NIS2-Selbsttest: Sind Sie betroffen — und was müssen Sie jetzt tun?

NIS2 ist die EU-Richtlinie für Cybersicherheit. Sie ist seit dem 06.12.2025 in Kraft. Viele Geschäftsführer im Mittelstand wissen nicht, ob ihr Betrieb betroffen ist — und unterschätzen, dass die Haftung persönlich bei der Geschäftsführung liegt. Dieser Selbsttest beantwortet die wichtigste Frage zuerst: Sind Sie betroffen? Und wenn ja: Was müssen Sie jetzt konkret tun?

Hinweis: Dieser Selbsttest ist eine erste Einordnung, keine Rechtsberatung. Die verbindliche Bewertung Ihrer Betroffenheit hängt von Branche, Mitarbeiterzahl und Umsatz ab. Im Erstgespräch ordnen wir Ihren Fall konkret ein.

Bin ich von NIS2 betroffen?

Betroffen sind Unternehmen ab einer bestimmten Größe in 18 als wichtig oder besonders wichtig eingestuften Sektoren — und über die Lieferkette auch deren Zulieferer. Die zwei zentralen Schwellen sind: ab 50 Beschäftigten oder ab 10 Millionen Euro Jahresumsatz, kombiniert mit der Zugehörigkeit zu einem der betroffenen Sektoren.

Zu den Sektoren zählen unter anderem Energie, Verkehr, Banken, Gesundheit, Trinkwasser, digitale Infrastruktur, öffentliche Verwaltung, Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel sowie verarbeitendes Gewerbe und Maschinenbau. Diese Liste ist breiter, als viele erwarten — und genau das ist der Punkt: Mittelständische Produktions- und Zulieferbetriebe in Norddeutschland fallen häufiger unter NIS2, als sie annehmen.

Wichtig für Sie als Entscheider: Selbst wenn Ihr Betrieb die Schwellen nicht erreicht, kann er über die Lieferkette in die Pflicht geraten. Dazu unten mehr.

Was ist NIS2 überhaupt — in einem Absatz?

NIS2 ist die zweite EU-Richtlinie zur Netz- und Informationssicherheit. Sie verpflichtet betroffene Unternehmen zu einem Mindestmaß an Cybersicherheit, zu Meldepflichten bei Sicherheitsvorfällen und zur Registrierung beim BSI. Ziel ist, kritische und wichtige Betriebe widerstandsfähiger gegen Cyberangriffe zu machen. In Deutschland wird NIS2 über das BSI-Gesetz (BSIG) umgesetzt; die Regelung ist seit dem 06.12.2025 in Kraft.

Für Sie heißt das: NIS2 ist keine freiwillige Empfehlung. Es ist eine Pflicht mit benannten Konsequenzen — von Bußgeldern bis zur persönlichen Haftung der Geschäftsführung.

Hafte ich als Geschäftsführer persönlich?

Ja. Die Geschäftsführung trägt nach §38 BSIG die Verantwortung für die Umsetzung der NIS2-Pflichten — und diese Verantwortung lässt sich nicht delegieren oder vertraglich abwälzen. Ein Verzicht auf die Haftung ist unwirksam.

Konkret bedeutet das: Die Geschäftsführung muss die Risikomanagementmaßnahmen billigen, ihre Umsetzung überwachen und sich entsprechend schulen lassen. Wer das nicht tut, haftet im Schadensfall persönlich. Diese persönliche Haftung ist der schärfste Hebel der Richtlinie — und der Grund, warum NIS2 Chefsache ist, nicht IT-Abteilungs-Sache.

Das ist keine Panikmache, sondern der Gesetzestext. Genau deshalb empfehlen wir, die eigene Betroffenheit früh und dokumentiert zu klären.

Wie hoch sind die Bußgelder bei NIS2?

Die Bußgelder reichen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist. Diese Obergrenze gilt für besonders wichtige Einrichtungen.

Entscheidend ist die Logik dahinter: Das Bußgeld bemisst sich am Umsatz, nicht an einer festen Summe. Für einen größeren Mittelständler kann der prozentuale Anteil schnell den festen Maximalbetrag übersteigen. Dazu kommt das Risiko der persönlichen Haftung der Geschäftsführung und der Reputationsschaden, wenn ein Vorfall öffentlich wird.

Die Zahlen stammen aus dem BSI-Gesetz. Wir nennen sie hier sachlich, damit Sie die Größenordnung einschätzen können — nicht, um Druck aufzubauen.

Bin ich auch betroffen, wenn ich nur Zulieferer bin?

Ja, das ist möglich. NIS2 verpflichtet betroffene Unternehmen über §30 BSIG dazu, die Sicherheit ihrer Lieferkette zu berücksichtigen. Das heißt: Ein großer, direkt betroffener Kunde gibt seine Sicherheitsanforderungen vertraglich an seine Zulieferer weiter.

