Cybersecurity, Risk & Compliance

NIS-2-Betroffenheitsprüfung als Web-App: Wer ist wirklich verpflichtet – und warum die Prüfung für alle sinnvoll ist

By | | Compliance, Experiment, Governance, Security

Die EU-Richtlinie NIS-2 (EU 2022/2555) ist eines der zentralen Themen im Bereich der Cybersicherheit [1]. Sie verfolgt das Ziel, europaweit ein einheitlich hohes Sicherheitsniveau für kritische und wichtige Einrichtungen zu schaffen. Allerdings gilt sie nicht automatisch für jedes Unternehmen [2]. Genau aus diesem Grund habe ich eine NIS-2-Betroffenheitsprüfung entwickelt, mit der sich die eigene Einordnung nachvollziehbar bestimmen lässt [3].

Warum eine Betroffenheitsprüfung notwendig ist

Die Richtlinie unterscheidet zwischen:

  • Essentiellen Einrichtungen wie Betreibern von Energie-, Verkehrs- oder Wassernetzen, und
  • Wichtigen Einrichtungen, etwa aus dem Gesundheitswesen, der digitalen Infrastruktur oder der Lieferkette kritischer Infrastrukturen.

Viele Unternehmen befinden sich zwischen diesen beiden Kategorien – sie sind Teil der Wertschöpfungskette, aber keine klassischen Betreiber kritischer Infrastrukturen. Eine strukturierte Betroffenheitsprüfung ist daher der erste logische Schritt: Sie schafft Klarheit darüber, ob ein Unternehmen direkt unter NIS-2 fällt, indirekt über Kundenanforderungen betroffen ist oder lediglich allgemeine Cyber-Hygienemaßnahmen umsetzen sollte.

Dienstleister als entscheidendes Bindeglied

Besonders Dienstleister, die Prozesse oder IT-Systeme für Energieversorger, Stadtwerke oder Netzbetreiber betreiben (z.B. in der Abrechnung, Marktkommunikation oder Zählerdatenverarbeitung), nehmen eine besondere Rolle ein. Auch wenn sie selbst häufig nicht direkt NIS-2-pflichtig sind, wirken ihre Leistungen unmittelbar in kritische Prozesse hinein.

Daraus ergibt sich eine indirekte Verantwortung:

  • Sicherheitsanforderungen werden zunehmend über Verträge, Audits und technische Schnittstellen übermittelt.
  • Service-Level-Agreements enthalten vermehrt sicherheitsrelevante Bestimmungen.
  • Die Prüfung eigener Systeme, Datenflüsse und Schnittstellen wird zu einem zentralen Bestandteil der Risikosteuerung.

NIS-2 ist damit auch für Dienstleister relevant – nicht aus jurischer Verpflichtung, sondern aus betrieblicher Notwendigkeit.

Zeitlicher Ablauf und rechtlicher Status

Die EU-Richtlinie NIS-2 ist bereits seit Januar 2023 auf europäischer Ebene in Kraft. In Deutschland erfolgt die nationale Umsetzung durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das derzeit den parlamentarischen Prozess durchläuft.

Das Gesetz soll im Laufe des Jahres 2025 in Kraft treten [1]. Ab diesem Zeitpunkt gelten die konkreten Pflichten und Fristen für betroffene Unternehmen – insbesondere im Hinblick auf Risikomanagement, Meldepflichten und Governance. Bereits jetzt lohnt es sich jedoch, organisatorische und technische Grundlagen vorzubereiten, da viele Anforderungen langfristige Anpassungen erfordern.

Warum NIS-2 für jedes Unternehmen sinnvoll ist

Unabhängig von einer formalen Verpflichtung bietet NIS-2 einen wertvollen Orientierungsrahmen für Informationssicherheit. Die systematische Umsetzung von Risikomanagement, Meldeprozessen und Governance stärkt Vertrauen, reduziert Haftungsrisiken und erhöht die betriebliche Resilienz.

Maßnahmen können dabei verhältnismäßig umgesetzt werden: Kleine oder weniger kritische Unternehmen können einzelne Anforderungen vereinfachen, ohne das Ziel aus den Augen zu verlieren – eine robuste, nachvollziehbare Sicherheitskultur.

Die Web-App zur NIS-2-Betroffenheitsprüfung

Zur Unterstützung dieser ersten Einschätzung habe ich eine interaktive Web-App mit chatGPT entwickelt [3]. Sie führt Schritt für Schritt durch die wichtigsten Fragen und liefert eine nachvollziehbare Einstufung: direkt betroffen, indirekt betroffen oder nicht betroffen.

