KERNTHESE Ob NIS2 für Ihre Organisation gilt, entscheidet sich nicht an Ihrer eigenen Beschäftigtenzahl und Ihrem Umsatz, sondern an der konsolidierten Größe der wirtschaftlichen Einheit, der Sie angehören. Nach der EU-KMU-Definition zählen verbundene Unternehmen zu 100 % und Partnerunternehmen anteilig — weshalb ein Unternehmen mit vierzig Beschäftigten mitten im Anwendungsbereich liegen kann, ohne eine einzige zusätzliche Einstellung.

Compliance-Verantwortliche in ganz Europa wiederholen einen Satz, der sich oft als falsch erweist: „Wir haben nur vierzig Mitarbeitende in der Zentrale, also gilt NIS2 für uns nicht.”

Die Annahme ist nachvollziehbar. Die plakativen Zahlen der EU-Richtlinie über Netz- und Informationssicherheit (Richtlinie (EU) 2022/2555, „NIS2”)¹ klingen nach großen Unternehmen: mittlere und große Unternehmen, fünfzig Beschäftigte, zehn Millionen Euro. Ein Unternehmen, das seine eigenen Beschäftigten zählt, seinen eigenen Umsatz betrachtet und unter diesen Schwellen landet, hält sich für nicht betroffen.

Häufig ist es das nicht – und der Grund hat wenig damit zu tun, wie viele Menschen in der Zentrale arbeiten. Es kommt darauf an, wem das Unternehmen gehört, was das Unternehmen besitzt und wie die Richtlinie das Zählen vorschreibt. Die ENISA, die EU-Cybersicherheitsagentur, schätzt, dass NIS2 rund 160.000 Organisationen erfasst – fast das Zehnfache gegenüber der Vorgängerrichtlinie – und ihre Arbeit deutet darauf hin, dass ein großer Teil der neu erfassten Organisationen noch nicht wusste, dass sie betroffen sind.²

Dieser Beitrag zeigt, wie sich diese Lücke schließen lässt. Er setzt vor den Pflichten, den Maßnahmen und den Meldefristen an, denn nichts davon zählt, solange Sie nicht eine Frage richtig beantwortet haben: Fallen wir überhaupt in den Anwendungsbereich?

Zwei Filter – und den einen unterschätzen fast alle

Der NIS2-Anwendungsbereich beruht auf zwei Filtern, die nacheinander angewendet werden.

Der erste ist der Sektor. Die Richtlinie führt achtzehn Sektoren in zwei Anhängen auf: elf „Sektoren mit hoher Kritikalität” in Anhang I (Energie, Verkehr, Bankwesen, Gesundheit, Trink- und Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten, öffentliche Verwaltung, Raumfahrt und weitere) und sieben „sonstige kritische Sektoren” in Anhang II (Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, Herstellung bestimmter Produkte, digitale Dienste und Forschung).³ Bilden keine Ihrer Tätigkeiten einen gelisteten Sektor ab, sind Sie außen vor. Doch die Falle zeichnet sich bereits ab: Ein Hersteller mit eigener Softwaresparte, ein Logistikunternehmen mit eigenem Rechenzentrum oder eine Industriegruppe mit interner Telekommunikationsfunktion kann mehrere Sektoren zugleich berühren. NIS2 schaut darauf, was ein Unternehmen tut – nicht darauf, wie es sich selbst bezeichnet.

Der zweite Filter ist die Größe, und hier passieren die meisten kostspieligen Fehler. Die Richtlinie schreibt keinen eigenen Größentest vor; sie verweist auf die EU-weite Definition kleiner und mittlerer Unternehmen in der Empfehlung 2003/361/EG der Kommission.⁴ In der Praxis fällt eine Organisation in der Regel dann in den Anwendungsbereich, sobald sie nach dieser Empfehlung mindestens als mittleres Unternehmen gilt: als Faustregel 50 oder mehr Beschäftigte oder ein Jahresumsatz beziehungsweise eine Bilanzsumme von über 10 Millionen Euro. Unterhalb dieser Linie (weniger als 50 Beschäftigte und höchstens 10 Millionen Euro) ist ein Unternehmen klein oder Kleinstunternehmen und in der Regel ausgenommen.

