Art. 2 NIS 2 + Annex I/II + Rec 2003/361/EC

NIS 2 Betroffenheitsprüfung: der vollständige Artikel-2-Test

Die NIS 2 Betroffenheitsprüfung steht in Artikel 2 der Richtlinie und ist EU-weit identisch. Drei Teile: Sektor (Anhang I oder II), Größe (mindestens mittleres Unternehmen nach Empfehlung 2003/361/EG) und die Übersteuerungen unabhängig von der Größe. Diese Seite geht alles der Reihe nach durch, so wie eine Anwendbarkeitsprüfung dokumentiert werden muss.

Simon OrzelSimon Orzel·

Die Kurzfassung

Es gibt einen EU-weiten Test, ob NIS 2 für Sie gilt. Er steht in Artikel 2 der Richtlinie. Er hat drei Bestandteile. Sektor. Größe. Übersteuerung. Die meisten Erklärungen behandeln die ersten beiden und hören dann auf. Der dritte Teil ist der Ort, an dem kleine Einrichtungen hineingezogen werden und an dem die meisten Überraschungen passieren.

Artikel 2(1) ist der Grundfall. Sie sind drin, wenn Sie in einem Sektor nach Anhang I (Sektoren mit hoher Kritikalität) oder Anhang II (sonstige kritische Sektoren) tätig sind und mindestens als mittleres Unternehmen nach Empfehlung 2003/361/EG zählen. Artikel 2(2) listet dann die Fälle, in denen Sie unabhängig von der Größe drin sind. Telekommunikation, Vertrauensdiensteanbieter, DNS, TLD-Registries, alleiniger Anbieter wesentlicher Dienste, Stellen der öffentlichen Verwaltung und einige weitere. Unter der Größenschwelle bedeutet nicht draußen.

Deutschland setzt denselben Test über §28 BSIG ins nationale Recht um. Die Substanz ist identisch. Die Mechanik (welche Behörde, welches Formular, welche Frist) ist national. Den Test einmal durchlaufen, das Ergebnis schriftlich festhalten, ablegen. Dieses Dokument ist Ihre Anwendbarkeitsprüfung.

Die Rechtsgrundlage
Drei Schichten übereinander. Die Richtlinie (Artikel 2 NIS 2 plus Anhang I und II). Die Größenregelung (Empfehlung 2003/361/EG, die offizielle EU-Definition des mittleren Unternehmens). Die nationale Umsetzung (in Deutschland: §28 BSIG).

Artikel 2(1) NIS-2-Richtlinie (2022/2555)

Diese Richtlinie gilt für öffentliche oder private Einrichtungen einer in Anhang I oder II genannten Art, die als mittlere Unternehmen im Sinne von Artikel 2 des Anhangs der Empfehlung 2003/361/EG einzustufen sind oder die Obergrenzen für mittlere Unternehmen im Sinne von Absatz 1 jenes Artikels überschreiten, und die ihre Dienste in der Union erbringen oder ihre Tätigkeiten in der Union ausüben.

Der Grundtest. Sektor (Anhang I oder II), Größe (mittel oder größer), Dienst in der Union erbracht. Artikel 2(2) fügt dann eine Liste der Fälle hinzu, in denen die Größe egal ist. Artikel 2(3) zieht CER-kritische Einrichtungen hinein. Artikel 2(5) bis 2(11) nehmen nationale Sicherheit, Verteidigung, Parlamente, Zentralbanken und den Finanzsektor (DORA als Lex specialis nach Artikel 4) heraus.

Empfehlung 2003/361/EG, Anhang Artikel 2

Die Kategorie der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (KMU) umfasst Unternehmen, die weniger als 250 Personen beschäftigen und entweder einen Jahresumsatz von höchstens 50 Millionen Euro erzielen oder eine Jahresbilanzsumme von höchstens 43 Millionen Euro aufweisen.

Die offizielle EU-Größendefinition. Mittel beginnt bei 50 Beschäftigten und mindestens 10 Millionen Euro Umsatz und 10 Millionen Euro Bilanzsumme. NIS 2 erfasst Sie ab mittel aufwärts. 'Überschreitet die Obergrenzen für mittlere Unternehmen' in Artikel 2(1) bedeutet großes Unternehmen nach derselben Empfehlung. Verbundene und Partnerunternehmen werden zusammengerechnet, sodass eine kleine Tochter einer großen Muttergesellschaft oft als groß zählt.

