NIS2-Kategorie bestimmen: Warum der Unterschied zwischen wesentlich und wichtig Ihre Haftung verändert
Die Terminologiefalle: "wesentlich" vs. "besonders wichtig"
Wer die NIS2-Richtlinie und das deutsche Umsetzungsgesetz gleichzeitig liest, begegnet einem stillen Missverständnis: Die EU-Richtlinie (EU) 2022/2555 verwendet in ihrer deutschen Fassung den Begriff wesentliche Einrichtungen. Das nationale Umsetzungsgesetz NIS2UmsuCG und das neue BSIG nennen dieselbe Kategorie besonders wichtige Einrichtungen — abgekürzt bwE. Beide Begriffe bezeichnen dasselbe: den höchsten Regulierungsgrad unter NIS2.
Die zweite Kategorie — im EU-Recht und im BSIG gleichermaßen wichtige Einrichtungen (wE) — ist terminologisch konsistent. Nur die höherrangige Kategorie trägt zwei Namen. Für die Praxis gilt: BSI-Portal, alle Anforderungsschreiben und die offizielle BSI-Kommunikation verwenden ausschließlich bwE und wE. Wer in amtlichen Dokumenten nach „wesentlich“ sucht, findet häufig nichts.
| Englischer Begriff (Richtlinie) | Deutsche Fassung der Richtlinie | BSIG / NIS2UmsuCG | Kürzel |
|---|---|---|---|
| Essential entities | Wesentliche Einrichtungen | Besonders wichtige Einrichtungen | bwE |
| Important entities | Wichtige Einrichtungen | Wichtige Einrichtungen | wE |
Klassifizierung nach §28 BSIG: Wer ist was?
Die Einordnung folgt einer dreistufigen Prüfung. Erst wer alle drei Stufen besteht, unterliegt der NIS2-Pflicht — und die dritte Stufe entscheidet über die Kategorie. Detaillierte Sektorkriterien finden Sie in unserem Leitfaden zum NIS2-Anwendungsbereich.
Stufe 1 — Sektor. Ihr Unternehmen muss in einem der 18 regulierten Sektoren tätig sein. Anhang I des BSIG umfasst elf Sektoren hoher Kritikalität: Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstleistungsmanagement (B2B), öffentliche Verwaltung und Weltraum. Anhang II nennt sieben weitere kritische Sektoren: Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittelproduktion, verarbeitendes Gewerbe, digitale Dienste und Forschung.
Stufe 2 — Größe. Das EU-KMU-Größenmodell setzt die Mindestgrenze. Reguliert sind Einrichtungen mit ≥50 Mitarbeitenden oder einem Jahresumsatz >10 Mio. € und Jahresbilanzsumme >10 Mio. €. Kleinstunternehmen unter 10 Mitarbeitenden sowie kleine Unternehmen unter 50 Mitarbeitenden und unter 10 Mio. € sind grundsätzlich ausgenommen — mit gewichtigen Ausnahmen.
Stufe 3 — Kategorie (§28 BSIG). Auf Basis von Sektor und Größe wird festgestellt, ob eine Einrichtung als bwE oder wE gilt.
| Kriterium | Besonders wichtige Einrichtung (bwE) | Wichtige Einrichtung (wE) |
|---|---|---|
| Relevante Sektoren | Nur Anhang I (11 Sektoren hoher Kritikalität) | Anhang I oder Anhang II (alle 18 Sektoren) |
| Mitarbeitende (Schwelle) | ≥250 | ≥50 |
| Umsatz und Bilanzsumme | Umsatz >50 Mio. € und Bilanzsumme >43 Mio. € | Umsatz >10 Mio. € und Bilanzsumme >10 Mio. € |
| Größenunabhängige Fälle | Qualifizierte Vertrauensdiensteanbieter, TLD-Registrare, DNS-Anbieter, alle KRITIS-Betreiber | Vertrauensdiensteanbieter, bestimmte Telekommunikationsanbieter |
| Registrierung BSI-Portal | Innerhalb von 3 Monaten (Frist März 2026 abgelaufen) | Innerhalb von 3 Monaten (Frist März 2026 abgelaufen) |
Die Konzernklausel — die unterschätzte Falle
Die Schwellenwerte klingen zunächst einfach — bis das Unternehmensgeflecht ins Spiel kommt. Eine Tochtergesellschaft mit 30 Mitarbeitenden ist für sich betrachtet weit unter der Grenze von 50. Gehört sie jedoch zu einem Konzern mit 800 Beschäftigten, wird die Größe auf Gruppenebene berechnet. Das Tochterunternehmen wird dann als Großunternehmen eingestuft — und kann damit als bwE gelten. Konzernverantwortliche, die nur die Einzeltochter im Blick haben, übersehen möglicherweise ihre NIS2-Pflicht vollständig.
