+(49) 0123-4567890 anywhere@securam.com
NIS-2 Betroffenheitsanalyse: Sind Sie betroffen? | SECURAM
ISMS · NIS-2

NIS-2 Betroffenheitsanalyse für Unternehmen

Die NIS-2-Richtlinie betrifft Unternehmen in 18 Sektoren ab 50 Beschäftigten oder 10 Millionen Euro Jahresumsatz. Betreiber kritischer Infrastrukturen sind unabhängig von der Größe betroffen. SECURAM prüft Sektorzugehörigkeit, Schwellenwerte und Sonderfälle und liefert ein dokumentiertes Gutachten mit Handlungsempfehlung und Vorbereitung auf die BSI-Registrierung.

Betroffenheit prüfen lassen Ablauf ansehen ↓
NIS-2 Betroffenheitsanalyse
ISMS AIMS BCMS RMS

Ausgangslage

Wer ist von NIS-2 betroffen?

Die Frage klingt einfach. Die Antwort erfordert eine systematische Prüfung von Sektorzugehörigkeit, Unternehmenskennzahlen und Sonderfällen.

Die NIS-2-Richtlinie (EU 2022/2555) erweitert den Kreis der betroffenen Unternehmen gegenüber der Vorgängerrichtlinie erheblich. Schätzungsweise 29.000 bis 40.000 Organisationen in Deutschland fallen unter die neuen Anforderungen. Die Betroffenheit ergibt sich aus zwei Kriterien: Das Unternehmen gehört einem der 18 definierten Sektoren in Anhang I (wesentliche Einrichtungen) oder Anhang II (wichtige Einrichtungen) an. Und es erfüllt die Größenschwelle von mindestens 50 Beschäftigten oder mehr als 10 Millionen Euro Jahresumsatz.

Betreiber kritischer Infrastrukturen sind unabhängig von der Unternehmensgröße betroffen. Für Zulieferer gilt: Auch wenn sie selbst nicht direkt unter NIS-2 fallen, können Kunden aus regulierten Sektoren Sicherheitsanforderungen über die Lieferkette durchreichen. Die Sektorzuordnung ist bei Unternehmen mit mehreren Geschäftsfeldern oder internationalen Tochtergesellschaften oft komplexer als erwartet.

In unseren Projekten stellt sich bei rund 70 Prozent der Anfragen eine tatsächliche Betroffenheit heraus. Ein dokumentiertes Gutachten schafft Klarheit für die Geschäftsleitung, bildet die Grundlage für die BSI-Registrierung und ist der erste Schritt zur NIS-2-konformen Umsetzung.

Betrifft NIS-2 Ihr Unternehmen? Prüfen Sie Sektorzugehörigkeit und Schwellenwerte in wenigen Schritten. Keine Registrierung, keine Datenweitergabe.

NIS-2 · Interaktiver Schnellcheck

Bin ich von NIS-2 betroffen?

Prüfen Sie in wenigen Schritten, ob Ihre Organisation unter die NIS-2-Richtlinie fällt und welche Kategorie auf Sie zutrifft: KRITIS/bwE, besonders wichtige Einrichtung, wichtige Einrichtung oder nicht betroffen.

Dieser Schnellcheck dient der ersten Orientierung und ersetzt keine rechtliche Prüfung im Einzelfall. Für eine verbindliche Einschätzung empfehlen wir eine individuelle Betroffenheitsanalyse.

Frage 1

Diese Einschätzung basiert auf Ihren Angaben und ersetzt keine rechtliche Prüfung im Einzelfall.

    Betroffenheit verbindlich klären: Analyse in 5 Werktagen

    Leistungsumfang

    Was die Betroffenheitsanalyse umfasst

    Systematische Prüfung in drei Schritten: Sektor, Schwellenwerte, Einstufung. Ergebnis ist ein dokumentiertes Gutachten.

    01

    Sektorprüfung

    Abgleich aller Geschäftsfelder und Tochtergesellschaften gegen die 18 Sektoren in Anhang I und II. Berücksichtigung von Mischkonzernen und indirekter Betroffenheit über die Lieferkette.

    02

    Schwellenwertprüfung

    Bewertung der Größenkriterien: mindestens 50 Beschäftigte oder mehr als 10 Millionen Euro Jahresumsatz. Prüfung auf Konzernverbund und verbundene Unternehmen.

    03

    Einstufung wesentlich / wichtig

    Klassifizierung als wesentliche (Anhang I) oder wichtige Einrichtung (Anhang II). Die Einstufung bestimmt Bußgeldhöhe, Aufsichtsintensität und Meldepflichten.

    04

    KRITIS-Sonderprüfung

    Prüfung, ob das Unternehmen als Betreiber kritischer Infrastrukturen gilt. KRITIS-Betreiber sind unabhängig von der Unternehmensgröße betroffen und unterliegen zusätzlichen Pflichten.