§28 BSIG (Deutschland)

Besonders wichtige Einrichtungen sind Einrichtungen einer in Anlage 1 genannten Art und Größe; wichtige Einrichtungen sind Einrichtungen einer in Anlage 2 genannten Art und Größe.

Deutschland teilt die beiden EU-Kategorien in 'besonders wichtige' und 'wichtige' Einrichtungen auf, anhand von Anlage 1 und 2 BSIG, die Anhang I und II der Richtlinie spiegeln. Die Größenschwellen und die Übersteuerungen folgen dem EU-Text. Andere Mitgliedstaaten haben eigene Umsetzungsgesetze (NL Cyberbeveiligingswet, AT NISG, FR ordonnance n° 2024-1184) auf demselben EU-Boden.

Die drei Teile des Tests
Artikel 2 NIS 2 teilt die Frage in drei. Sektor, Größe, Übersteuerung. Der Reihe nach durchgehen. Wer nach den ersten beiden aufhört, übersieht die Fälle unabhängig von der Größe.
Sektor

Anhang I oder Anhang II?

Anhang I (Sektoren mit hoher Kritikalität, 11 Sektoren): Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, Digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B, MSP und MSSP), Öffentliche Verwaltung, Weltraum. Anhang II (sonstige kritische Sektoren, 7 Sektoren): Post und Kurier, Abfallwirtschaft, Chemie, Lebensmittel, Verarbeitendes Gewerbe (Medizinprodukte, Elektronik, elektrische Ausrüstung, Maschinen, Fahrzeuge), Digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke), Forschung. Wenn Ihre Tätigkeit in einem der beiden Anhänge sitzt, weiter zum Größentest.

Größe

Mittleres Unternehmen oder größer?

Empfehlung 2003/361/EG definiert mittel als 50 Beschäftigte oder mehr, ODER Umsatz von mindestens 10 Millionen Euro UND Bilanzsumme von mindestens 10 Millionen Euro. Artikel 2(1) erfasst Sie ab mittel aufwärts. Verbundene Unternehmen werden zusammengerechnet: Wenn eine Muttergesellschaft mehr als 50 Prozent der Stimmrechte hält, werden Beschäftigtenzahl und Umsatz kumuliert. Eine Tochter mit 30 Mitarbeitenden in einer Gruppe mit 5000 zählt mit den Gruppenzahlen.

Übersteuerung

Zieht Artikel 2(2) oder 2(3) Sie unabhängig von der Größe hinein?

Artikel 2(2) hebt den Größentest auf für: Anbieter öffentlicher elektronischer Kommunikationsnetze oder -dienste; Vertrauensdiensteanbieter (eIDAS); TLD-Namensregister und DNS-Diensteanbieter (außer Betreiber von Root-Namenservern); alleinige Anbieter eines wesentlichen Dienstes in einem Mitgliedstaat; Einrichtungen, deren Ausfall die öffentliche Sicherheit, Gesundheit oder Wirtschaft erheblich beeinträchtigen oder systemische Risiken auslösen könnte oder die für einen Sektor oder verflochtene Sektoren kritisch sind; Einrichtungen der öffentlichen Verwaltung. Artikel 2(3) zieht Einrichtungen hinein, die nach der CER-Richtlinie als kritisch eingestuft sind. Artikel 2(4) erlaubt den Mitgliedstaaten, die öffentliche Verwaltung auf regionaler Ebene einzubeziehen.

Zwei Regeln, die prägen, wie der Test gelesen wird
Zwei Auslegungsregeln liegen unter Artikel 2. Beide werden leicht übersehen, beide ändern das Ergebnis für reale Unternehmen.

