige” Einrichtung?
Beides ist im Scope, aber die behördliche Aufsicht und die Intensität können sich unterscheiden. Für die Praxis heißt das: Du solltest die Einordnung ernst nehmen, aber du brauchst in beiden Fällen solide Security-Prozesse.

Wir sind klein – sind wir dann automatisch raus?
Oft ja, aber nicht immer. Sonderrollen (z.B. Domain/Trust/Telko) und nationale Einstufungen können auch kleinere Unternehmen erfassen. Und selbst wenn du formal nicht drunter fällst: Kunden werden NIS2-Anforderungen oft vertraglich weiterreichen.

Ist das Ergebnis des Checks rechtssicher?
Nein – das ist ein Selbsttest zur Orientierung. Für eine belastbare Einstufung braucht es die konkrete Tätigkeit, die Unternehmensstruktur und die nationale Umsetzung im Blick.

Was ist der schnellste “erste richtige Schritt”?
Wenn du betroffen bist: Verantwortlichkeiten und Incident-Prozess festziehen (wer entscheidet was, wer meldet wann, wer dokumentiert). Das ist der Bereich, in dem es im Ernstfall am häufigsten knallt.

Hinweis / Disclaimer

Dieser NIS2 Check ist eine unverbindliche Orientierungshilfe und ersetzt keine individuelle Rechts- oder IT-Sicherheitsberatung. Maßgeblich sind die nationale Umsetzung und die konkrete Einordnung der Tätigkeit/Unternehmensstruktur.