Für alle Unternehmensgruppen gilt: Die NIS2-Betroffenheitsanalyse muss auf Gruppenebene stattfinden. Das BSI bietet hierfür ein offizielles Betroffenheitsprüfungstool unter betroffenheitspruefung-nis-2.bsi.de an.
Der entscheidende Unterschied: Ex-ante- vs. Ex-post-Beaufsichtigung
Beide Kategorien unterliegen denselben inhaltlichen Anforderungen. Der strukturelle Unterschied liegt nicht darin, was Sie tun müssen, sondern wann und wie intensiv das BSI kontrolliert — und das hat unmittelbare Konsequenzen für Prüfintensität, Dokumentationsaufwand und die reale Haftungsexposition Ihrer Führungskräfte.
Besonders wichtige Einrichtungen (bwE) — Ex-ante-Aufsicht. Das BSI kann jederzeit Audits anordnen, Dokumentation anfordern und unangemeldete Vor-Ort-Prüfungen durchführen. Nach §39 BSIG müssen bwE spätestens alle drei Jahre proaktiv Nachweise beim BSI einreichen — unabhängig davon, ob ein Vorfall vorliegt. Die Beweislast liegt beim Unternehmen.
Wichtige Einrichtungen (wE) — Ex-post-Aufsicht. Das BSI wird erst aktiv, wenn ein gemeldeter Vorfall vorliegt oder konkrete Tatsachen auf einen Verstoß hindeuten. Reaktive Kontrolle bedeutet im Tagesgeschäft weniger regulatorische Reibung — aber keine Entlastung von der inhaltlichen Umsetzungspflicht. Wenn ein erheblicher Vorfall eintritt und die Dokumentation fehlt, beginnt das BSI-Verfahren sofort.
| Aufsichtsaspekt | bwE (Ex-ante) | wE (Ex-post) |
|---|---|---|
| Initiative des BSI | Proaktiv, anlassunabhängig | Nur bei Vorfall oder begründetem Verdacht |
| Regelmäßiger Nachweis | Alle 3 Jahre (§39 BSIG), erste Frist: Dez. 2028 | Nur auf BSI-Anforderung |
| Unangemeldete Prüfungen | Zulässig | Nur bei begründeten Tatsachen |
| Bindende BSI-Anordnungen | Direkt möglich | Nach Feststellung von Verstößen |
| Typischer Dokumentationsaufwand | Dauerhaft abrufbereit (ISMS, Protokolle, Audits) | Anlassbezogen, aber vollständig bei Vorfall |
Für bwE empfiehlt sich ein vollständig implementiertes Informationssicherheitsmanagementsystem (ISMS). Eine ISO-27001-Zertifizierung deckt nach Schätzungen 70–80 % der NIS2-Anforderungen ab und liefert gleichzeitig die für den BSI-Nachweis erforderliche Dokumentationsstruktur.
Sanktionen und Geschäftsleiterhaftung nach Einrichtungstyp
Die Bußgeldrahmen unterscheiden sich zwischen bwE und wE spürbar — weniger bekannt ist, dass die persönliche Haftung der Geschäftsleitung in beiden Kategorien vollständig gilt. Details zu den Bußgeldtatbeständen finden Sie in unserem Artikel zu den NIS2-Bußgeldern.
| Sanktionsrahmen | Besonders wichtige Einrichtung (bwE) | Wichtige Einrichtung (wE) |
|---|---|---|
| Maximales Bußgeld | 10 Mio. € oder 2 % des weltweiten Jahresumsatzes | 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes |
| Maßgebliche Schwelle | Der höhere Betrag gilt; Prozentsatz greift ab ca. 500 Mio. € Umsatz | Der höhere Betrag gilt; Prozentsatz greift ab ca. 500 Mio. € Umsatz |
| Bußgeld-Auslöser | Verstöße gegen §§30, 32, 38 BSIG (Risikomanagement, Meldepflichten, Leitungsverantwortung) | Dieselben Tatbestände |
| Persönliche Haftung Leitungsorgan | Ja (§38 Abs. 1 BSIG) | Ja (§38 Abs. 1 BSIG) |
Was §38 BSIG für Geschäftsführer konkret bedeutet
§38 Abs. 1 BSIG stellt klar: Die Verantwortung für die Umsetzung und Überwachung der Risikomanagementmaßnahmen verbleibt persönlich beim Leitungsorgan — unabhängig davon, ob einzelne Aufgaben delegiert wurden. Das gilt für GmbH-Geschäftsführer, Vorstände von AGs und SEs sowie Führungskräfte mit tatsächlicher Entscheidungsgewalt über Cybersicherheitsmaßnahmen.