Eine höhere Stufe ist später für die Einstufung relevant, nicht für den Anwendungsbereich: Ein großes Unternehmen hat 250 oder mehr Beschäftigte oder einen Umsatz über 50 Millionen Euro zusammen mit einer Bilanzsumme über 43 Millionen Euro. Diese obere Grenze fließt in die Einstufung als wesentliche oder wichtige Einrichtung ein – wobei die tatsächliche Einstufung auch von sektorspezifischen Bestimmungen und der nationalen Umsetzung abhängt, nicht allein von der Größe.⁵

ANMERKUNG ZU DEN SCHWELLENWERTEN Die EU-KMU-Methodik wendet die Beschäftigtenobergrenze neben den finanziellen Obergrenzen an, und die meisten aufsichtsrechtlichen Hinweise behandeln die 10-Millionen-Euro-Linie als überschritten, sobald entweder Umsatz oder Bilanzsumme darüber liegt. Die nationalen Umsetzungen gewichten dies unterschiedlich streng. Für jede Organisation nahe der Grenze ist der vorsichtige Ansatz der sicherere: vom niedrigeren Maßstab ausgehen und entsprechend rechnen. Optimistisch zu schätzen ist keine Verteidigung.

Hier verbirgt die Größenprüfung ihren eigentlichen Haken. Sie dürfen sich nicht allein zählen.

Wie die Richtlinie das Zählen tatsächlich vorschreibt

Die Empfehlung 2003/361/EG – der Text, auf den NIS2 verweist – fragt nicht nach Ihrer eigenständigen Beschäftigtenzahl und Ihrem Umsatz. Sie verlangt eine konsolidierte Größe, die die mit Ihnen verbundenen Unternehmen einschließt. Artikel 6 des Anhangs legt die Mechanik fest. Ihre eigenen Daten zählen zu 100 %. Verbundene Unternehmen – bei denen ein Unternehmen ein anderes kontrolliert, typischerweise durch eine Mehrheit (mehr als 50 %) des Kapitals oder der Stimmrechte – werden zu 100 % hinzugerechnet, und die Kette setzt sich fort, sodass auch verbundene Unternehmen Ihrer verbundenen Unternehmen mitzählen. Partnerunternehmen – Beteiligungen zwischen 25 % und 50 % – werden anteilig (pro rata) hinzugerechnet, im Verhältnis zur Beteiligung, während Partner Ihrer Partner nicht mitzählen. Beteiligungen unter 25 % gelten in der Regel als eigenständige Kapitalanlage und bleiben außen vor.⁶

Auf einen Blick sieht die Regel zur Gruppenzählung so aus:

Beteiligung / Stimmrechte	Art der Beziehung	Anrechnung auf Ihre Größe
Eigene Einrichtung	–	100 %
Mehr als 50 %	Verbundenes Unternehmen	100 % (volle Beschäftigtenzahl und Finanzdaten)
25 %–50 %	Partnerunternehmen	Anteilig (im Verhältnis zur Beteiligung)
Unter 25 %	Eigenständige Kapitalanlage	In der Regel ausgenommen

Abbildung 1. Gruppenkonsolidierung nach der EU-KMU-Definition: Die Einrichtung zählt 100 % ihrer selbst, 100 % jedes verbundenen Unternehmens (Beteiligung > 50 %), den anteiligen Anteil eines Partnerunternehmens (25–50 %) und schließt Beteiligungen unter 25 % aus.

Kurz gesagt: Ein Mehrheitseigentümer bringt sein gesamtes Gewicht in Ihre Zählung ein, und ein bedeutender Minderheitspartner bringt einen Teil davon ein. Das Unternehmen, das Sie für „nur wir” halten, ist im Sinne der Richtlinie Teil einer größeren wirtschaftlichen Einheit.⁷

Die folgenden Szenarien zeigen, wie dasselbe Vierzig-Personen-Unternehmen je nach Struktur zu sehr unterschiedlichen Ergebnissen kommen kann.

