Die wichtigste Vorfrage zu NIS2 lautet nicht 'wie setze ich es um', sondern 'gilt es ueberhaupt fuer mich'. Die Antwort haengt an drei Achsen: Sektor (Anhang I oder II), Groessenklasse (Mitarbeitende plus Umsatz oder Bilanzsumme) und einer Reihe von Sonderfaellen, die unabhaengig von der Groesse greifen. Hier der Entscheidungsbaum, den jedes betroffene Unternehmen einmal sauber durchlaufen und dokumentieren sollte.

Schritt 1: Sektor pruefen (Anhang I oder II)

Anhang I (Sektoren mit hoher Kritikalitaet): Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, Digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B), Oeffentliche Verwaltung, Weltraum.

Anhang II (Sonstige kritische Sektoren): Post und Kurierdienste, Abfallwirtschaft, Herstellung und Vertrieb chemischer Stoffe, Lebensmittelproduktion und -vertrieb, Herstellung (Medizinprodukte, Datenverarbeitungsgeraete, elektrische Ausruestung, Maschinen, Kraftwagen, sonstige Fahrzeuge), Anbieter digitaler Dienste (Online-Marktplaetze, Suchmaschinen, soziale Netzwerke), Forschung.

Wenn der Sektor nicht in Anhang I oder II steht, ist NIS2 in der Regel nicht direkt anwendbar. Sonderfaelle siehe Schritt 3.

Schritt 2: Groessenklasse bestimmen

Grossunternehmen: >= 250 Mitarbeitende ODER (Jahresumsatz > 50 Mio Euro UND Bilanzsumme > 43 Mio Euro). In Anhang I = wesentliche Einrichtung. In Anhang II = wichtige Einrichtung.

Mittlere Unternehmen: 50-249 Mitarbeitende ODER (Umsatz 10-50 Mio Euro UND Bilanz 10-43 Mio Euro). In Anhang I oder II = wichtige Einrichtung.

Kleinst- und Kleinunternehmen unter diesen Schwellen sind grundsaetzlich ausgenommen, ausser sie fallen unter die Sonderfaelle in Schritt 3.

Wichtig: gezaehlt wird auf Konzernebene mit den EU-Kriterien (KMU-Definition Empfehlung 2003/361/EG), nicht auf Einzelgesellschaft.

Schritt 3: Sonderfaelle (groessen-unabhaengig)

Anbieter oeffentlicher elektronischer Kommunikationsnetze und -dienste (TK): immer in Scope.

Vertrauensdiensteanbieter (eIDAS): immer in Scope.

TLD-Registries und DNS-Diensteanbieter: immer in Scope.

Einzige Anbieter im Mitgliedstaat fuer einen wesentlichen Dienst (z. B. einziger nationaler Roaming-Anbieter): immer in Scope.

Stellen der oeffentlichen Verwaltung der Zentralregierung: immer in Scope.

Mitgliedstaaten koennen weitere Einrichtungen identifizieren (z. B. ueber das deutsche NIS2UmsuCG werden besondere wichtige Einrichtungen definiert).

Schritt 4: Lieferketten-Effekt

Selbst wenn Sie formal nicht betroffen sind: wenn Sie wesentliche Einrichtungen beliefern, werden NIS2-Anforderungen ueber Vertragsklauseln durchgereicht. Wesentliche Einrichtungen muessen Art. 21 Abs. 2 d) ihre Lieferkette absichern.

Praktisch bedeutet das: ISO 27001, dokumentiertes ICT-Risikomanagement, Incident-Reporting-Faehigkeit, Backup-Strategie und Geschaeftsleitungs-Verantwortung werden Eintrittskarten zu Auftraegen.

Schritt 5: Dokumentation

Die Anwendbarkeits-Pruefung ist selbst ein dokumentationspflichtiger Schritt. Schriftlich, datiert, mit Begruendung pro Achse (Sektor, Groesse, Sonderfall), unterschrieben von der Geschaeftsleitung.

Wer 'nicht betroffen' dokumentiert, sollte die Pruefung jaehrlich oder bei wesentlichen Veraenderungen (Umsatzschwelle, Akquisition, neue Geschaeftsbereiche) wiederholen.

Wer 'betroffen' feststellt, leitet daraus die Klassifizierung als wesentliche oder wichtige Einrichtung ab und beginnt die Registrierung bei der zustaendigen Behoerde (in Deutschland: BSI ueber das NIS2UmsuCG-Register, sobald operativ).

Was DecisionOS dabei tut

Die Anwendbarkeitspruefung ist die erste auditfaehige Entscheidung im NIS2-Programm. DecisionOS dokumentiert sie als Decision Memo: Kriterien, Schwellen, Sonderfaelle, Quellen, Stakeholder-Abnahme. Bei Folgepruefungen wird das Memo versioniert, sodass die Aufsicht im Pruefungsfall den Stand zu jedem Zeitpunkt nachvollziehen kann.

NIS2-Schwellenwerte 2026: Bin ich wesentliche oder wichtige Einrichtung?