Für mittelständische Zulieferer in Norddeutschland ist das oft der eigentliche Auslöser. Auch wenn Ihr Betrieb die Mitarbeiter- oder Umsatzschwelle nicht selbst erreicht, kann ein Industriekunde von Ihnen den Nachweis fordern, dass Sie bestimmte Sicherheitsstandards einhalten. Wer diesen Nachweis nicht liefert, riskiert den Auftrag.

Praktisch heißt das: NIS2 ist für viele kleinere Betriebe keine Frage des Gesetzes, sondern eine Frage des Kundenvertrags. Beides führt zur selben Aufgabe — die eigene IT-Sicherheit nachweisbar aufzustellen.

Welche Pflichten muss ich konkret erfüllen?

Betroffene Unternehmen müssen technische und organisatorische Maßnahmen zum Risikomanagement umsetzen, Sicherheitsvorfälle melden und sich beim BSI registrieren. Die Kernpunkte:

  • Risikomanagement: angemessene Maßnahmen für die Sicherheit der Netz- und Informationssysteme — unter anderem Konzepte für Risikoanalyse, Vorfallbehandlung, Backup und Wiederherstellung, Lieferkettensicherheit, Zugriffskontrolle und Mehr-Faktor-Authentifizierung.
  • Meldepflicht: erhebliche Sicherheitsvorfälle müssen dem BSI gemeldet werden — eine Erstmeldung sehr kurzfristig nach Kenntnis, gefolgt von einer ausführlicheren Meldung.
  • Registrierung: betroffene Einrichtungen müssen sich beim BSI registrieren.
  • Geschäftsführungs-Pflichten: Billigung und Überwachung der Maßnahmen sowie Schulung (§38 BSIG).

Das klingt nach viel. In der Praxis lässt sich der Großteil mit einem strukturierten Managed-Security-Ansatz abdecken — MFA, getestete Backups, Endpoint-Schutz, definierte Meldewege und eine saubere Dokumentation. Genau das ist unser Tagesgeschäft.

Ab wann gilt NIS2 — und wie viel Zeit habe ich noch?

NIS2 ist seit dem 06.12.2025 in Kraft. Die Pflichten gelten damit bereits — es gibt keine komfortable Übergangsfrist mehr, in der man das Thema aufschieben könnte.

Für Sie als Geschäftsführer heißt das: Der richtige Zeitpunkt, die eigene Betroffenheit zu klären und die Maßnahmen aufzusetzen, ist jetzt. Wer wartet, bis ein Kunde den Nachweis fordert oder ein Vorfall eintritt, handelt unter Druck — und genau dann werden Fehler teuer. Eine saubere Bestandsaufnahme heute schützt Sie vor einer Hauruck-Aktion später.

Konzept: Der interaktive NIS2-Selbsttest „Bin ich betroffen?“

Der Selbsttest ist das Herzstück dieser Seite und der Transitional CTA: ein kurzer, interaktiver Fragebogen, der Besuchern in wenigen Minuten eine erste, klare Einordnung gibt — und uns einen qualifizierten Lead. Er ersetzt keine Rechtsberatung, sondern liefert eine fundierte Ersteinschätzung mit konkretem nächsten Schritt.

Funktionsprinzip:

  • 7 bis 9 Fragen, ein bis zwei pro Bildschirm, mobil bedienbar.
  • Antwortlogik: Aus Sektor, Mitarbeiterzahl, Umsatz und Lieferketten-Bezug ergibt sich eines von drei Ergebnissen.
  • Am Ende: Ergebnis-Einordnung plus Handlungsempfehlung und Buchungs-CTA.
  • Lead-Erfassung: E-Mail nur, um das ausführliche Ergebnis als PDF zu erhalten — radikal wenige Pflichtfelder (Spec §7).
  • Leadinfo-Tracking aktiv, Ergebnis-Versand und CRM-Übergabe über GoHighLevel.

Die drei Ergebnis-Kategorien:

  1. Höchstwahrscheinlich direkt betroffen — Sektor und Schwellen erfüllt. Empfehlung: NIS2-Pflichten priorisiert aufsetzen, Erstgespräch buchen.
  2. Über die Lieferkette betroffen — Schwellen nicht selbst erreicht, aber Zulieferer für betroffene Kunden. Empfehlung: Sicherheitsnachweis vorbereiten.
  3. Voraussichtlich nicht direkt betroffen — trotzdem Hinweis: Cybersicherheit bleibt für jeden Betrieb relevant; Cyberversicherer und DSGVO stellen ohnehin ähnliche Anforderungen.