Szenario 1: Eigenständig, über die Beschäftigtenzahl

Ein regionaler Energiedienstleister beschäftigt 90 Personen und erzielt 8 Millionen Euro Umsatz. Keine Muttergesellschaft, keine wesentlichen Beteiligungen in eine der beiden Richtungen. Es überschreitet die 50-Beschäftigten-Linie aus eigener Kraft und ist damit im Anwendungsbereich. Das ist der eindeutige Fall – und der einzige, den die meisten Unternehmen tatsächlich prüfen.

Szenario 2: Eigenständig, über den finanziellen Schwellenwert

Ein spezialisierter Cloud-Dienstleister hat nur 45 Beschäftigte, aber 12 Millionen Euro Jahresumsatz. Nach Köpfen gezählt wirkt er klein. Doch der finanzielle Schwellenwert ist eigenständig: Überschreiten Sie 10 Millionen Euro bei Umsatz oder Bilanzsumme, sind Sie ungeachtet der Beschäftigtenzahl ein mittleres Unternehmen. Das bringt ihn in den Anwendungsbereich – und da Anbieter von Cloud-Computing-Diensten in Anhang I aufgeführt sind, möglicherweise als wesentliche Einrichtung. Die Lehre: Ein schlankes, umsatzstarkes Unternehmen kann sich nicht hinter einem kleinen Organigramm verstecken.

Szenario 3: Die verbundene Tochtergesellschaft

Das ist der Fall, der die meisten erwischt. Eine produzierende Tochtergesellschaft hat 30 Beschäftigte und 6 Millionen Euro Umsatz, für sich genommen bequem klein. Doch die Muttergesellschaft hält 70 % und beschäftigt 480 Personen mit 140 Millionen Euro Umsatz. Eine Mehrheitsbeteiligung macht die beiden Unternehmen zu verbundenen Unternehmen, sodass die Tochter 100 % der Zahlen der Mutter hinzurechnen muss: rund 510 Beschäftigte und 146 Millionen Euro auf konsolidierter Basis. Die 30-Personen-Tochter ist nicht nur im Anwendungsbereich, sie liegt im Bereich eines großen Unternehmens. Dieses Muster überrascht regelmäßig mittelgroße Tochtergesellschaften, die sich für eigenständige kleine Unternehmen halten. Im Organigramm sind sie eigenständig – in der Rechnung nicht.

Szenario 4: Der Minderheitspartner

Ein Unternehmen mit 40 Beschäftigten und 8 Millionen Euro Umsatz wäre für sich genommen außerhalb des Anwendungsbereichs. Doch ein Investor hält eine 40-%-Beteiligung, und dieser Partner ist ein Unternehmen mit 200 Personen und 60 Millionen Euro Umsatz. Partnerdaten werden anteilig hinzugerechnet, sodass 40 % des Partners einfließen: +80 Beschäftigte und +24 Millionen Euro. Das konsolidierte Bild – rund 120 Beschäftigte und 32 Millionen Euro – liegt deutlich über dem Schwellenwert. Eine Minderheitsbeteiligung, die Sie als rein finanziell betrachten, kann Sie in ein Regulierungsregime ziehen.

Szenario 5: Die gemischte Kette

Reale Unternehmensstrukturen sind selten sauber. Nehmen Sie eine Einrichtung mit 20 Beschäftigten und 4 Millionen Euro Umsatz, die zwei Beziehungen hat: eine hundertprozentige Schwestergesellschaft (25 Beschäftigte, 5 Millionen Euro, als verbundenes Unternehmen zu 100 % hinzugerechnet) und eine 30-%-Beteiligung eines größeren Unternehmens (100 Beschäftigte, 30 Millionen Euro, anteilig hinzugerechnet). Zusammengenommen ergibt das rund 75 Beschäftigte und 18 Millionen Euro konsolidiert. Jedes Element wirkte für sich harmlos, doch zusammen überschreiten sie 10 Millionen Euro und lösen den Anwendungsbereich aus. Die gemischte Kette ist gerade deshalb gefährlich, weil keine einzelne Beziehung entscheidend wirkt, bis man die vollständige Rechnung aufstellt.