Der Test läuft pro Rechtsträger, nicht pro Konzern

Artikel 2(1) knüpft die Pflichten an die Einrichtung, nicht an die Unternehmensgruppe. Eine Holdingstruktur mit fünf Rechtsträgern läuft den Test fünfmal. Anwendbarkeit und Pflichten landen bei der in den Anwendungsbereich fallenden Einrichtung. Konzerndienste können Maßnahmen zentral umsetzen, rechtlich angesprochen ist die Einrichtung. Wo verbundene Unternehmen die Größe einer Tochter verändern, verändert das nur den Input für den Größentest, nicht den Adressaten. Siehe auch die Seite zu Töchtern und Holdings.

Unter der Größenschwelle heißt nicht draußen

Artikel 2(2) ist die Falle, in die kleine Einrichtungen laufen. Telekommunikationsanbieter, Vertrauensdiensteanbieter, DNS-Anbieter, TLD-Registries, alleinige Anbieter wesentlicher Dienste und bestimmte Einrichtungen der öffentlichen Verwaltung werden unabhängig von der Größe erfasst. Ein eIDAS-Vertrauensdiensteanbieter mit fünf Personen ist drin. Ein DNS-Anbieter mit 20 Personen ist drin. Der Größentest gilt nur für den Grundfall; prüfen Sie die Übersteuerungsliste, bevor Sie 'nicht im Anwendungsbereich' schreiben.

Wie die nationalen Behörden das umsetzen
Die EU setzt einen Anwendbarkeitstest. Jedes Land führt ihn über seine eigene Behörde durch, mit eigenem Portal und eigenen Formularen. Die Substanz ist identisch.
Deutschland

BSI / §28 BSIG und die Betroffenheitsprüfung

Das BSI veröffentlicht ein Tool zur Betroffenheitsprüfung, das Anlage 1 und 2 BSIG durchläuft. Einrichtungen ordnen sich selbst ein und melden sich über das BSI-Registrierungsportal an. §28 BSIG teilt den Anwendungsbereich in 'besonders wichtige' (im Wesentlichen Anhang I) und 'wichtige' Einrichtungen (im Wesentlichen Anhang II), mit unterschiedlichen Bußgeldobergrenzen nach §65 BSIG.

EU-weit

ENISA Umsetzungstracker

ENISA, die EU-Cybersicherheitsagentur, veröffentlicht einen Tracker zum Stand der nationalen Umsetzung. Stand Mai 2026 wurden mehrere Mitgliedstaaten wegen verspäteter Umsetzung an den EuGH verwiesen. Die Richtlinie selbst gilt ab dem 18. Oktober 2024 unabhängig davon; das nationale Gesetz fügt nur die lokale Vollzugsmechanik hinzu.

Andere Mitgliedstaaten

Nationale Umsetzungsgesetze

Niederlande: Cyberbeveiligingswet (NCSC als zuständige Behörde). Österreich: NISG (BMI). Frankreich: ordonnance n° 2024-1184 (ANSSI). Belgien: NIS2-Wet (CCB). Der Anwendbarkeitstest ist identisch, weil Anhang I und II EU-rechtlich geregelt sind. Unterschiedlich sind: Registrierungsportale, Meldefristen nach nationalem Verfahrensrecht, welche Behörde Sie zuerst ansprechen.

Drei Fallen, die uns ständig begegnen
Drei Gründe, aus denen Unternehmen fälschlich folgern, sie seien nicht im Anwendungsbereich. Alle drei überspringen einen Schritt in Artikel 2.
  • Wir sind unter 50 Mitarbeitende, also gilt NIS 2 nicht für uns.

    Nicht zwingend. Artikel 2(2) zieht Anbieter von Telekommunikation, Vertrauensdiensten, DNS, TLD-Registries, alleinige Anbieter wesentlicher Dienste und bestimmte Einrichtungen der öffentlichen Verwaltung unabhängig von der Größe hinein. Ein eIDAS-Vertrauensdiensteanbieter mit vier Personen ist drin. Prüfen Sie die Übersteuerungen, bevor Sie an der Größenschwelle stoppen.

  • Wir sind eine Stelle der öffentlichen Verwaltung, also sind wir draußen.

