Press "Enter" to skip to content

NIS-2-Betroffenheitsprüfung als Web-App: Wer ist wirklich verpflichtet – und warum die Prüfung für alle sinnvoll ist

Hermanns Hermanns
12. October 2025
Leave a Comment

Die EU-Richtlinie NIS-2 (EU 2022/2555) ist eines der zentralen Themen im Bereich der Cybersicherheit [1]. Sie verfolgt das Ziel, europaweit ein einheitlich hohes Sicherheitsniveau für kritische und wichtige Einrichtungen zu schaffen. Allerdings gilt sie nicht automatisch für jedes Unternehmen [2]. Genau aus diesem Grund habe ich eine NIS-2-Betroffenheitsprüfung entwickelt, mit der sich die eigene Einordnung nachvollziehbar bestimmen lässt [3].

Warum eine Betroffenheitsprüfung notwendig ist

Die Richtlinie unterscheidet zwischen:

  • Essentiellen Einrichtungen wie Betreibern von Energie-, Verkehrs- oder Wassernetzen, und
  • Wichtigen Einrichtungen, etwa aus dem Gesundheitswesen, der digitalen Infrastruktur oder der Lieferkette kritischer Infrastrukturen.

Viele Unternehmen befinden sich zwischen diesen beiden Kategorien – sie sind Teil der Wertschöpfungskette, aber keine klassischen Betreiber kritischer Infrastrukturen. Eine strukturierte Betroffenheitsprüfung ist daher der erste logische Schritt: Sie schafft Klarheit darüber, ob ein Unternehmen direkt unter NIS-2 fällt, indirekt über Kundenanforderungen betroffen ist oder lediglich allgemeine Cyber-Hygienemaßnahmen umsetzen sollte.

Dienstleister als entscheidendes Bindeglied

Besonders Dienstleister, die Prozesse oder IT-Systeme für Energieversorger, Stadtwerke oder Netzbetreiber betreiben (z.B. in der Abrechnung, Marktkommunikation oder Zählerdatenverarbeitung), nehmen eine besondere Rolle ein. Auch wenn sie selbst häufig nicht direkt NIS-2-pflichtig sind, wirken ihre Leistungen unmittelbar in kritische Prozesse hinein.

Daraus ergibt sich eine indirekte Verantwortung:

  • Sicherheitsanforderungen werden zunehmend über Verträge, Audits und technische Schnittstellen übermittelt.
  • Service-Level-Agreements enthalten vermehrt sicherheitsrelevante Bestimmungen.
  • Die Prüfung eigener Systeme, Datenflüsse und Schnittstellen wird zu einem zentralen Bestandteil der Risikosteuerung.

NIS-2 ist damit auch für Dienstleister relevant – nicht aus jurischer Verpflichtung, sondern aus betrieblicher Notwendigkeit.

Zeitlicher Ablauf und rechtlicher Status

Die EU-Richtlinie NIS-2 ist bereits seit Januar 2023 auf europäischer Ebene in Kraft. In Deutschland erfolgt die nationale Umsetzung durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das derzeit den parlamentarischen Prozess durchläuft.

Das Gesetz soll im Laufe des Jahres 2025 in Kraft treten [1]. Ab diesem Zeitpunkt gelten die konkreten Pflichten und Fristen für betroffene Unternehmen – insbesondere im Hinblick auf Risikomanagement, Meldepflichten und Governance. Bereits jetzt lohnt es sich jedoch, organisatorische und technische Grundlagen vorzubereiten, da viele Anforderungen langfristige Anpassungen erfordern.

Warum NIS-2 für jedes Unternehmen sinnvoll ist

Unabhängig von einer formalen Verpflichtung bietet NIS-2 einen wertvollen Orientierungsrahmen für Informationssicherheit. Die systematische Umsetzung von Risikomanagement, Meldeprozessen und Governance stärkt Vertrauen, reduziert Haftungsrisiken und erhöht die betriebliche Resilienz.

Maßnahmen können dabei verhältnismäßig umgesetzt werden: Kleine oder weniger kritische Unternehmen können einzelne Anforderungen vereinfachen, ohne das Ziel aus den Augen zu verlieren – eine robuste, nachvollziehbare Sicherheitskultur.

Die Web-App zur NIS-2-Betroffenheitsprüfung

Zur Unterstützung dieser ersten Einschätzung habe ich eine interaktive Web-App mit chatGPT entwickelt [3]. Sie führt Schritt für Schritt durch die wichtigsten Fragen und liefert eine nachvollziehbare Einstufung: direkt betroffen, indirekt betroffen oder nicht betroffen.

NIS-2-Betroffenheitsprüfung als Wepapp

Kurzanleitung zur Nutzung:

  1. Die App wird im Browser geöffnet.
  2. Fragen werden nacheinander beantwortet.
  3. Am Ende erfolgt eine automatische Einstufung mit kurzer Handlungsempfehlung.

Hinweis: Diese Anwendung stellt keine Rechtsberatung dar.
Sie dient ausschließlich als Entscheidungshilfe und soll den Einstieg in das Thema erleichtern.

Fazit

Die Umsetzung der NIS-2-Richtlinie ist weit mehr als eine gesetzliche Verpflichtung.
Sie bietet einen klaren Rahmen, um Informationssicherheit strukturiert und nachvollziehbar zu gestalten – unabhängig von der Unternehmensgröße oder Branche.

Mit der Betroffenheitsprüfung und der begleitenden App lässt sich der eigene Status einfach ermitteln und die weitere Planung gezielt ausrichten.
NIS-2 betrifft nicht jeden – aber sie nützt allen.

Referenzen

[1] BMI – Gesetzgebungsverfahren – Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informations­sicherheits­managements in der Bundesverwaltung

[2] BSI – NIS-2-Betroffenheitsprüfung – Entscheidungsbaum der NIS-2-Betroffenheitsprüfung des BSI

[3] NIS‑2 Betroffenheitsprüfung — Demo

Categories:reflect IT

Be First to Comment

Leave a Reply

Your email address will not be published. Required fields are marked *