Szenario 6: Die übersehene konzerninterne IT-Einheit

Viele Gruppen bündeln die IT in einer einzigen kleinen Tochtergesellschaft, die die übrigen versorgt. Sie hat oft geringe Beschäftigtenzahl und Umsatz – genau deshalb wird sie übersehen. Doch wenn sie Dienste in einem erfassten Sektor erbringt, etwa Verwaltung von IKT-Diensten,⁸ und die konsolidierten Zahlen der Gruppe sie über den Schwellenwert tragen, kann diese interne Dienstleistungsgesellschaft selbst reguliert werden. Manche Gruppen haben darauf reagiert, indem sie die IT in eine abgegrenzte Einheit ausgegliedert haben, um den Anwendungsbereich zu begrenzen. Ob das funktioniert, hängt stark von den nationalen Ausnahmen für eigenständige Einheiten ab und sollte daher eine bewusste Entscheidung sein, kein Zufall.

Szenario 7: Die Größe spielt überhaupt keine Rolle

Manche Einrichtungen fallen unabhängig von ihrer Größe in den Anwendungsbereich: Vertrauensdiensteanbieter, DNS-Diensteanbieter, Top-Level-Domain-Registries, Anbieter öffentlicher elektronischer Kommunikationsnetze sowie alleinige Anbieter eines für Gesellschaft oder Wirtschaft wesentlichen Dienstes. Ein Vertrauensdiensteanbieter mit fünf Personen ist erfasst. Für diese Organisationen ist die Verbund- und Partnerrechnung nebensächlich; die Antwort lautet ja, bevor Sie mit dem Zählen beginnen.

Was die Regulierer nicht geklärt haben

Dies ist kein vollständig geklärtes Recht, und zwei Unsicherheiten verdienen die Aufmerksamkeit einer Geschäftsleitung. Die erste betrifft nationale Ausnahmen für eigenständige Einheiten. Mitgliedstaaten können Ausnahmen vorsehen, wenn eine gruppenweite Betrachtung unverhältnismäßig wäre – etwa wenn eine Tochtergesellschaft von ihrer Mutter wirklich unabhängig ist. Die nationalen Umsetzungen weichen hier voneinander ab: Einige scheinen offener für Erleichterungen bei wirklich eigenständigen Tochtergesellschaften, während andere die Gruppenkonsolidierung strenger anwenden. Dieselbe Konzernstruktur kann daher in verschiedenen EU-Ländern zu unterschiedlichen Ergebnissen führen, und grenzüberschreitend tätige Gruppen müssen jede Einheit anhand ihrer lokalen Vorschriften prüfen.^{9 10} Die zweite betrifft konzerninterne IT-Dienste. Ob die IT-Unterstützung einer Mutter für ihre Töchter als „geringfügig” oder als wesentlich gilt, wird je nach Rechtsordnung unterschiedlich gelesen. Das ist keine Nebensächlichkeit; es hat echte Folgen dafür, wie sich eine Gruppe strukturiert.¹¹

Beide Unsicherheiten weisen in dieselbe Richtung: Wenn Sie nahe einer Grenze liegen, rechnen Sie umfassend, dokumentieren Sie Ihre Begründung und behandeln Sie Unklarheit als Grund zur Vorbereitung, nicht zur Entwarnung. Die Konsolidierungsregel ist im Grundsatz geklärt, an den Rändern jedoch ungeklärt – und genau an diesen Rändern befinden sich Konzernstrukturen typischerweise.

