NIS-2-Richtlinie: Ist mein Unternehmen betroffen?

PrintMailRate-it

​​​​​​​​​​​​​​​​​​​veröffentlicht am 30​. September 2025


Mit dem vom Bundeskabinett verabschiedeten Gesetzentwurf zur Umsetzung der NIS-2-Richtlinie sollen rund 29.000 neue Einrichtungen vom neuen BSIG erfasst werden, darunter schätzungsweise 1.000 aus dem Gesundheitswesen. Erstmals geraten damit MVZ und Berufsausübungsgemeinschaften im Gesundheitssektor in den Fokus des BSIG. Sie müssen künftig strenge Anforderungen an die IT-Sicherheit erfüllen.

​1. Einleitung

Der Gesetzentwurf befindet sich aktuell im parlamentarischen Verfahren. Ein Inkrafttreten des neuen NIS-2-Umsetzungsgesetzes ist bereits Ende 2025 zu erwarten. Da im aktuellen Gesetzentwurf keine Übergangsfristen vorgesehen sind, sollten Sie sich bereits jetzt mit NIS-2 und den sich daraus ergebenden Verpflichtungen auseinandersetzen.

Der derzeitige Entwurf des BSI-Gesetzes (BSIG) erweitert im Zuge der NIS-2-Umsetzung seinen Anwendungsbereich. Neben den bisherigen KRITIS-Betreibern (in NIS-2 als „Betreiber kritischer Anlagen“ bezeichnet) sollen künftig auch „besonders wichtige Einrichtungen“ (bwE) und „wichtige Einrichtungen“ (wE) einbezogen werden. Auch sie müssen künftig bestimmte Anforderungen an die IT-Sicherheit erfüllen. Nach Schätzungen des BSI erweitert dies den Anwendungsbereich des neuen BSIG um ca. 29.500 Einrichtungen. Laut Bundesärztekammer wären darunter rund 1.000 zusätzliche Gesundheitseinrichtungen. Betroffen wären insbesondere etwa 800 Medizinische Versorgungszentren (MVZ) und 200 Berufsausübungsgemeinschaften. Damit geraten erstmals auch kleinere Versorgungseinrichtungen in den Fokus der IT-Sicherheitsregulierung des BSIG und nicht mehr nur große Krankenhäuser.

Die Folgen sind neue Pflichten, höhere Anforderungen und mehr Verantwortung im Bereich Cybersicherheit.

2. Wer ist betroffen?

Um als „wichtige“ oder „besonders wichtige Einrichtung“ gemäß dem NIS-2-Umsetzungsgesetz zu gelten und somit unter das neue BSIG zu fallen, müssen bestimmte Voraussetzungen erfüllt sein.

2.1 Betroffene Sektoren

Zunächst muss es sich um eine natürliche oder juristische Person oder eine rechtlich unselbstständige Organisationseinheit einer Gebietskörperschaft handeln. Sie muss entgeltlich Waren oder Dienstleistungen anbieten und einem der im BSIG genannten Sektoren bzw. Einrichtungsarten zugeordnet werden können (vgl. § 28 BSIG).

Zudem muss das Unternehmen zu einem bestimmten Sektor zählen. Das BSIG teilt die „wichtigen“ und „besonders wichtigen Einrichtungen“ im aktuellen Gesetzentwurf in jeweils sieben Sektoren auf.


​Besonders wichtige Einrichtungen
​Wichtige Einrichtungen
​1. Energie
​1. Transport und Verkehr
​2. Transport und Verkehr
​2. Abfallwirtschaft
​3. Finanzwesen
​3. Produktion/ Herstellung/Handel mit chemischen Stoffen
​4. Gesundheit
​4. Produktion, Verarbeitung und Vertrieb von Lebensmitteln
​5. Wasser
​5. Verarbeitendes Gewerbe/Herstellung von Waren
​6. Digitale Infrastruktur
​6. Anbieter digitaler Dienste
​7. Weltraum
​7. Forschung


2.2 Betroffene Einrichtungsarten

Fällt ein Unternehmen unter einen der genannten Sektoren, muss als Nächstes betrachtet werden, ob es zusätzlich unter eine Einrichtungsart fällt, die dem BSIG unterliegt.

Im Sektor Gesundheit fallen beispielsweise folgende Einrichtungsarten als bwE unter das neue BSIG (vgl. BSIG, Anlage 1):

  • Erbringer von Gesundheitsdienstleistungen
  • EU-Referenzlaboratorien
  • Unternehmen für Forschung und Entwi​cklung bezüglich Arzneimittel
  • Hersteller von Pharmazeutika sowie Medizinprodukten

2.3 Unternehmenszahlen

Sind die beiden letztgenannten Kriterien erfüllt, müssen zusätzliche Größenschwellen für Mitarbeiterzahl, Jahresumsatz und Jahresbilanzsumme erfüllt werden:

„Wichtige Einrichtungen“ sind Unternehmen ab 50 Mitarbeitern oder einem Umsatz von über 10 Mio. EUR sowie einer Bilanz von über 10 Mio. EUR. „Besonders wichtige Einrichtungen“ sind Unternehmen ab 250 Mitarbeitern oder einem Umsatz von über 50 Mio. EUR sowie einer Bilanz von über 43 Mio. EUR (vgl. § 28 Abs. 1 und Abs. 2 BSIG).


​Einrichtung
​Mitarbeitende

​Jahresumsatz
​Jahresbilanz
​wE
​ab 50
​oder
größer 10
Mio. €​
undgrößer 10
Mio. €​
​bwE
​ab 250
oder
​größer 50
Mio. €
und​größer 43
Mio. €


3. Betroffenheitsanalyse​

Für eine erste unverbindliche Einschätzung, ob Sie unter NIS-2 fallen, können Sie gerne unsere „NIS-2-Betroffenhe​itsanalyse“​ nutzen. Diese basiert auf dem NIS-2-Umsetzungsgesetz des BMI (Stand: 25.7.2025). Für eine rechtlich verbindliche Aussage zur NIS-2-Betroffenheit und zur Betrachtung von Sonderfällen nehmen Sie bitte mit uns Kontakt auf.

Wir unterstützen Sie!

Haben Sie eine Frage zum Thema NIS-2 oder möchten Sie mehr Informationen zu unseren diesbezüglichen Leistungen? 

Bei Rödl & Partner steht Ihnen ein interdisziplinäres, erfahrenes Team aus IT-Experten und Rechtsanwälten zur Verfügung. Wir beraten Sie gerne in allen Belangen der NIS-2-Betroffenheit – fachkompetent und rechtssicher. Besuchen Sie uns unter: www.roedl.de/nis2


AUTOREN

Martin Lenz
Carina Richters


FOLGEN SIE UNS!

Linkedin Banner

Kontakt

Contact Person Picture

Jürgen Schwestka

Diplom-Kaufmann, CISA, Zertifizierter IT-Sicherheitsbeauftragter, Zertifizierter IT-Security-Auditor, IT-Auditor IDW, Zertifizierter Business Continuity Manager

Partner

+49 911 9193 3508

Anfrage senden

WIR BERATEN SIE GERN!

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu