Die NIS-2-Richtlinie (EU) 2022/2555 erweitert den Kreis der Unternehmen, die verbindliche Anforderungen an Cybersicherheit, Risikomanagement und Meldeprozesse erfüllen müssen.

Für viele Geschäftsführungen und Compliance-Teams ist die zentrale Frage aber zunächst viel einfacher – und gleichzeitig besonders heikel:

Fallen wir überhaupt darunter?

Genau hier entstehen die größten Risiken, weil die Einordnung selten offensichtlich ist. Sie hängt nicht an einem Gefühl von „kritisch“ oder „unkritisch“, sondern an rechtlich definierten Kriterien wie Sektorzuordnung, Unternehmensgröße und Schwellenwerten, konkretem Tätigkeitsprofil, Konzern- und Beteiligungsstrukturen sowie teils sektoralen Sonderregelungen. Zusätzlich wirkt NIS-2 häufig über die Lieferkette: Auch wenn eine unmittelbare Betroffenheit unklar ist, verlangen Kunden und Auftraggeber zunehmend belastbare Aussagen und dokumentierte Nachweise zur Einordnung und zur geplanten Umsetzung.

Als Kanzlei unterstützen wir Unternehmen mit einem NIS-2-Check, der als juristische Betroffenheits- und Scope-Prüfung konzipiert ist. Ziel ist eine nachvollziehbar begründete rechtliche Einschätzung dazu, ob Ihr Unternehmen nach NIS-2 beziehungsweise nach der deutschen Umsetzung (insbesondere BSIG n. F. und NIS2-Umsetzungsgesetz) voraussichtlich als betroffene Einrichtung einzuordnen ist, und welche Pflichten typischerweise daraus folgen. Dabei übersetzen wir die rechtlichen Vorgaben in eine handlungsorientierte Einordnung, die Sie intern gegenüber Geschäftsführung, IT und Compliance vertreten können – und bei Bedarf auch gegenüber Kunden oder Stakeholdern.

In der Prüfung betrachten wir insbesondere, welchem Sektor Ihre Tätigkeit zuzuordnen ist und wie Ihre konkrete Leistungserbringung rechtlich einzuordnen ist. Wir beziehen außerdem die maßgeblichen Größenmerkmale und Schwellenwerte ein, soweit diese in Ihrer Konstellation relevant sind. Ein häufiger Knackpunkt sind Konzern- und Beteiligungsstrukturen: Tochtergesellschaften, verbundene Unternehmen und arbeitsteilige Leistungsmodelle können die Einordnung verändern oder zusätzliche Anforderungen auslösen. Ergänzend leiten wir aus dem Ergebnis ab, welche organisatorischen Handlungsfelder regelmäßig betroffen sind – etwa Verantwortlichkeiten und Governance, Risikomanagement, Incident-Handling und Meldewege – und wie sich das pragmatisch in eine priorisierte Maßnahmenliste überführen lässt.

Der Ablauf ist bewusst schlank gehalten, damit Sie schnell zu einem belastbaren Ergebnis kommen. In einem kurzen Kickoff-Termin klären wir Ihr Tätigkeitsprofil, die Organisationsstruktur und die konkreten Unsicherheiten. Anschließend erfassen wir die für die Einordnung relevanten Informationen über einen kompakten Fragenkatalog und die vorhandenen Unterlagen. Auf dieser Grundlage erfolgt die rechtliche Bewertung mit nachvollziehbarer Begründung. Das Ergebnis besprechen wir mit Ihnen in einem Termin, sodass offene Punkte geklärt und die nächsten Schritte priorisiert werden können. Abschließend erhalten Sie die Einschätzung schriftlich, damit Sie eine dokumentierbare Entscheidungsgrundlage in der Hand haben.

Als Ergebnis erhalten Sie eine juristische Einordnung zur Betroffenheit einschließlich der wesentlichen Begründungslinien und einer klaren Aussage dazu, welcher Scope aus Sicht der NIS-2-Systematik relevant ist. Ergänzend stellen wir Ihnen einen Pflichten-Überblick zur Verfügung, der die typischen Handlungsfelder verständlich zusammenfasst, sowie eine pragmatische Priorisierung, mit der Sie intern sofort weiterarbeiten können. Auf Wunsch begleiten wir auch die nächsten Schritte, etwa bei der Ausgestaltung von Rollen und Verantwortlichkeiten, der Erstellung oder Anpassung von Richtlinien und Prozessen, der Strukturierung von Melde- und Incident-Prozessen sowie bei der rechtlichen Einordnung von Lieferketten- und Dienstleisterkonstellationen.

Wichtig ist eine klare Abgrenzung: Der NIS-2-Check ist eine juristische Betroffenheits- und Scope-Prüfung. Er ersetzt keine technische Sicherheitsanalyse, keinen Penetrationstest und kein Zertifizierungs- oder Auditprojekt. Er ist auch keine behördliche Entscheidung. Was Sie jedoch erhalten, ist eine belastbare rechtliche Grundlage, die typische Fehlerquellen – etwa falsche Sektorzuordnung, übersehene Konzernwirkungen, missverstandene Schwellenwerte oder unpräzise Tätigkeitsbeschreibungen – systematisch adressiert und Ihnen eine klare Richtung für die nächsten Schritte gibt.

Wenn Sie kurzfristig Klarheit benötigen, sprechen Sie uns an. In einem Erstgespräch klären wir, ob ein NIS-2-Check in Ihrer Konstellation sinnvoll ist, welche Informationen wir benötigen und wie der zeitliche Ablauf konkret aussieht. Im Anschluss erhalten Sie ein transparentes Angebot, häufig als Pauschale für den Check. Bei komplexen Konzernstrukturen nach Aufwand und mit klar definiertem Scope.

FAQ