+(49) 0123-4567890 anywhere@securam.com
NIS-2 Betroffenheitsanalyse: Sind Sie betroffen? | SECURAM

ISMS · NIS-2

NIS-2 Betroffenheitsanalyse für Unternehmen

Die NIS-2-Richtlinie betrifft Unternehmen in 18 Sektoren ab 50 Beschäftigten oder 10 Millionen Euro Jahresumsatz. Betreiber kritischer Infrastrukturen sind unabhängig von der Größe betroffen. SECURAM prüft Sektorzugehörigkeit, Schwellenwerte und Sonderfälle und liefert ein dokumentiertes Gutachten mit Handlungsempfehlung und Vorbereitung auf die BSI-Registrierung.

Betroffenheit prüfen lassen Ablauf ansehen ↓
NIS-2 Betroffenheitsanalyse

Ausgangslage

Wer ist von NIS-2 betroffen?

Die Frage klingt einfach. Die Antwort erfordert eine systematische Prüfung von Sektorzugehörigkeit, Unternehmenskennzahlen und Sonderfällen.

Die NIS-2-Richtlinie (EU 2022/2555) erweitert den Kreis der betroffenen Unternehmen gegenüber der Vorgängerrichtlinie erheblich. Schätzungsweise 29.000 bis 40.000 Organisationen in Deutschland fallen unter die neuen Anforderungen. Die Betroffenheit ergibt sich aus zwei Kriterien: Das Unternehmen gehört einem der 18 definierten Sektoren in Anhang I (wesentliche Einrichtungen) oder Anhang II (wichtige Einrichtungen) an. Und es erfüllt die Größenschwelle von mindestens 50 Beschäftigten oder mehr als 10 Millionen Euro Jahresumsatz.

Betreiber kritischer Infrastrukturen sind unabhängig von der Unternehmensgröße betroffen. Für Zulieferer gilt: Auch wenn sie selbst nicht direkt unter NIS-2 fallen, können Kunden aus regulierten Sektoren Sicherheitsanforderungen über die Lieferkette durchreichen. Die Sektorzuordnung ist bei Unternehmen mit mehreren Geschäftsfeldern oder internationalen Tochtergesellschaften oft komplexer als erwartet.

In unseren Projekten stellt sich bei rund 70 Prozent der Anfragen eine tatsächliche Betroffenheit heraus. Ein dokumentiertes Gutachten schafft Klarheit für die Geschäftsleitung, bildet die Grundlage für die BSI-Registrierung und ist der erste Schritt zur NIS-2-konformen Umsetzung.

Leistungsumfang

Was die Betroffenheitsanalyse umfasst

Systematische Prüfung in drei Schritten: Sektor, Schwellenwerte, Einstufung. Ergebnis ist ein dokumentiertes Gutachten.

01

Sektorprüfung

Abgleich aller Geschäftsfelder und Tochtergesellschaften gegen die 18 Sektoren in Anhang I und II. Berücksichtigung von Mischkonzernen und indirekter Betroffenheit über die Lieferkette.

02

Schwellenwertprüfung

Bewertung der Größenkriterien: mindestens 50 Beschäftigte oder mehr als 10 Millionen Euro Jahresumsatz. Prüfung auf Konzernverbund und verbundene Unternehmen.

03

Einstufung wesentlich / wichtig

Klassifizierung als wesentliche (Anhang I) oder wichtige Einrichtung (Anhang II). Die Einstufung bestimmt Bußgeldhöhe, Aufsichtsintensität und Meldepflichten.

04

KRITIS-Sonderprüfung

Prüfung, ob das Unternehmen als Betreiber kritischer Infrastrukturen gilt. KRITIS-Betreiber sind unabhängig von der Unternehmensgröße betroffen und unterliegen zusätzlichen Pflichten.

05

Betroffenheits-Gutachten

Dokumentiertes Gutachten mit rechtssicherer Bewertung der Betroffenheit, Begründung der Einstufung und konkreten Handlungsempfehlungen für die nächsten Schritte.

06

BSI-Registrierungsbegleitung

Vorbereitung und Begleitung der BSI-Registrierung nach §33 BSIG. Zusammenstellung der erforderlichen Unterlagen und Kontaktdaten für die Meldestelle.

Ablauf

Von der Anfrage zum Gutachten in 3 Schritten

Datenerhebung und Sektoranalyse

Tag 1–3

Erfassung der Unternehmensstruktur, aller Geschäftsfelder und Tochtergesellschaften. Abgleich gegen die 18 NIS-2-Sektoren (Anhang I und II) und Prüfung der Größenkriterien.