    05

    Betroffenheits-Gutachten

    Dokumentiertes Gutachten mit rechtssicherer Bewertung der Betroffenheit, Begründung der Einstufung und konkreten Handlungsempfehlungen für die nächsten Schritte.

    06

    BSI-Registrierungsbegleitung

    Vorbereitung und Begleitung der BSI-Registrierung nach § 33 BSIG. Zusammenstellung der erforderlichen Unterlagen und Kontaktdaten für die Meldestelle.

    Ablauf

    Von der Anfrage zum Gutachten in 3 Schritten

    Datenerhebung und Sektoranalyse

    Tag 1–3

    Erfassung der Unternehmensstruktur, aller Geschäftsfelder und Tochtergesellschaften. Abgleich gegen die 18 NIS-2-Sektoren (Anhang I und II) und Prüfung der Größenkriterien.

    Ergebnis: Sektoranalyse mit vorläufiger Einschätzung

    Einstufung und Sonderfallprüfung

    Tag 3–5

    Klassifizierung als wesentliche oder wichtige Einrichtung. Prüfung auf KRITIS-Betreiberstatus, indirekte Betroffenheit über die Lieferkette und Konzernverbund-Regelungen.

    Ergebnis: Finale Einstufung mit Begründung

    Gutachten und Handlungsempfehlung

    Tag 5–7

    Erstellung des dokumentierten Betroffenheits-Gutachtens mit rechtssicherer Bewertung, konkreten Handlungsempfehlungen und Vorbereitung der BSI-Registrierung.

    Ergebnis: Betroffenheits-Gutachten und BSI-Registrierungsunterlagen

    Zeitangaben beziehen sich auf ein einzelnes Unternehmen. Bei Konzernstrukturen mit mehreren Tochtergesellschaften oder internationalen Standorten verlängert sich die Analyse entsprechend.

    Erfahrung und Qualifikation

    Worauf SECURAM aufbaut

    SECURAM Consulting wurde in Hamburg gegründet und berät seit mehr als 20 Jahren mittelständische Unternehmen in der DACH-Region. Die Kombination aus ISMS, BCMS, KI-Governance und Risikomanagement unter einem Dach unterscheidet SECURAM von spezialisierten Einzelnorm-Beratungen, weil Überschneidungen zwischen Standards systematisch genutzt werden.

    30+
    Implementierte Managementsysteme
    50+
    Durchgeführte interne Audits
    15+
    Betreute Organisationen (aaS)
    20+
    Jahre Beratungserfahrung

    Nächste Schritte

    Von der Betroffenheit zur NIS-2-Konformität

    Die Betroffenheitsanalyse ist der erste Schritt. Danach folgen GAP-Analyse, Umsetzung und laufender Betrieb.

    Die Betroffenheitsanalyse klärt die Frage, ob NIS-2 gilt. Die NIS-2-Beratung setzt die Anforderungen um. ISO 27001 liefert den international anerkannten Nachweis.

    Verwandte NIS-2-Leistungen
    BSI-Registrierung KRITIS BSI IT-Grundschutz

    Laufender Betrieb

    ISBaaS — Externer Informationssicherheitsbeauftragter

    Mit dem ISBaaS-Modell übernimmt SECURAM die Rolle des externen Informationssicherheitsbeauftragten. Das umfasst die laufende Betreuung des ISMS, die Überwachung der NIS-2-Compliance und die regelmäßige Berichterstattung an die Geschäftsleitung.

    Für NIS-2-betroffene Unternehmen ist der ISBaaS relevant, weil die Richtlinie eine benannte verantwortliche Person für Informationssicherheit verlangt. Der ISBaaS erfüllt diese Anforderung, ohne eine Vollzeitstelle besetzen zu müssen.

    • Laufende ISMS-Betreuung und NIS-2-Compliance-Monitoring
    • BSI-Meldestelle und Incident-Response-Koordination
    • Interne Audits und Management-Review-Vorbereitung

    SECURAM Consulting ist Mitglied der BSI-Allianz für Cybersicherheit, bei ISACA, Bitkom, der IHK Kiel und im Netzwerk Hamburg@work.

