Die wichtigste Vorfrage zu NIS2 lautet nicht 'wie setze ich es um', sondern 'gilt es überhaupt für mich'. Die Antwort hängt an drei Achsen: Sektor (Anhang I oder II), Größenklasse (Mitarbeitende plus Umsatz oder Bilanzsumme) und einer Reihe von Sonderfällen, die unabhängig von der Größe greifen. Hier der Entscheidungsbaum, den jedes betroffene Unternehmen einmal sauber durchlaufen und dokumentieren sollte.

Schritt 1: Sektor prüfen (Anhang I oder II)

Anhang I (Sektoren mit hoher Kritikalität): Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, Digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B), Öffentliche Verwaltung, Weltraum.

Anhang II (Sonstige kritische Sektoren): Post und Kurierdienste, Abfallwirtschaft, Herstellung und Vertrieb chemischer Stoffe, Lebensmittelproduktion und -vertrieb, Herstellung (Medizinprodukte, Datenverarbeitungsgeräte, elektrische Ausrüstung, Maschinen, Kraftwagen, sonstige Fahrzeuge), Anbieter digitaler Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke), Forschung.

Wenn der Sektor nicht in Anhang I oder II steht, ist NIS2 in der Regel nicht direkt anwendbar. Sonderfälle siehe Schritt 3.

Schritt 2: Größenklasse bestimmen

Großunternehmen: >= 250 Mitarbeitende ODER (Jahresumsatz > 50 Mio Euro UND Bilanzsumme > 43 Mio Euro). In Anhang I = wesentliche Einrichtung. In Anhang II = wichtige Einrichtung.

Mittlere Unternehmen: 50-249 Mitarbeitende ODER (Umsatz 10-50 Mio Euro UND Bilanz 10-43 Mio Euro). In Anhang I oder II = wichtige Einrichtung.

Kleinst- und Kleinunternehmen unter diesen Schwellen sind grundsätzlich ausgenommen, außer sie fallen unter die Sonderfälle in Schritt 3.

Wichtig: gezählt wird auf Konzernebene mit den EU-Kriterien (KMU-Definition Empfehlung 2003/361/EG), nicht auf Einzelgesellschaft.

Schritt 3: Sonderfälle (größen-unabhängig)

Anbieter öffentlicher elektronischer Kommunikationsnetze und -dienste (TK): immer in Scope.

Vertrauensdiensteanbieter (eIDAS): immer in Scope.

TLD-Registries und DNS-Diensteanbieter: immer in Scope.

Einzige Anbieter im Mitgliedstaat für einen wesentlichen Dienst (z. B. einziger nationaler Roaming-Anbieter): immer in Scope.

Stellen der öffentlichen Verwaltung der Zentralregierung: immer in Scope.

Mitgliedstaaten können weitere Einrichtungen identifizieren (z. B. über das deutsche NIS2UmsuCG werden besondere wichtige Einrichtungen definiert).

Schritt 4: Lieferketten-Effekt

Selbst wenn Sie formal nicht betroffen sind: wenn Sie wesentliche Einrichtungen beliefern, werden NIS2-Anforderungen über Vertragsklauseln durchgereicht. Wesentliche Einrichtungen müssen Art. 21 Abs. 2 d) ihre Lieferkette absichern.

Praktisch bedeutet das: ISO 27001, dokumentiertes ICT-Risikomanagement, Incident-Reporting-Fähigkeit, Backup-Strategie und Geschäftsleitungs-Verantwortung werden Eintrittskarten zu Aufträgen.

Schritt 5: Dokumentation

Die Anwendbarkeits-Prüfung ist selbst ein dokumentationspflichtiger Schritt. Schriftlich, datiert, mit Begründung pro Achse (Sektor, Größe, Sonderfall), unterschrieben von der Geschäftsleitung.

Wer 'nicht betroffen' dokumentiert, sollte die Prüfung jährlich oder bei wesentlichen Veränderungen (Umsatzschwelle, Akquisition, neue Geschäftsbereiche) wiederholen.

Wer 'betroffen' feststellt, leitet daraus die Klassifizierung als wesentliche oder wichtige Einrichtung ab und beginnt die Registrierung bei der zuständigen Behörde (in Deutschland: BSI über das NIS2UmsuCG-Register, sobald operativ).

Was DecisionOS dabei tut

Die Anwendbarkeitsprüfung ist die erste auditfähige Entscheidung im NIS2-Programm. DecisionOS dokumentiert sie als Decision Memo: Kriterien, Schwellen, Sonderfälle, Quellen, Stakeholder-Abnahme. Bei Folgeprüfungen wird das Memo versioniert, sodass die Aufsicht im Prüfungsfall den Stand zu jedem Zeitpunkt nachvollziehen kann.

NIS2-Schwellenwerte 2026: Bin ich wesentliche oder wichtige Einrichtung?