Ergebnis: Sektoranalyse mit vorläufiger Einschätzung

Einstufung und Sonderfallprüfung

Tag 3–5

Klassifizierung als wesentliche oder wichtige Einrichtung. Prüfung auf KRITIS-Betreiberstatus, indirekte Betroffenheit über die Lieferkette und Konzernverbund-Regelungen.

Ergebnis: Finale Einstufung mit Begründung

Gutachten und Handlungsempfehlung

Tag 5–7

Erstellung des dokumentierten Betroffenheits-Gutachtens mit rechtssicherer Bewertung, konkreten Handlungsempfehlungen und Vorbereitung der BSI-Registrierung.

Ergebnis: Betroffenheits-Gutachten und BSI-Registrierungsunterlagen

Zeitangaben beziehen sich auf ein einzelnes Unternehmen. Bei Konzernstrukturen mit mehreren Tochtergesellschaften oder internationalen Standorten verlängert sich die Analyse entsprechend.

Erfahrung und Qualifikation

Worauf SECURAM aufbaut

SECURAM Consulting wurde in Hamburg gegründet und berät seit mehr als 20 Jahren mittelständische Unternehmen in der DACH-Region. Die Kombination aus ISMS, BCMS, KI-Governance und Risikomanagement unter einem Dach unterscheidet SECURAM von spezialisierten Einzelnorm-Beratungen, weil Überschneidungen zwischen Standards systematisch genutzt werden.

30+
Implementierte Managementsysteme
50+
Durchgeführte interne Audits
15+
Betreute Organisationen (aaS)
20+
Jahre Beratungserfahrung

Nächste Schritte

Von der Betroffenheit zur NIS-2-Konformität

Die Betroffenheitsanalyse ist der erste Schritt. Danach folgen GAP-Analyse, Umsetzung und laufender Betrieb.

Die Betroffenheitsanalyse klärt die Frage, ob NIS-2 gilt. Die NIS-2-Beratung setzt die Anforderungen um. ISO 27001 liefert den international anerkannten Nachweis.

Verwandte NIS-2-Leistungen
BSI-Registrierung KRITIS BSI IT-Grundschutz

Laufender Betrieb

ISBaaS — Externer Informationssicherheitsbeauftragter

Mit dem ISBaaS-Modell übernimmt SECURAM die Rolle des externen Informationssicherheitsbeauftragten. Das umfasst die laufende Betreuung des ISMS, die Überwachung der NIS-2-Compliance und die regelmäßige Berichterstattung an die Geschäftsleitung.

Für NIS-2-betroffene Unternehmen ist der ISBaaS relevant, weil die Richtlinie eine benannte verantwortliche Person für Informationssicherheit verlangt. Der ISBaaS erfüllt diese Anforderung, ohne eine Vollzeitstelle besetzen zu müssen.

  • Laufende ISMS-Betreuung und NIS-2-Compliance-Monitoring
  • BSI-Meldestelle und Incident-Response-Koordination
  • Interne Audits und Management-Review-Vorbereitung

SECURAM Consulting ist Mitglied der BSI-Allianz für Cybersicherheit, bei ISACA, Bitkom, der IHK Kiel und im Netzwerk Hamburg@work.