Fragenkatalog (Entwurf):

  1. In welchem Sektor ist Ihr Unternehmen hauptsächlich tätig? (Auswahl aus den 18 NIS2-Sektoren plus „keiner davon“)
  2. Wie viele Mitarbeiter beschäftigen Sie? (unter 50 / 50 bis 249 / 250 und mehr)
  3. Wie hoch ist Ihr Jahresumsatz? (unter 10 Mio. € / 10 bis 50 Mio. € / über 50 Mio. €)
  4. Beliefern Sie Unternehmen, die Teil kritischer Infrastruktur oder eines NIS2-Sektors sind? (ja / nein / weiß nicht)
  5. Hat ein Kunde von Ihnen bereits einen Nachweis über Ihre IT-Sicherheit verlangt? (ja / nein)
  6. Setzen Sie heute schon Mehr-Faktor-Authentifizierung für alle Zugänge ein? (ja / teilweise / nein)
  7. Werden Ihre Backups regelmäßig getestet und liegen sie getrennt vom Produktivsystem? (ja / unsicher / nein)
  8. Haben Sie einen dokumentierten Notfallplan für einen IT-Sicherheitsvorfall? (ja / nein)
  9. Ist Ihrer Geschäftsführung bekannt, dass sie nach §38 BSIG persönlich haftet? (ja / nein)

Die Fragen 6 bis 9 dienen doppelt: Sie schärfen das Ergebnis und zeigen dem Besucher konkret, wo Handlungsbedarf besteht — was den Übergang ins Erstgespräch natürlich macht.

[Platzhalter: technische Umsetzung des interaktiven Selbsttests in WordPress/GoHighLevel — Freigabe ausstehend]

Häufige Fragen zu NIS2 (FAQ)

Bin ich von NIS2 betroffen, wenn ich weniger als 50 Mitarbeiter habe? Möglicherweise. Direkt betroffen sind Sie in der Regel erst ab 50 Beschäftigten oder 10 Millionen Euro Umsatz im passenden Sektor. Über die Lieferkette (§30 BSIG) können aber auch kleinere Betriebe in die Pflicht geraten, wenn sie betroffene Kunden beliefern.

Seit wann gilt NIS2 in Deutschland? NIS2 ist seit dem 06.12.2025 in Kraft. Die Pflichten gelten bereits.

Haftet die Geschäftsführung wirklich persönlich? Ja. Nach §38 BSIG trägt die Geschäftsführung die Verantwortung für die Umsetzung; ein Verzicht auf diese Haftung ist unwirksam.

Wie hoch können die Bußgelder werden? Bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes — der höhere Betrag zählt.

Was muss ich konkret umsetzen? Risikomanagementmaßnahmen, Meldung erheblicher Sicherheitsvorfälle an das BSI und die Registrierung beim BSI. Dazu gehören unter anderem MFA, getestete Backups, Zugriffskontrolle und ein Notfallplan.

Reicht es, das an meine IT-Abteilung oder den Dienstleister abzugeben? Die Umsetzung können Sie auslagern — die Verantwortung nicht. Die Geschäftsführung muss die Maßnahmen billigen und überwachen. Ein guter Dienstleister entlastet Sie operativ und liefert Ihnen die Dokumentation, die Sie für Ihre Pflicht brauchen.

Ihr nächster Schritt

Sie sind sich unsicher, ob NIS2 Sie betrifft? Dann verschaffen Sie sich Klarheit — in dieser Reihenfolge:

Transitional CTA:

NIS2-Selbsttest starten. In 5 Minuten wissen Sie, ob Sie betroffen sind und wo Handlungsbedarf besteht. Das ausführliche Ergebnis erhalten Sie als PDF.

Direct CTA:

Kostenloses Erstgespräch buchen. 15 Minuten, dann wissen Sie, woran Sie sind — ehrliche Einschätzung Ihrer NIS2-Betroffenheit und der nächsten Schritte, ohne Verpflichtung.

Quellen

  • NIS2 / BSI-Gesetz (BSIG): §30 (Lieferkette), §38 (Geschäftsführungs-Haftung), §65 (Bußgelder) — Quelle: BSI, OpenKRITIS, secjur (aus `12-marktrecherche.md` §1).
  • Inkrafttreten 06.12.2025 (aus `00-spec-website-relaunch.md` §3 und `12-marktrecherche.md` §1).

Annahmen

  • Der interaktive Selbsttest wird technisch in WordPress (Gutenberg) bzw. über GoHighLevel umgesetzt; die genaue Werkzeugwahl ist als Platzhalter markiert und vor Umsetzung zu bestätigen.
  • Die Schwellenwerte (50 Mitarbeiter / 10 Mio. € Umsatz) und die Sektorenzuordnung sind die in der Marktrecherche und im Spec belegten Eckdaten; die exakte Sektorenliste und die genauen Meldefristen sollten vor Veröffentlichung von einer fachkundigen Stelle gegengeprüft werden, da die Seite Compliance-Aussagen trifft.
  • Leadinfo-Hinweis und Datenschutz-/Consent-Anbindung (GoHighLevel über Usercentrics) gemäß Spec §7 und `landingpages/vorlagen/leadinfo-hinweis.md` sind beim Einbau Pflicht.
  • no-go-wording geprüft: keine Floskeln, keine Superlative, keine Garantien, Sie-Ansprache, ein Direct- und ein Transitional-CTA (kein konkurrierender dritter CTA), Risiken sachlich statt dramatisierend.
Nach oben scrollen