    Häufige Fragen

    FAQ — NIS-2 Betroffenheitsanalyse

    Betroffen sind Unternehmen in 18 definierten Sektoren (Anhang I und II der Richtlinie) mit mindestens 50 Beschäftigten oder mehr als 10 Millionen Euro Jahresumsatz. Die Sektoren reichen von Energie, Verkehr und Gesundheit über Digitale Infrastruktur bis zu Maschinenbau, Chemie und Lebensmittelproduktion. Betreiber kritischer Infrastrukturen sind unabhängig von der Unternehmensgröße betroffen.
    NIS-2 unterscheidet zwei Kategorien: Wesentliche Einrichtungen (Anhang I) umfassen die Sektoren mit höchster Kritikalität wie Energie, Verkehr, Gesundheit und Digitale Infrastruktur. Für sie gelten strengere Aufsichtsregeln und höhere Bußgelder bis 10 Millionen Euro. Wichtige Einrichtungen (Anhang II) betreffen Sektoren wie Maschinenbau, Chemie und Lebensmittelproduktion mit Bußgeldern bis 7 Millionen Euro. Die Sicherheitsanforderungen nach § 30 BSIG sind für beide Kategorien identisch.
    SECURAM kalkuliert die Betroffenheitsanalyse auf Personentag-Basis. Der Aufwand hängt von der Komplexität der Unternehmensstruktur ab — bei Konzernen mit mehreren Tochtergesellschaften oder internationalen Standorten ist die Sektorzuordnung aufwändiger als bei einem einzelnen Unternehmen. Das Ergebnis ist ein dokumentiertes Gutachten mit rechtssicherer Bewertung der Betroffenheit und konkreten Handlungsempfehlungen.
    Betroffene Unternehmen müssen sich innerhalb von drei Monaten nach Inkrafttreten des NIS2UmsuCG beim BSI registrieren. Eine versäumte Registrierung ist ein eigenständiger Verstoß und kann mit Bußgeldern geahndet werden. Die Registrierungspflicht gilt unabhängig davon, ob alle Sicherheitsmaßnahmen nach § 30 BSIG bereits umgesetzt sind. SECURAM begleitet die BSI-Registrierung als Teil der Betroffenheitsanalyse.
    Die Analyse folgt drei Schritten: Zuerst wird die Sektorzugehörigkeit nach Anhang I und II geprüft, einschließlich aller Geschäftsfelder und Tochtergesellschaften. Dann werden die Größenkriterien bewertet — mindestens 50 Beschäftigte oder mehr als 10 Millionen Euro Jahresumsatz. Abschließend erfolgt die Einstufung als wesentliche oder wichtige Einrichtung und die Prüfung auf Sonderfälle wie KRITIS-Betreiber. Das Ergebnis ist ein dokumentiertes Gutachten mit Handlungsempfehlungen.
    Online-Tools liefern eine erste Orientierung, ersetzen aber keine belastbare Analyse. Die Sektorzuordnung nach Anhang I und II ist bei Unternehmen mit mehreren Geschäftsfeldern komplex. Zulieferer und Dienstleister können über die Lieferkette betroffen sein, ohne einem offensichtlichen Sektor anzugehören. Ein dokumentiertes Gutachten mit rechtssicherer Bewertung bietet die Grundlage für die BSI-Registrierung und die interne Kommunikation gegenüber der Geschäftsleitung.
    Zulieferer können auf zwei Wegen betroffen sein: Direkt, wenn sie selbst einem der 18 NIS-2-Sektoren angehören und die Größenkriterien erfüllen. Indirekt, weil NIS-2 wesentliche und wichtige Einrichtungen verpflichtet, die Sicherheit ihrer Lieferkette zu überwachen. Das bedeutet: Auch wenn ein Zulieferer nicht direkt unter NIS-2 fällt, können Kunden aus regulierten Sektoren vertragliche Sicherheitsanforderungen durchreichen.

    Klarheit in 5 Werktagen

    Prüfen Sie jetzt, ob Ihr Unternehmen von NIS-2 betroffen ist. Vereinbaren Sie ein unverbindliches Erstgespräch zur Betroffenheitsanalyse.

    Betroffenheit prüfen lassen →

    Nächster Schritt

    Ihr Einstieg in die NIS-2-Compliance

    Betroffenheitsanalyse

    Bin ich betroffen?

    Sektorzugehörigkeit, Schwellenwerte und Sonderfälle prüfen. Ergebnis: dokumentiertes Gutachten mit Handlungsempfehlung.

    Analyse anfragen →
    GAP-Analyse

    NIS-2 GAP-Analyse

    Wo steht Ihre Informationssicherheit heute? Die GAP-Analyse zeigt den Abstand zu den Anforderungen nach § 30 BSIG.

    GAP-Analyse anfragen →
    NIS-2 Umsetzung

    NIS-2 umsetzen

    Von der Betroffenheit bis zur BSI-Registrierung: SECURAM begleitet die vollständige Umsetzung der NIS-2-Anforderungen.

    Umsetzung anfragen →

    Kontakt

    Wir freuen uns auf Ihre Nachricht.

    Ich habe die Datenschutzhinweise gelesen und bin einverstanden, dass meine Angaben zur Beantwortung meiner Anfrage verarbeitet und per E-Mail an SECURAM Consulting übermittelt werden. *

    Ihre Ansprechpartnerin

    Nadine Eibel – SECURAM Consulting

    Nadine Eibel

    Gründerin & Geschäftsführerin
    SECURAM Consulting GmbH

    Über 20 Jahre Erfahrung in IT-Security und Informationssicherheit. Zertifiziert als CISM, Lead Auditorin ISO 27001 und ITIL Expert.

    Kontaktdaten

    Colonnaden 5
    20354 Hamburg
    040 298 4553-0
    contact@securam-consulting.com

    Direkter Kontakt

    Lieber direkt sprechen?
    Buchen Sie ein kostenloses Erstgespräch.

    Termin buchen