Häufige Fragen

FAQ — NIS-2 Betroffenheitsanalyse

Betroffen sind Unternehmen in 18 definierten Sektoren (Anhang I und II der Richtlinie) mit mindestens 50 Beschäftigten oder mehr als 10 Millionen Euro Jahresumsatz. Die Sektoren reichen von Energie, Verkehr und Gesundheit über Digitale Infrastruktur bis zu Maschinenbau, Chemie und Lebensmittelproduktion. Betreiber kritischer Infrastrukturen sind unabhängig von der Unternehmensgröße betroffen.
NIS-2 unterscheidet zwei Kategorien: Wesentliche Einrichtungen (Anhang I) umfassen die Sektoren mit höchster Kritikalität wie Energie, Verkehr, Gesundheit und Digitale Infrastruktur. Für sie gelten strengere Aufsichtsregeln und höhere Bußgelder bis 10 Millionen Euro. Wichtige Einrichtungen (Anhang II) betreffen Sektoren wie Maschinenbau, Chemie und Lebensmittelproduktion mit Bußgeldern bis 7 Millionen Euro. Die Sicherheitsanforderungen nach §30 BSIG sind für beide Kategorien identisch.
SECURAM kalkuliert die Betroffenheitsanalyse auf Personentag-Basis. Der Aufwand hängt von der Komplexität der Unternehmensstruktur ab — bei Konzernen mit mehreren Tochtergesellschaften oder internationalen Standorten ist die Sektorzuordnung aufwändiger als bei einem einzelnen Unternehmen. Das Ergebnis ist ein dokumentiertes Gutachten mit rechtssicherer Bewertung der Betroffenheit und konkreten Handlungsempfehlungen.
Betroffene Unternehmen müssen sich innerhalb von drei Monaten nach Inkrafttreten des NIS2UmsuCG beim BSI registrieren. Eine versäumte Registrierung ist ein eigenständiger Verstoß und kann mit Bußgeldern geahndet werden. Die Registrierungspflicht gilt unabhängig davon, ob alle Sicherheitsmaßnahmen nach §30 BSIG bereits umgesetzt sind. SECURAM begleitet die BSI-Registrierung als Teil der Betroffenheitsanalyse.
Die Analyse folgt drei Schritten: Zuerst wird die Sektorzugehörigkeit nach Anhang I und II geprüft, einschließlich aller Geschäftsfelder und Tochtergesellschaften. Dann werden die Größenkriterien bewertet — mindestens 50 Beschäftigte oder mehr als 10 Millionen Euro Jahresumsatz. Abschließend erfolgt die Einstufung als wesentliche oder wichtige Einrichtung und die Prüfung auf Sonderfälle wie KRITIS-Betreiber. Das Ergebnis ist ein dokumentiertes Gutachten mit Handlungsempfehlungen.
Online-Tools liefern eine erste Orientierung, ersetzen aber keine belastbare Analyse. Die Sektorzuordnung nach Anhang I und II ist bei Unternehmen mit mehreren Geschäftsfeldern komplex. Zulieferer und Dienstleister können über die Lieferkette betroffen sein, ohne einem offensichtlichen Sektor anzugehören. Ein dokumentiertes Gutachten mit rechtssicherer Bewertung bietet die Grundlage für die BSI-Registrierung und die interne Kommunikation gegenüber der Geschäftsleitung.
Zulieferer können auf zwei Wegen betroffen sein: Direkt, wenn sie selbst einem der 18 NIS-2-Sektoren angehören und die Größenkriterien erfüllen. Indirekt, weil NIS-2 wesentliche und wichtige Einrichtungen verpflichtet, die Sicherheit ihrer Lieferkette zu überwachen. Das bedeutet: Auch wenn ein Zulieferer nicht direkt unter NIS-2 fällt, können Kunden aus regulierten Sektoren vertragliche Sicherheitsanforderungen durchreichen.

Klarheit in 5 Werktagen

Prüfen Sie jetzt, ob Ihr Unternehmen von NIS-2 betroffen ist. Vereinbaren Sie ein unverbindliches Erstgespräch zur Betroffenheitsanalyse.

Betroffenheit prüfen lassen →

Nächster Schritt

Ihr Einstieg in die NIS-2-Compliance

Betroffenheitsanalyse

Bin ich betroffen?

Sektorzugehörigkeit, Schwellenwerte und Sonderfälle prüfen. Ergebnis: dokumentiertes Gutachten mit Handlungsempfehlung.

Analyse anfragen →
GAP-Analyse

NIS-2 GAP-Analyse

Wo steht Ihre Informationssicherheit heute? Die GAP-Analyse zeigt den Abstand zu den Anforderungen nach §30 BSIG.

GAP-Analyse anfragen →
NIS-2 Umsetzung

NIS-2 umsetzen

Von der Betroffenheit bis zur BSI-Registrierung: SECURAM begleitet die vollständige Umsetzung der NIS-2-Anforderungen.

Umsetzung anfragen →

Kontakt

Wir freuen uns auf Ihre Nachricht.

Ich habe die Datenschutzhinweise gelesen und bin einverstanden, dass meine Angaben zur Beantwortung meiner Anfrage verarbeitet und per E-Mail an SECURAM Consulting übermittelt werden. *

Ihre Ansprechpartnerin

Nadine Eibel – SECURAM Consulting

Nadine Eibel

Gründerin & Geschäftsführerin
SECURAM Consulting GmbH

Über 20 Jahre Erfahrung in IT-Security und Informationssicherheit. Zertifiziert als CISM, Lead Auditorin ISO 27001 und ITIL Expert.

Kontaktdaten

Colonnaden 5
20354 Hamburg
040 298 4553-0
contact@securam-consulting.com

Direkter Kontakt

Lieber direkt sprechen?
Buchen Sie ein kostenloses Erstgespräch.

Termin buchen