NIS2 Betroffenheitsanalyse-Tool – REX ITOC

NIS2 Betroffenheitsanalyse

Einfache Ersteinschätzung für Ihr Unternehmen – modern & benutzerfreundlich

Bereitgestellt von REX ITOC – Ihrem Partner für Cybersicherheit

Willkommen

Dieses Tool von REX ITOC führt Sie mit klaren Fragen und ausklappbaren Erklärungen durch die Prüfung, ob Ihr Unternehmen unter die NIS2-Regelung fällt.

Was ist NIS2 eigentlich?

NIS2 ist eine EU-weite Regelung zur Cybersicherheit. In Deutschland wurde sie durch das BSI-Gesetz umgesetzt. Betroffene Unternehmen müssen:

  • sich beim BSI registrieren (Portal seit 6. Januar 2026 geöffnet),
  • Risikomanagement-Maßnahmen umsetzen (z. B. Schulungen, Incident-Response, Lieferkettensicherheit),
  • erhebliche Cyber-Vorfälle melden.

Ca. 29.000 Unternehmen in Deutschland sind betroffen – deutlich mehr als bei der alten Regelung.

Achtung! Die Geschäftsführung haftet persönlich bei Verstößen!

Frage 1/3: Size-unabhängige Betroffenheit

Trifft einer der folgenden Punkte auf Ihr Unternehmen zu?

  • Sie sind Betreiber einer kritischen Infrastruktur (KRITIS)
  • Sie bieten öffentliche elektronische Kommunikationsnetze oder -dienste an
  • Sie sind qualifizierter Vertrauensdienstleister (eIDAS)
  • Sie betreiben ein Top-Level-Domain-Namensregister (TLD-Registry)
  • Sie sind DNS-Dienstleister (außer Root-Nameserver)
  • Sie sind eine zentrale Einrichtung der öffentlichen Verwaltung (Bundesebene)
Detaillierte Erklärungen zu den Punkten
  • KRITIS: Unternehmen in besonders lebenswichtigen Bereichen (z. B. große Energieversorger, Krankenhäuser, Wasserwerke).
  • Kommunikationsnetze/-dienste: z. B. Telekommunikationsanbieter wie Telefon- oder Internetprovider.
  • Vertrauensdienstleister: Anbieter von digitalen Zertifikaten, elektronischen Siegeln oder Zeitstempeln.
  • TLD-Registry: Organisationen, die Domain-Endungen wie .de oder .com verwalten.
  • DNS-Dienstleister: Anbieter, die Domain-Namen in IP-Adressen auflösen (z. B. Cloudflare, Google DNS).
  • Öffentliche Verwaltung Bund: Ministerien, Behörden und zentrale Einrichtungen des Bundes.

Wenn einer dieser Punkte zutrifft, sind Sie unabhängig von Ihrer Größe betroffen.

Frage 2/3: Sektorzugehörigkeit

Ist Ihr Unternehmen in mindestens einem der folgenden kritischen Sektoren tätig?

  • Energie (Strom, Gas, Öl, Fernwärme etc.)
  • Verkehr (Luft-, Schienen-, Wasser-, Straßenverkehr)
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen (Krankenhäuser, Labore etc.)
  • Trinkwasserversorgung
  • Abwasser
  • Digitale Infrastruktur (Internetknoten, DNS, TLD, Cloud etc.)
  • IKT-Dienstemanagement (Managed Services B2B)
  • Öffentliche Verwaltung (bestimmte Ebenen)
  • Raumfahrt
  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Chemische Erzeugung, Produktion und Vertrieb
  • Lebensmittelproduktion, -verarbeitung und -vertrieb
  • Herstellung kritischer Produkte (z. B. Arzneimittel, Medizinprodukte, Elektronik, Maschinen, Fahrzeuge)
  • Digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Forschung (in kritischen Bereichen)
Detaillierte Erklärungen zu den Sektoren

Diese Sektoren (spezifiziert um betroffene Branchen und Einrichtungsarten, ggfs. mit Verweis auf NACE Rev. 2) stammen aus den Anlagen 1 und 2 des Gesetzestextes. Auch als Zulieferer oder in einer Nebenaktivität kann eine Betroffenheit vorliegen, z.B. aufgrund von Anforderungen eines NIS2-betroffenen Auftraggebers.

Bei Unsicherheit: Lassen Sie sich beraten – gerne auch von REX ITOC.

Frage 3/3: Unternehmensgröße

Ist Ihr Unternehmen ein kleines Unternehmen nach EU-Definition?

Das bedeutet: weniger als 50 Beschäftigte UND Jahresumsatz ≤ 10 Mio. € UND Bilanzsumme ≤ 10 Mio. €?

Was bedeutet die EU-Definition genau?

Kleine Unternehmen sind von NIS2 ausgenommen (außer bei size-unabhängigen Fällen aus Frage 1).

  • Beschäftigte: Durchschnittliche Anzahl Vollzeitkräfte im Jahr.
  • Umsatz/Bilanzsumme: Werte aus dem letzten abgeschlossenen Geschäftsjahr.
  • Hinweis: Konzernzugehörigkeit kann die Größe beeinflussen.

Ihr Ergebnis

Was bedeutet das Ergebnis genau?

Bei „betroffen“:

  • Registrierung beim BSI (Portal seit 6. Januar 2026 geöffnet).
  • Umsetzung von Risikomanagement-Maßnahmen.
  • Meldung erheblicher Vorfälle innerhalb von 24 Stunden.
  • Persönliche Haftung der Geschäftsführung.

Bei „nicht betroffen“: Keine NIS2-Pflichten, aber grundlegende Cybersicherheit bleibt empfehlenswert.

Dies ist nur eine erste Orientierung! Für eine verbindliche Prüfung nutzen Sie das offizielle BSI-Portal oder lassen sie sich von REX ITOC beraten.

Zu den offiziellen BSI NIS-2-Informationen

Bereitgestellt von REX ITOC – Ihr Partner für Cybersicherheit & NIS2-Compliance