Warum die Antwort wichtig ist

Der Anwendungsbereich ist keine bloße Ja/Nein-Kuriosität; die Kategorie, in der Sie landen, bestimmt das Regime, unter dem Sie arbeiten. Als wesentlich eingestufte Organisationen – im Großen und Ganzen die größeren Einrichtungen in den hochkritischen Sektoren des Anhangs I – unterliegen proaktiver Aufsicht, strengeren Meldefristen und Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.¹² Als wichtig eingestufte Organisationen unterliegen reaktiver Aufsicht und Bußgeldern von bis zu 7 Millionen Euro oder 1,4 % des Umsatzes.¹³ Behörden können eine wichtige Einrichtung in den Status einer wesentlichen heraufstufen, wenn ihre Rolle oder ihr Risiko dies rechtfertigt. Und sich nicht zu identifizieren, befreit Sie nicht: Zuständige Behörden können Einrichtungen benennen, die hätten wissen müssen, dass sie betroffen sind.

Deshalb ist „Fallen wir in den Anwendungsbereich?” keine IT-Frage, die man in der Organisation nach unten weiterreicht. Es ist eine Governance-Frage. Die Rechnung aus verbundenen und Partnerunternehmen ist letztlich eine Frage nach der Gestalt Ihres Konzerns – und die gehört in die Chefetage.

Was konkret zu tun ist

Nichts davon erfordert ein großes Projekt. In den meisten Fällen ist es eine fokussierte Analyse. Ordnen Sie zunächst Ihre Tätigkeiten den Sektoren zu und seien Sie ehrlich bei Nebenfunktionen: der Softwaresparte, dem Logistikbetrieb, der internen IT-Gesellschaft. Zeichnen Sie anschließend Ihren tatsächlichen Beteiligungsgraphen und erfassen Sie jedes verbundene Unternehmen (> 50 %) und jedes Partnerunternehmen (25–50 %), sowohl nach oben als auch nach unten. Konsolidieren Sie die Zahlen, wie die Empfehlung es verlangt – 100 % für verbundene Unternehmen, anteilig für Partner – und vergleichen Sie sie dann mit den Schwellenwerten. Stufen Sie als wesentlich oder wichtig ein und prüfen Sie die größenunabhängigen Kategorien. Dokumentieren Sie schließlich die Feststellung: Ein belastbarer Nachweis, wie Sie zu „drin” oder „draußen” gekommen sind, ist selbst Teil der Compliance.

Die meisten Organisationen können diese Bewertung schnell abschließen, sobald sie aufhören, nur sich selbst zu zählen. Diejenigen, die überrascht werden, sind selten jene, die die Analyse durchgeführt und an den Rändern anderer Meinung waren. Es sind jene, die sie nie durchgeführt haben, weil die plakativen Zahlen sicher wirkten.

Die Bestimmung des Anwendungsbereichs ist nur der Anfang. Lautet die Antwort ja, folgen die schwierigeren Fragen: die von NIS2 geforderten Risikomanagementmaßnahmen, die Meldefristen und die persönliche Verantwortung, die die Richtlinie der Leitungsebene auferlegt. Diese sind Gegenstand eines Folgebeitrags.

ZUSAMMENFASSUNG FÜR ENTSCHEIDER Ob NIS2 gilt, beantwortet sich nicht an Ihrer eigenständigen Beschäftigtenzahl. Ordnen Sie Ihre Tätigkeiten den achtzehn gelisteten Sektoren zu; zeichnen Sie den vollständigen Beteiligungsgraphen nach oben und unten; konsolidieren Sie zu 100 % für verbundene Unternehmen (> 50 %) und anteilig für Partner (25–50 %); vergleichen Sie die konsolidierten Zahlen mit der Schwelle zum mittleren Unternehmen (50 Beschäftigte oder 10 Millionen Euro Umsatz beziehungsweise Bilanzsumme); stufen Sie anschließend als wesentlich oder wichtig ein und prüfen Sie die größenunabhängigen Kategorien. Dokumentieren Sie die Feststellung – ein belastbarer Nachweis, wie Sie zu „drin” oder „draußen” gekommen sind, ist selbst Teil der Compliance. Überrascht werden nicht jene, die die Rechnung aufgestellt und an den Rändern anderer Meinung waren, sondern jene, die sie nie aufgestellt haben, weil die plakativen Zahlen sicher wirkten.

Abkürzungsverzeichnis

Alle Abkürzungen werden im Text bei erster Verwendung ausgeschrieben. Die folgende Übersicht dient der schnellen Orientierung.

Abkürzung	Bedeutung
Anhang I	Sektoren mit hoher Kritikalität (Richtlinie (EU) 2022/2555)
Anhang II	Sonstige kritische Sektoren (Richtlinie (EU) 2022/2555)
BSIG	Gesetz über das Bundesamt für Sicherheit in der Informationstechnik
DNS	Domain Name System
ENISA	Agentur der Europäischen Union für Cybersicherheit
EU	Europäische Union
IKT	Informations- und Kommunikationstechnik
KMU	Kleine und mittlere Unternehmen (Empfehlung 2003/361/EG)
NIS2	Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union
NIS2UmsuCG	NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz
RDG	Rechtsdienstleistungsgesetz
TLD	Top-Level-Domain

Quellenverzeichnis

Die Quellen sind nachstehend nach Kategorien geordnet. Vollständige Angaben einschließlich Abrufdaten finden sich in den Fußnoten. Primärquellen (Richtlinien und amtliche EU-Dokumente) sind gesondert aufgeführt.

Primärquellen: Richtlinien und amtliche EU-Dokumente

Richtlinie (EU) 2022/2555 (NIS2): Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union – Artikel 2 und Anhänge I–II https://eur-lex.europa.eu/eli/dir/2022/2555/oj/deu

Empfehlung 2003/361/EG der Kommission: EU-Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen; Konsolidierungsmethode nach Artikel 6 https://eur-lex.europa.eu/eli/reco/2003/361/oj/deu

Europäische Kommission: KMU-Definition – Benutzerleitfaden mit Rechenbeispielen für Partner- und verbundene Unternehmen https://single-market-economy.ec.europa.eu/smes/sme-fundamentals/sme-definition_en

Durchführungsverordnung (EU) 2024/2690 der Kommission: Technische und methodische Anforderungen für Einrichtungen der digitalen Infrastruktur und IKT https://eur-lex.europa.eu/eli/reg_impl/2024/2690/oj

Behördliche Hinweise

ENISA: NIS Investments 2024 https://www.enisa.europa.eu/publications/nis-investments-2024

ENISA: NIS360 2024 https://www.enisa.europa.eu/publications/enisa-nis360-2024

ILR Luxemburg: NIS2 – Anwendungsbereich https://www.ilr.lu/en/sectors/niss/nis-2/scope-and-field-of-application/

Europäische Kommission: NIS2-Richtlinie – häufig gestellte Fragen https://digital-strategy.ec.europa.eu/en/faqs/directive-measures-high-common-level-cybersecurity-across-union-nis2-directive-faqs

Fachanalysen

Arthur Cox: NIS2 und die KMU-Leitlinien – Anwendung und Schwellenwerte https://www.arthurcox.com/knowledge/nis2-sme-guidelines-how-do-they-apply-and-thresholds/

Hogan Lovells: Die EU-NIS2-Richtlinie und konzerninterne IT-Dienste https://www.hoganlovells.com/en/publications/the-eu-nis2-directive-and-intragroup-it-services

Eversheds Sutherland: Anwendung und Einstufung unter NIS2 – verbundene und Partnerunternehmen https://www.eversheds-sutherland.com/en/global/insights/application-and-classification-under-nis-2-exploring-linked-and-partner-enterprises

ICLG: EU-Cybersicherheitslandschaft – NIS2-Richtlinie im Detail https://iclg.com/practice-areas/cybersecurity-laws-and-regulations/03-eu-cybersecurity-regulatory-landscape-a-deep-dive-into-the-nis2-directive

Deutsche Umsetzung

OpenKRITIS: Einrichtungen und Unternehmensgröße unter NIS2 (NIS2UmsuCG / BSIG) https://www.openkritis.de/it-sicherheitsgesetz/einrichtungen-unternehmensgroesse-nis2.html