    Kommt darauf an. Artikel 2(2)(i) erfasst Einrichtungen der öffentlichen Verwaltung auf zentraler und (sofern der Mitgliedstaat das wählt) regionaler Ebene. Artikel 2(5) bis 2(11) nehmen nationale Sicherheit, Verteidigung, Strafverfolgung, Justiz, Parlamente und Zentralbanken heraus, die meisten anderen Einrichtungen der öffentlichen Verwaltung sind aber drin. §28 BSIG und das BSI-Tool zur Betroffenheitsprüfung zeigen den nationalen Zuschnitt.

  • Unsere Tochter ist klein, also ist sie draußen.

    Verbundene Unternehmen nach Empfehlung 2003/361/EG werden zusammengerechnet, wenn die Mutter mehr als 50 Prozent der Stimmrechte hält. Eine Tochter mit 30 Personen in einer Gruppe mit 5000 läuft den Größentest mit den kombinierten Zahlen, nicht mit den lokalen. Die vollständige Regel steht auf der Seite zu Töchtern und Holdings.

Wie Praktiker den Test durchlaufen

Der vollständige Artikel-2-Test dauert in der richtigen Reihenfolge etwa zehn Minuten. Sektor zuerst (ein Blick in Anhang I und II). Größe als Nächstes (aktuelle Jahreszahlen plus Zusammenrechnung verbundener Unternehmen, falls eine Mutter vorhanden ist). Dann die Übersteuerungen (Artikel 2(2), 2(3), 2(4) und die Ausnahmen 2(5) bis 2(11)). Dann das Ergebnis. Drei Seiten Notizen reichen.

Schriftlich festhalten. Datieren. Unterschreiben. Dieses Dokument ist Ihre Anwendbarkeitsprüfung. Die nationalen Behörden erwarten, dass Sie nachweisen können, wie Sie zu 'im Anwendungsbereich' oder 'nicht im Anwendungsbereich' gekommen sind, nicht nur das Ergebnis. Wenn sich die Zahlen ändern (Fusion, neues Geschäftsfeld, Überschreiten einer Schwelle), neu durchlaufen und die alte Version aufbewahren. Der Audit Trail der Entscheidung zählt so viel wie die Entscheidung selbst.

Wie wir das auf der Plattform abbilden

Die Anwendbarkeitsprüfung auf nisd2.eu läuft den vollständigen Artikel-2-Baum in der richtigen Reihenfolge ab. Sektorauswahl aus Anhang I und II. Größe mit Zusammenrechnung verbundener Unternehmen. Übersteuerungsliste nach Artikel 2(2) und 2(3). Ausnahmen nach Artikel 2(5) bis 2(11). Das Ergebnis ist eine schriftliche Anwendbarkeitsprüfung mit Sektor, Beschäftigten- und Umsatzzahlen, Übersteuerungsstatus und Einstufung (besonders wichtig, wichtig oder nicht im Anwendungsbereich).

Die Prüfung ist kostenlos. Sie erhalten das Dokument als PDF und als versionierten Datensatz innerhalb der Plattform. Bei geänderten Zahlen erneut durchlaufen. Jede Version ist mit Zeitstempel und Unterschrift der ausführenden Person versehen, sodass der Audit Trail automatisch entsteht.

Quellen
  • Richtlinie (EU) 2022/2555 (NIS 2), Artikel 2 und Anhänge I und II: eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Empfehlung 2003/361/EG der Kommission, Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen: eur-lex.europa.eu/eli/reco/2003/361/oj
  • Richtlinie (EU) 2022/2557 (CER), Resilienz kritischer Einrichtungen: eur-lex.europa.eu/eli/dir/2022/2557/oj
  • BSI-Gesetz (BSIG), §28 in der Fassung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes
  • BSI Betroffenheitsprüfung: bsi.bund.de/dok/nis-2-betroffenheitspruefung
  • ENISA NIS-2-Umsetzungstracker (Stand Mai 2026)
Den vollständigen Artikel-2-Test in zehn Minuten durchlaufen
Sektor, Größe mit Zusammenrechnung verbundener Unternehmen, Übersteuerungen und Ausnahmen. Sie erhalten eine schriftliche Anwendbarkeitsprüfung als PDF und einen versionierten Datensatz. Kostenlos, Open Source, kein Lock-in.