Ratgeber
Die Einstufung Ihres Unternehmens ist der erste und wichtigste Schritt der NIS2-Compliance. Davon hängen nicht nur die Intensität der staatlichen Aufsicht ab, sondern auch die potenziellen Bußgeldhöhen und die Tiefe der technischen Nachweispflichten.
Die NIS2-Richtlinie unterscheidet zwischen Sektoren mit hoher Kritikalität (Wesentliche Einrichtungen) und sonstigen kritischen Sektoren (Wichtige Einrichtungen). Entscheidend für die Geschäftsführung ist hierbei die Business Continuity und der Schutz des Unternehmensrufs.
Neben der Branche ist die Unternehmensgröße das ausschlaggebende Kriterium. Hierbei müssen Unternehmen oft zwischen operativem Bedarf und finanzieller Belastung abwägen.
| Kategorie | Mitarbeiterzahl | Jahresumsatz / Bilanzsumme | Status |
| Mittlere Unternehmen | 50 bis 249 | ≤ 50 Mio. € Umsatz / ≤ 43 Mio. € Bilanz | Meist „Wichtige Einrichtung“ |
| Großunternehmen | ≥ 250 | > 50 Mio. € Umsatz / > 43 Mio. € Bilanz | Meist „Wesentliche Einrichtung“ |
Wichtiger Hinweis: Die Geschäftsführung muss sicherstellen, dass auch verbundene Unternehmen und Partnerbetriebe in diese Berechnung einfließen, um Haftungsrisiken zu minimieren.
Es gibt Konstellationen, in denen Sie unabhängig von Ihrer Größe NIS2-pflichtig sind. Dies betrifft oft spezialisierte IT-Dienstleister oder Unternehmen in der Lieferkette, die für die Resilienz des Wirtschaftsstandorts kritisch sind.
Für die tägliche Arbeit des IT-Teams und die strategische Ausrichtung der Security-Kultur ist die Unterscheidung fundamental.
Die pauschale Betrachtung von Tabellen ersetzt keine detaillierte Analyse Ihrer Unternehmensstruktur. Wir unterstützen Sie dabei, Ihre exakte Rolle im NIS2-Gefüge zu bestimmen, ohne dass Sie unnötige Kosten für überdimensionierte Lösungen verursachen.
Hinweis: Diese Analyse dient der strategischen Vorbereitung und technischen Umsetzung. Sie ersetzt keine individuelle Rechtsberatung.
Eine falsche Einstufung führt dazu, dass notwendige Maßnahmen nicht ergriffen werden. Dies kann im Ernstfall zur persönlichen Haftung der Geschäftsführung führen, da die Überwachungspflicht verletzt wurde.
Ja, für die Schwellenwerte wird oft das gesamte verbundene Unternehmen betrachtet. Die NIS2 gilt zudem EU-weit, was internationale Konzerne besonders fordert.
Ja, betroffene Einrichtungen müssen sich beim BSI melden und Kontaktstellen für die Meldung von Vorfällen benennen.
General Manager, Chief Digital Officer (CDO), Information Security Management Beauftragter (ISMB)
Sven Hillebrecht ist General Manager und Chief Digital Officer (CDO) der ADLON Intelligent Solutions GmbH und verantwortet seit 2017 die strategische Weiterentwicklung des Unternehmens. Darüber hinaus ist er als Information Security Management Beauftragter (ISMB) für die Governance und Weiterentwicklung der Informationssicherheit bei ADLON zuständig.
Zuvor war er über mehrere Jahre als Consultant sowie als Verantwortlicher für den Servicebereich tätig und Mitglied des ADLON Boards. Seine fachlichen Schwerpunkte liegen in der digitalen Transformation, der strukturierten Einführung sicherer Digital‑Workplace‑Konzepte sowie in der strategischen Beratung zu Informationssicherheit.
Als Referent teilt Sven Hillebrecht seine Erfahrung regelmäßig in Fachvorträgen rund um Digitalisierung, Informationssicherheit und Cybersecurity.