Rechtlicher Hinweis: Dieser Beitrag bietet eine allgemeine Orientierung und stellt keine Rechtsdienstleistung im Sinne des Rechtsdienstleistungsgesetzes (RDG) dar. Eine verbindliche Bestimmung des NIS2-Anwendungsbereichs für eine konkrete Organisation sollte anhand ihrer individuellen Umstände erfolgen, gegebenenfalls zusammen mit qualifizierter Rechtsberatung. Stand: Mai 2026.

1. Richtlinie (EU) 2022/2555 vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS2). Abrufbar unter: https://eur-lex.europa.eu/eli/dir/2022/2555/oj/deu (abgerufen Mai 2026). ↩

2. ENISA, NIS Investments 2024. Abrufbar unter: https://www.enisa.europa.eu/publications/nis-investments-2024 (abgerufen Mai 2026). ↩

3. ENISA, NIS360 2024. Abrufbar unter: https://www.enisa.europa.eu/publications/enisa-nis360-2024 (abgerufen Mai 2026). ↩

4. Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen. Abrufbar unter: https://eur-lex.europa.eu/eli/reco/2003/361/oj/deu (abgerufen Mai 2026). ↩

5. Arthur Cox, NIS2 and the SME guidelines: how do they apply, and the thresholds. Abrufbar unter: https://www.arthurcox.com/knowledge/nis2-sme-guidelines-how-do-they-apply-and-thresholds/ (abgerufen Mai 2026). ↩

6. Europäische Kommission, KMU-Definition – Benutzerleitfaden (Rechenbeispiele für Partner- und verbundene Unternehmen). Abrufbar unter: https://single-market-economy.ec.europa.eu/smes/sme-fundamentals/sme-definition_en (abgerufen Mai 2026). ↩

7. Eversheds Sutherland, Application and classification under NIS2: linked and partner enterprises. Abrufbar unter: https://www.eversheds-sutherland.com/en/global/insights/application-and-classification-under-nis-2-exploring-linked-and-partner-enterprises (abgerufen Mai 2026). ↩

8. Durchführungsverordnung (EU) 2024/2690 der Kommission vom 17. Oktober 2024 zur Festlegung technischer und methodischer Anforderungen für Einrichtungen der digitalen Infrastruktur und der Verwaltung von IKT-Diensten. Abrufbar unter: https://eur-lex.europa.eu/eli/reg_impl/2024/2690/oj (abgerufen Mai 2026). ↩

9. ILR Luxemburg, NIS2 – Anwendungsbereich (scope and field of application). Abrufbar unter: https://www.ilr.lu/en/sectors/niss/nis-2/scope-and-field-of-application/ (abgerufen Mai 2026). ↩

10. OpenKRITIS, Einrichtungen und Unternehmensgröße unter NIS2 (NIS2UmsuCG / BSIG). Abrufbar unter: https://www.openkritis.de/it-sicherheitsgesetz/einrichtungen-unternehmensgroesse-nis2.html (abgerufen Mai 2026). ↩

11. Hogan Lovells, The EU NIS2 Directive and intra-group IT services. Abrufbar unter: https://www.hoganlovells.com/en/publications/the-eu-nis2-directive-and-intragroup-it-services (abgerufen Mai 2026). ↩

12. Europäische Kommission, Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS2-Richtlinie) – häufig gestellte Fragen. Abrufbar unter: https://digital-strategy.ec.europa.eu/en/faqs/directive-measures-high-common-level-cybersecurity-across-union-nis2-directive-faqs (abgerufen Mai 2026). ↩

13. ICLG, EU cybersecurity regulatory landscape: a deep dive into the NIS2 Directive. Abrufbar unter: https://iclg.com/practice-areas/cybersecurity-laws-and-regulations/03-eu-cybersecurity-regulatory-landscape-a-deep-dive-into-the-nis2-directive (abgerufen Mai 2026). ↩