NIS-2-Betroffenheitsprüfung als Wepapp

Kurzanleitung zur Nutzung:

  1. Die App wird im Browser geöffnet.
  2. Fragen werden nacheinander beantwortet.
  3. Am Ende erfolgt eine automatische Einstufung mit kurzer Handlungsempfehlung.

Hinweis: Diese Anwendung stellt keine Rechtsberatung dar.
Sie dient ausschließlich als Entscheidungshilfe und soll den Einstieg in das Thema erleichtern.

Fazit

Die Umsetzung der NIS-2-Richtlinie ist weit mehr als eine gesetzliche Verpflichtung.
Sie bietet einen klaren Rahmen, um Informationssicherheit strukturiert und nachvollziehbar zu gestalten – unabhängig von der Unternehmensgröße oder Branche.

Mit der Betroffenheitsprüfung und der begleitenden App lässt sich der eigene Status einfach ermitteln und die weitere Planung gezielt ausrichten.
NIS-2 betrifft nicht jeden – aber sie nützt allen.

Weblinks

[1] BMI – Gesetzgebungsverfahren – Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informations­sicherheits­managements in der Bundesverwaltung

[2] BSI – NIS-2-Betroffenheitsprüfung – Entscheidungsbaum der NIS-2-Betroffenheitsprüfung des BSI

[3] NIS‑2 Betroffenheitsprüfung — Demo (vgl. CHANGELOG).

3 thoughts on “NIS-2-Betroffenheitsprüfung als Web-App: Wer ist wirklich verpflichtet – und warum die Prüfung für alle sinnvoll ist”

  1. Christoph Hermanns

    Update zur gesetzlichen Entwicklung rund um NIS-2 (Stand: November 2025)

    Seit Veröffentlichung dieses Beitrags hat sich auf politischer Ebene einiges bewegt: Am 13. November 2025 hat der Deutsche Bundestag das NIS-2-Umsetzungsgesetz in geänderter Fassung beschlossen. Damit ist ein wichtiger Schritt getan, um die europäischen Vorgaben der Richtlinie (EU) 2022/2555 in deutsches Recht zu überführen.

    Das Gesetz ist jedoch noch nicht endgültig in Kraft, da formelle Schritte wie die Verkündung im Bundesgesetzblatt sowie ggf. weitere Abstimmungen noch ausstehen. Unternehmen sollten sich daher nicht von der Verzögerung täuschen lassen: Die Anforderungen werden zeitnah und ohne lange Übergangsfristen wirksam werden.

    Was bedeutet das für Unternehmen?

    • Der Kreis der betroffenen Einrichtungen wird sich deutlich ausweiten – Schätzungen sprechen von bis zu 30.000 Unternehmen, die künftig unter NIS-2 fallen könnten.
    • Die Pflichten umfassen u. a. ein risikobasiertes Sicherheitsmanagement, strengere Meldepflichten, klare Governance- und Verantwortlichkeitsregeln sowie erhöhte Anforderungen an Dienstleister.
    • Auch Unternehmen, die formal nicht unmittelbar betroffen sind, sollten Entwicklungen genau beobachten: Große Auftraggeber und Betreiber kritischer Sektoren werden ihre Sicherheits- und Compliance-Standards entlang der Lieferkette weitergeben.

    Fazit

    Die strategische Empfehlung aus diesem Text bleibt unverändert richtig: Eine Betroffenheitsprüfung ist jetzt essenziell, und selbst nicht-pflichtige Unternehmen profitieren davon, ihre Sicherheits- und Compliance-Strukturen frühzeitig an den kommenden Standard anzupassen.

    Reply
    1. Christoph Hermanns

      Update zum aktuellen Stand:
      Das NIS-2-Umsetzungsgesetz ist inzwischen offiziell in Kraft. Laut Pressemitteilung des BSI wurde das Gesetz am 5. Dezember 2025 verkündet und gilt damit seit dem 6. Dezember 2025 verbindlich. Damit ist NIS-2 kein Zukunftsthema mehr, sondern geltendes Recht – ohne Übergangsfrist. Die im Artikel beschriebene Betroffenheitsprüfung ist damit jetzt nicht nur sinnvoll, sondern dringend erforderlich (Quelle: BSI – https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2025/251205_NIS-2-Umsetzungsgesetz_in_Kraft.html)

      Reply

Leave a Comment

Your email address will not be published. Required fields are marked *

Scroll to Top