NIS2 / NIS2UmsuCG
NIS2 im Maschinenbau und in der Elektrotechnik: Wer ist betroffen?
Kurzantwort
Seit dem 6. Dezember 2025 ist das deutsche NIS2-Umsetzungsgesetz in Kraft — und es trifft die Branche direkter, als viele denken: Der Sektor „verarbeitendes Gewerbe“ umfasst ausdrücklich die Herstellung elektrischer Ausrüstungen (NACE 27, einschließlich Schaltanlagen- und Verteilerfertigung) und den Maschinenbau (NACE 28). Wer in diesen Zweigen mindestens 50 Mitarbeiter beschäftigt oder über 10 Millionen Euro Umsatz und Bilanzsumme liegt, ist in der Regel „wichtige Einrichtung“ — mit Registrierungs-, Risikomanagement- und Meldepflichten.
Grundlage: Redaktionelle Einordnung · Quellen: EUR-Lex, BSI, IHK · NIS2 / NIS2UmsuCG
Direkt weiter zum passenden Thema
Passende Folgeberechnungen für diese Parameter-Kombination.
Welche Schwellen entscheiden über meine Betroffenheit?
Die Systematik hat zwei Stufen. „Wichtige Einrichtung“ ist, wer in einem der 18 erfassten Sektoren tätig ist und mindestens 50 Mitarbeiter beschäftigt oder mehr als 10 Millionen Euro Jahresumsatz und Bilanzsumme erreicht. „Besonders wichtige Einrichtung“ setzt Großunternehmens-Größe voraus (ab 250 Mitarbeiter oder über 50 Millionen Euro Umsatz und über 43 Millionen Euro Bilanzsumme) — allerdings nur in den Sektoren mit hoher Kritikalität. Das verarbeitende Gewerbe steht in Anlage 2; Betriebe daraus werden also unabhängig von der Größe höchstens „wichtige Einrichtung“.
Für die Branchenzuordnung zählt der NACE-Code der wirtschaftlichen Tätigkeit: 27.1 deckt die Herstellung von Elektrizitätsverteilungs- und Schalteinrichtungen ab — die klassische Schaltanlagen- und Schaltschrankfertigung als Serienhersteller —, NACE 28 den Maschinen- und Anlagenbau. Reine Installations- und Servicebetriebe des Elektrohandwerks tauchen in den Anlagen dagegen nicht auf; sie sind allenfalls indirekt über ihre Kunden gefordert. Die Einzelfall-Zuordnung über den eigenen NACE-Schwerpunkt bleibt der heikelste Schritt — im Zweifel entscheidet die amtliche BSI-Betroffenheitsprüfung.
Welche Pflichten treffen mich als wichtige Einrichtung?
Der Pflichten-Katalog des § 30 BSIG umfasst zehn Mindest-Maßnahmen des Risikomanagements: von Risikoanalyse und Incident-Handling über Backup- und Notfallkonzepte, Lieferketten-Sicherheit, sichere Beschaffung und Entwicklung, Wirksamkeitskontrolle, Cyberhygiene und Schulung bis zu Kryptografie, Zugriffskontrolle und Mehrfaktor-Authentifizierung. Dazu kommen die Registrierung beim BSI und die Melde-Kaskade bei erheblichen Sicherheitsvorfällen: Erstmeldung binnen 24 Stunden ab Kenntnis, Folgemeldung binnen 72 Stunden, Abschlussbericht nach einem Monat.
Besonders ernst nehmen sollte die Geschäftsführung § 38: Die Leitung muss die Risikomanagement-Maßnahmen selbst billigen und ihre Umsetzung überwachen, sich regelmäßig schulen lassen — und haftet dafür persönlich. Diese Pflicht ist nicht delegierbar; ein „das macht unsere IT“ genügt der Aufsicht nicht.
Was passiert, wenn ich die Registrierung verpasst habe?
Die Registrierungsfrist beim BSI lief am 6. März 2026 ab — und ein erheblicher Teil der geschätzt rund 29.500 betroffenen Unternehmen ist ihr noch nicht nachgekommen. Die Pflicht besteht fort: Eine verspätete Registrierung bleibt möglich und ist der richtige Schritt, denn fehlende Registrierung ist selbst bußgeldbewehrt — sanktioniert werden kann bereits das Unterlassen, ganz ohne Sicherheitsvorfall. Der Bußgeldrahmen reicht für wichtige Einrichtungen bis 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes.
NIS2-Einstufung für Betriebe aus NACE 27/28
| Einstufung | Schwellen | Konsequenz |
|---|---|---|
| Nicht direkt erfasst | Unter 50 Mitarbeiter UND ≤ 10 Mio. € Umsatz/Bilanz — oder Tätigkeit außerhalb der Anlagen-Sektoren (z. B. reine Elektro-Installation) | Keine eigenen NIS2-Pflichten; Lieferketten-Anforderungen der Kunden möglich |
| Wichtige Einrichtung | Ab 50 Mitarbeiter ODER > 10 Mio. € Umsatz und Bilanzsumme, Tätigkeit in Anlage 2 (u. a. NACE 27, 28) | Registrierung, § 30-Maßnahmen, Meldepflichten; Bußgeld bis 7 Mio. € / 1,4 % |
| Besonders wichtige Einrichtung | Großunternehmen (≥ 250 MA oder > 50 Mio. € Umsatz und > 43 Mio. € Bilanz) in Anlage-1-Sektoren; KRITIS-Betreiber | Verschärfte Aufsicht; Bußgeld bis 10 Mio. € / 2 % — für NACE 27/28 regelmäßig nicht einschlägig |
Schwellen nach NIS2UmsuCG/BSIG (Anlagen 1 und 2); die Zuordnung über den NACE-Schwerpunkt ist Einzelfallprüfung — verbindlich ist die BSI-Betroffenheitsprüfung.
Häufige Fragen
Fachliche Details zu dieser Parameter-Kombination
Ich habe 45 Mitarbeiter, aber 12 Mio. € Umsatz — bin ich betroffen?
Zählt mein Schaltschrankbau als „verarbeitendes Gewerbe“?
Reicht meine ISO-27001-Zertifizierung als NIS2-Nachweis?
Quellen und Rechtstexte
- BSI — NIS-2: Betroffenheitsprüfung und Pflichten
- Bundesregierung — Umsetzung der NIS-2-Richtlinie
- OpenKRITIS — Sektor Verarbeitendes Gewerbe
- OpenKRITIS — Bußgelder und Sanktionen
EU-Verordnungen und deutsche Gesetze sind amtliche Werke; maßgeblich ist stets die aktuelle Fassung auf EUR-Lex bzw. im Bundesgesetzblatt. Diese Seite ordnet redaktionell ein und ersetzt keine Rechtsberatung.
Verwandte Berechnungen
Weitere Rechner-Seiten mit inhaltlichem Bezug zu dieser Berechnung.
Alle Rechner
Redaktionelle Einordnung, zuletzt aktualisiert am 2026-07-07. Keine Rechtsberatung; verbindlich sind die verlinkten Rechtstexte und die Einschätzung der zuständigen Stellen.