Die Einstufung nach NISG 2026 folgt klaren rechtlichen Kriterien — Sektor und Unternehmensgröße. Kein Rätselraten. Wir führen Sie durch die echte Prüflogik.
Die Einstufung folgt zwei Kriterien: Sektor und Unternehmensgröße. Beide müssen zutreffen — Ausnahmen gibt es für besonders kritische Einrichtungen. Sieben Fragen, fundierte Antwort.
Anlage 1 (hohe Kritikalität) und Anlage 2 (sonstige kritische Sektoren) des NISG 2026 — abschließende Liste der betroffenen Wirtschaftszweige.
| Sektor | Anlage | Beispiele |
|---|---|---|
| Energie | Anlage 1 | Strom, Gas, Fernwärme, Wasserstoff, Öl |
| Verkehr | Anlage 1 | Luft-, Schienen-, Schiffs-, Straßenverkehr |
| Bankwesen | Anlage 1 | Kreditinstitute (DORA hat Vorrang) |
| Finanzmarktinfrastruktur | Anlage 1 | Handelsplätze, zentrale Gegenparteien |
| Gesundheitswesen | Anlage 1 | Krankenhäuser, Labore, Pharmahersteller |
| Trinkwasser | Anlage 1 | Wasserversorger |
| Abwasser | Anlage 1 | Abwasserentsorger |
| Digitale Infrastruktur | Anlage 1 | Cloud, Rechenzentren, DNS, CDN, TLD-Registries |
| IKT-Dienste (B2B) | Anlage 1 | Managed Service Provider, Managed Security Provider |
| Öffentliche Verwaltung | Anlage 1 | Bund, Länder (z.T.) |
| Weltraum | Anlage 1 | Satelliteninfrastruktur-Betreiber |
| Post- und Kurierdienste | Anlage 2 | Zustelldienste, Paketlogistik |
| Abfallbewirtschaftung | Anlage 2 | Entsorgungsunternehmen |
| Chemie | Anlage 2 | Herstellung, Produktion, Vertrieb chemischer Stoffe |
| Lebensmittel | Anlage 2 | Großhandelsproduktion und -vertrieb |
| Verarbeitendes Gewerbe | Anlage 2 | Medizinprodukte, Elektronik, Maschinenbau, KFZ |
| Digitale Dienste | Anlage 2 | Online-Marktplätze, Suchmaschinen, soziale Netzwerke |
| Forschung | Anlage 2 | Forschungseinrichtungen |
Quelle: NISG 2026, Anlage 1 und Anlage 2. Die vollständige sektorale Abgrenzung inkl. NACE-Codes ist im Gesetzestext geregelt — diese Übersicht dient der ersten Orientierung.
Die Einstufung folgt der EU-KMU-Empfehlung 2003/361/EG. Bei verbundenen Unternehmen werden die Werte grundsätzlich konzernweit zusammengerechnet (§ 25 Abs. 4 NISG 2026).
Qualifizierte Vertrauensdiensteanbieter, TLD-Registries (inkl. .at), DNS-Diensteanbieter und Betreiber zentraler digitaler Infrastruktur gelten unabhängig von ihrer Größe als wesentliche Einrichtung.
Auch wer selbst unter den Schwellenwerten liegt, kann indirekt betroffen sein — wenn Kunden aus NIS2-Sektoren Sicherheitsnachweise von Zulieferern und Dienstleistern verlangen.
Das BMI kann Unternehmen aufgrund besonderer Bedeutung oder Einzigartigkeit per Bescheid unabhängig von Sektor und Größe als wesentliche oder wichtige Einrichtung einstufen.
Für Banken und Finanzmarktinfrastruktur gilt vorrangig die Verordnung (EU) 2022/2554 (DORA). Eine Registrierungs- und Selbstdeklarationspflicht nach NISG 2026 besteht dennoch.
Dieser Schnellcheck ersetzt keine rechtliche Prüfung. Er gibt eine fundierte erste Einschätzung. Für eine belastbare, dokumentierte Betroffenheitsanalyse arbeiten wir mit unserer Partnerkanzlei.
Der VITTNESS Check ist kostenlos — 15 Minuten, kein Pitch, ehrliche Einschätzung.
VITTNESS Check anfragen