Bin ich von NIS2 betroffen? In 2 Minuten prüfen - Stand Juli 2026

Das NIS2-Umsetzungsgesetz gilt seit Dezember 2025 - ohne Übergangsfrist. Rund 29.500 Unternehmen in Deutschland sind betroffen, aber nur etwa 11.500 haben sich fristgerecht beim BSI registriert. Die Nachfrist läuft am 31.07.2026 ab. Unser Check sagt Ihnen anhand von Sektor und Unternehmensgröße, ob Sie wahrscheinlich betroffen sind - und was dann zu tun ist.

Schritt 1 von 3: Sektor
Ihre Antworten werden nicht gespeichert. Die Auswertung erfolgt vollständig im Rahmen dieser einen Anfrage; das Ergebnis lässt sich über die URL teilen, ohne dass Daten auf unserer Seite abgelegt werden.

In welchem Sektor ist Ihr Unternehmen tätig?

Anlage 1
Anlage 2
 

Dies ist eine deterministische Ersteinschätzung nach den Kriterien des BSIG (§ 28), keine Rechtsberatung. Stand: Juli 2026.

Ergebnis

Beantworten Sie die Fragen links, um eine Ersteinschätzung zu erhalten.

Unsicher bei der Einschätzung oder Umsetzung?

Wir unterstützen bei der technischen Umsetzung der NIS2-Anforderungen.

→ Beratung anfragen

Ergebnisse können abweichen. Details.

NIS2-Betroffenheits-Check - Einfache Integration

Direkte API-URL (u.a. für n8n / Make / Zapier)
 
JavaScript Fetch
 
curl (Terminal / Shell)
 
Python (requests)
 
Excel / Google Sheets
 

→ Alle API-Endpunkte & Dokumentation

Kostenfreie Nutzung & Limits

NIS2-Betroffenheits-Check ist kostenfrei nutzbar. Um eine faire und stabile Nutzung sicherzustellen, kann die Anzahl der Anfragen pro Minute automatisch begrenzt werden.

In 2 Minuten prüfen, ob Ihr Unternehmen wahrscheinlich unter das NIS2-Umsetzungsgesetz (BSIG) fällt.

Für erweiterte Funktionen, größere Datenmengen oder technische Integrationen stehen flexible Lösungsmöglichkeiten zur Verfügung.

mehr erfahren?

Vorteile

  • Deterministische Auswertung nach § 28 BSIG - keine KI, keine Blackbox.
  • Berücksichtigt die Sonderfälle KRITIS, Vertrauensdienste/TLD/DNS und Telekommunikation.
  • Ergebnis inkl. Begründung je Antwort und konkreten nächsten Schritten.

Tipps

  • Auch als "eher nicht betroffen" eingestuft: Kunden aus NIS2-Sektoren dürfen Sicherheitsanforderungen vertraglich an Sie weiterreichen.
  • Managed-Service-Provider fallen oft unerkannt unter den Sektor "Digitale Infrastruktur".
  • Die Registrierung über das BSI-Portal MUK dauert nur wenige Minuten - warten Sie nicht bis kurz vor der Nachfrist.

Wofür eignet sich das?

  • Erste Einschätzung vor einer vertieften Prüfung durch Rechts- oder IT-Sicherheitsberatung.
  • Argumentationshilfe gegenüber der Geschäftsleitung, warum Handlungsbedarf besteht.
  • Schnelle Zweitmeinung für Unternehmen, die die BSI-eigene Prüfung als zu komplex empfinden.

Häufige Fragen

Bin ich von NIS2 betroffen?
Wahrscheinlich ja, wenn Ihr Unternehmen in einem der Sektoren aus Anlage 1 oder 2 BSIG tätig ist UND mindestens 50 Beschäftigte oder über 10 Mio. € Umsatz und Bilanzsumme hat. Unser Check führt Sie in wenigen Schritten durch die Einschätzung.
Was ist der Unterschied zwischen 'besonders wichtigen' und 'wichtigen' Einrichtungen?
Anlage-1-Sektoren plus Großunternehmen (ab 250 Beschäftigten oder über 50 Mio. € Umsatz und Bilanzsumme) gelten als besonders wichtig - mit strengerer Aufsicht und höheren Bußgeldern (bis 10 Mio. € bzw. 2 % des Weltumsatzes). Alle anderen betroffenen Unternehmen gelten als wichtig (Bußgeldrahmen bis 7 Mio. € bzw. 1,4 %).
Was ist die Frist 31.07.2026?
Die vom BSI gesetzte Nachfrist zur Registrierung - die reguläre gesetzliche Frist war bereits der 06.03.2026. Registrierung über das MUK-Portal des BSI (muk.bsi.bund.de).
Was muss ich außer der Registrierung tun?
Sicherheitsvorfälle fristgerecht melden (24-Stunden-Frühwarnung, 72-Stunden-Bericht, Abschlussbericht nach 1 Monat) und Risikomanagement in 10 gesetzlich vorgegebenen Bereichen umsetzen (u. a. Backup-Konzept, Lieferkettensicherheit, Multi-Faktor-Authentifizierung). Die Geschäftsleitung haftet gesetzlich für die Umsetzung.
Gilt NIS2 auch für kleine IT-Dienstleister?
Aufpassen: Managed (Security) Service Provider zählen zum Sektor Digitale Infrastruktur (Anlage 1). Wer für Kunden IT betreibt oder verwaltet, sollte genau prüfen - das wissen viele Agenturen und IT-Dienstleister nicht.
Ist das Ergebnis dieses Checks rechtsverbindlich?
Nein - es handelt sich um eine deterministische Ersteinschätzung nach den gesetzlichen Kriterien (Stand-Datum siehe Seite), keine Rechtsberatung im Einzelfall.

Die erzeugten Ergebnisse werden mit hoher Sorgfalt verarbeitet. Dennoch können in Einzelfällen Abweichungen, unvollständige Daten oder technische Einschränkungen auftreten. Eine Gewähr für vollständige Richtigkeit, Verfügbarkeit oder Verwendbarkeit der Ergebnisse kann nicht übernommen werden. Bei wichtigen oder sicherheitsrelevanten Anwendungen sollte eine zusätzliche Prüfung erfolgen. Die Nutzung unserer Tools erfolgt auf eigenes Risiko.