NIS-2
IT-Recht · Datenschutz · Cybersicherheit

NIS-2 Betroffenheitsanalyse –
Sind Sie betroffen?

Die EU-Richtlinie NIS-2 verpflichtet tausende Unternehmen in Deutschland zu erheblichen Cybersicherheitspflichten. Wir prüfen rechtssicher, ob und in welchem Umfang Ihr Unternehmen betroffen ist – mit schriftlichem Ergebnisbericht und konkreten Handlungsempfehlungen.

Fachkompetenz IT-Recht & Datenschutz Schriftlicher Ergebnisbericht Pauschalhonorar – keine Kostenfallen Erstgespräch kostenfrei
Hintergrund

Was ist die NIS-2-Richtlinie?

Die EU-Richtlinie 2022/2555 (NIS-2) ist das wichtigste europäische Regelwerk zur Cybersicherheit. In Deutschland wird sie durch das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht überführt. Betroffene Unternehmen müssen sich beim BSI registrieren, ein Risikomanagement einführen und erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden melden.

⚖️

Rechtliche Grundlage

EU-Richtlinie 2022/2555, umgesetzt im NIS2UmsuCG. Betroffen sind Unternehmen aus 18 definierten Sektoren ab bestimmten Größenschwellen.

🔒

Kernpflichten

Risikomanagement, 24-h-Meldepflicht bei Vorfällen, Sicherheitsmaßnahmen in der Lieferkette, persönliche Haftung der Geschäftsleitung.

💶

Sanktionen

Bußgelder bis zu 10 Mio. EUR (wesentliche Einrichtungen) bzw. 7 Mio. EUR (wichtige Einrichtungen) oder prozentual am Jahresumsatz.

Betroffenheit prüfen

Wen betrifft NIS-2?

NIS-2 erfasst Unternehmen in 18 Sektoren ab bestimmten Größenschwellen. Die Einordnung bestimmt, welche Pflichten und welche Bußgeldrahmen gelten.

SektorKategorieSchwellenwert
Energie (Strom, Gas, Wärme, Öl)Wesentlich≥ 250 MA oder > 50 Mio. € Umsatz
Verkehr & TransportWesentlich≥ 250 MA oder > 50 Mio. € Umsatz
Bankwesen & FinanzinfrastrukturWesentlich≥ 250 MA oder > 50 Mio. € Umsatz
GesundheitswesenWesentlich≥ 250 MA oder > 50 Mio. € Umsatz
Digitale Infrastruktur & IKT-DiensteWesentlich≥ 250 MA oder > 50 Mio. € Umsatz
Öffentliche VerwaltungWesentlichunabhängig von Größe
Post- & KurierdiensteWichtig≥ 50 MA oder > 10 Mio. € Umsatz
AbfallbewirtschaftungWichtig≥ 50 MA oder > 10 Mio. € Umsatz
Chemische IndustrieWichtig≥ 50 MA oder > 10 Mio. € Umsatz
Lebensmittelproduktion & -verarbeitungWichtig≥ 50 MA oder > 10 Mio. € Umsatz
Maschinenbau & verarbeitendes GewerbeWichtig≥ 50 MA oder > 10 Mio. € Umsatz
Digitale Dienste (Cloud, Marktplätze, Suchmaschinen)Wichtig≥ 50 MA oder > 10 Mio. € Umsatz
ForschungseinrichtungenWichtig≥ 50 MA oder > 10 Mio. € Umsatz

⚠️ Hinweis: Die Größenschwellen gelten als Faustregel. Unternehmen mit systemrelevanter Stellung können auch ohne Überschreitung der Schwellenwerte erfasst sein. Eine individuelle Prüfung ist daher unerlässlich.

Unser Angebot

Was umfasst die Betroffenheitsanalyse?

Wir liefern eine vollständige, rechtlich belastbare Einschätzung – dokumentiert in einem schriftlichen Bericht, der gegenüber Behörden und Geschäftspartnern als Nachweis dient.

🔍

Sektoranalyse

Prüfung der Zuordnung zu einem oder mehreren der 18 NIS-2-Sektoren – auch bei Mischkonzernen und Tochtergesellschaften.

📏

Größenschwellen-Check

Bewertung von Mitarbeiterzahl und Jahresumsatz inkl. konsolidierter Betrachtung verbundener Unternehmen nach EU-KMU-Definition.

📋

Rechtliche Kategorisierung

Einordnung als wesentliche oder wichtige Einrichtung sowie Ermittlung aller daraus folgenden Pflichten und Fristen.

📄

Schriftlicher Ergebnisbericht

Dokumentiertes Rechtsgutachten mit Begründung, Einordnung und Nachweisfunktion – geeignet für interne Dokumentation und Behördenkommunikation.

💡

Handlungsempfehlungen

Priorisierte Maßnahmenübersicht: BSI-Registrierung, ISMS-Aufbau, Vertragsanpassungen, Einrichtung von Meldeverfahren.

🗣️

Erläuterungsgespräch

Abschlussgespräch (45–60 Min.) zur Besprechung der Ergebnisse mit Geschäftsleitung und/oder IT-Verantwortlichen.

Ablauf

So läuft die Analyse ab

Unser Prozess ist schlank und vollständig remote – mit minimalem Aufwand auf Ihrer Seite.

1

Kostenloses Erstgespräch

30-minütiger Telefon- oder Videocall: Klärung Ihres Geschäftsmodells, Ihrer Branche und ersten Einschätzung. Ohne Verpflichtung.

ca. 30 Min. · kostenfrei
2

Fragebogen & Informationserhebung

Nach Beauftragung erhalten Sie einen strukturierten Fragebogen zu Unternehmensstruktur, Tätigkeitsfeld und Kennzahlen (ca. 30–60 Min. Aufwand Ihrerseits).

1–2 Werktage nach Beauftragung
3

Rechtliche Analyse

Auswertung des Fragebogens, Prüfung der einschlägigen Normen des NIS2UmsuCG sowie der EU-Richtlinie 2022/2555.

3–5 Werktage
4

Ergebnisbericht

Übermittlung des schriftlichen Berichts per E-Mail: rechtliche Bewertung, Kategorisierung, Handlungsempfehlungen.

spätestens 7–10 Werktage nach Beauftragung
5

Erläuterungsgespräch

Abschlussgespräch zur Besprechung des Berichts und Beantwortung offener Fragen – im Leistungsumfang enthalten.

ca. 45–60 Min. · inkl.
Honorar & Kostensicherheit

Transparente Pauschalpreise

Wir arbeiten auf Pauschalhonorarbasis gemäß § 3a RVG – Sie kennen die Kosten vor Beauftragung. Kein Stundentakt, keine Überraschungen.

Einfache Struktur
1.500 € netto
Einzelunternehmen / GmbH ohne Konzernstruktur
  • Sektoranalyse & Größenschwellen-Check
  • Schriftlicher Ergebnisbericht
  • Handlungsempfehlungen
  • Erläuterungsgespräch (45 Min.)
Häufig gewählt
Mittlere Komplexität
1.900 € netto
GmbH / AG mit bis zu 3 Tochtergesellschaften oder mehreren Tätigkeitsbereichen
  • Sektoranalyse & konsolidierter Größenschwellen-Check
  • Schriftlicher Ergebnisbericht
  • Handlungsempfehlungen
  • Erläuterungsgespräch (60 Min.)
Komplexe Struktur
auf Anfrage
Konzerne, internationale Unternehmensgruppen, mehrstufige Beteiligungsstrukturen
  • Vollständige Konzernanalyse
  • Grenzüberschreitende Fragen
  • Individueller Ergebnisbericht
  • Erläuterungsgespräch (60 Min.)
Vergütungsgrundlage: Das Honorar wird als Pauschalvergütung gemäß § 3a Abs. 1 RVG vereinbart und übersteigt die gesetzlichen Gebühren nach dem RVG. Das Erstgespräch ist kostenfrei. Es entstehen keinerlei Kosten ohne Ihre ausdrückliche Auftragserteilung. Auf Wunsch ist eine Ratenzahlung möglich.
Häufige Fragen

FAQ

Muss ich selbst prüfen, ob mein Unternehmen betroffen ist?
Ja – NIS-2 sieht eine Eigenverantwortung der Unternehmen vor. Betroffene Einrichtungen müssen sich eigeninitiativ beim BSI registrieren. Wer das versäumt, riskiert Bußgelder – auch dann, wenn er irrtümlich davon ausging, nicht betroffen zu sein.
Was passiert nach der Analyse, wenn ich als betroffen eingestuft werde?
Sie erhalten einen konkreten Maßnahmenplan: BSI-Registrierung, Aufbau eines Informationssicherheitsmanagementsystems (ISMS), Schulung der Geschäftsleitung, Anpassung von IT-Dienstleisterverträgen und Einrichtung von Meldeverfahren. Wir begleiten Sie auf Wunsch auch bei diesen Folgeschritten.
Gilt NIS-2 auch für kleine Unternehmen?
Grundsätzlich gelten Größenschwellen (≥ 50 Mitarbeiter oder > 10 Mio. € Jahresumsatz), sodass Kleinstunternehmen in der Regel nicht erfasst sind. Ausnahmen bestehen bei systemrelevanter Stellung – z. B. bei bestimmten IT-Dienstleistern, die kritische Infrastrukturen beliefern.
Wie lange gilt eine Betroffenheitsanalyse?
Eine Analyse ist eine rechtliche Momentaufnahme. Bei wesentlichen Änderungen der Unternehmensstruktur, des Tätigkeitsbereichs oder bei Gesetzesänderungen sollte sie aktualisiert werden. Wir empfehlen eine Überprüfung spätestens alle zwei Jahre.
Kann ich die Analyse als Nachweis gegenüber Behörden oder Geschäftspartnern verwenden?
Ja. Der schriftliche Ergebnisbericht ist als anwaltliches Rechtsgutachten dokumentiert und kann als Nachweis der durchgeführten Betroffenheitsprüfung gegenüber dem BSI, Aufsichtsbehörden oder Vertragspartnern in der Lieferkette verwendet werden.
Ist eine Eilbearbeitung möglich?
Ja. Bei besonderer Dringlichkeit bieten wir eine Bearbeitung innerhalb von 3–4 Werktagen gegen einen Eilzuschlag von 30 % auf das Netto-Honorar an. Bitte teilen Sie uns den Eilbedarf bei Kontaktaufnahme mit.