Bußgelder können gegen die Organisation und gegen die verantwortliche Führungsperson parallel verhängt werden. Zusätzlich besteht zivilrechtliche Haftung: Führungskräfte haften bei nachgewiesener mangelnder Sorgfalt bis ins Privatvermögen — das Unternehmen darf die Bußgelder nicht erstatten. Diese zivilrechtliche Dimension gilt in bwE und wE gleichermaßen, wird bei bwE jedoch häufiger relevant, weil das BSI dort proaktiv prüft und Versäumnisse früher dokumentiert.
Wirksamer Schutz entsteht durch Dokumentation: schriftliche Governance-Entscheidungen der Leitungsebene, regelmäßige Risikoanalysen mit Protokoll, Nachweise über Schulungsteilnahme und ein nachvollziehbarer Eskalationsweg für Sicherheitsvorfälle.
Was für bwE und wE gleich gilt: die gemeinsamen Pflichten
Ein verbreitetes Missverständnis in Compliance-Projekten: „Wir sind nur wE, also haben wir weniger Pflichten.“ Das stimmt für die Aufsichtsintensität — nicht aber für die inhaltlichen Anforderungen. Die zehn Maßnahmenkategorien aus Artikel 21 NIS2-Richtlinie und §30 BSIG gelten für beide Kategorien vollständig.
Risikomanagement nach §30 BSIG. Zehn Maßnahmenkategorien sind Pflicht — darunter Risikoanalyse, Vorfallbewältigung, Business Continuity, Lieferkettensicherheit, Kryptografie, Multi-Faktor-Authentifizierung sowie Schulung von Mitarbeitenden. Details finden Sie in unserem Leitfaden zu den NIS2-Anforderungen nach Artikel 21. Die Umsetzungstiefe darf risikoproportional sein — die Pflicht selbst besteht in beiden Kategorien vollständig.
Meldepflichten. Erhebliche Sicherheitsvorfälle sind von bwE und wE gleichermaßen zu melden: 24-Stunden-Erstmeldung, 72-Stunden-Folgebericht, 30-Tage-Abschlussbericht. Das BSI ist zuständige Meldestelle. Eine fehlende oder verspätete Meldung ist für beide Kategorien ein direkter Bußgeldtatbestand.
Registrierung. Beide Kategorien mussten sich bis zum 6. März 2026 über das BSI-Portal registrieren (zweistufiger Prozess: zunächst Mein Unternehmenskonto, anschließend BSI-Portal). Wer die Frist verpasst hat, muss unverzüglich nachregistrieren — Bußgelder für fehlende Registrierung beginnen bei 500.000 €.
| Pflicht | bwE | wE |
|---|---|---|
| Risikomanagement §30 BSIG (10 Kategorien) | Ja — vollständig | Ja — vollständig |
| Meldepflichten (24h / 72h / 30d) | Ja | Ja |
| BSI-Registrierung innerhalb 3 Monate | Ja | Ja |
| Geschäftsleiterhaftung §38 BSIG | Ja | Ja |
| Proaktiver Nachweis §39 BSIG | Alle 3 Jahre (bis Dez. 2028) | Nur auf BSI-Anforderung |
| Aufsichtsintensität BSI | Ex-ante (proaktiv) | Ex-post (reaktiv) |
| Maximales Bußgeld | 10 Mio. € / 2 % | 7 Mio. € / 1,4 % |
Praktischer Fahrplan: Was jetzt zu tun ist
Die eigene Einordnung zu kennen ist der erste Schritt — die richtigen Konsequenzen zu ziehen, der zweite. Nachfolgend eine rollenspezifische Übersicht der wichtigsten nächsten Schritte.
| Rolle | Priorität | Konkrete Schritte |
|---|---|---|
| Geschäftsleitung (GmbH / AG / SE) | Hoch | Kategorie nach §28 BSIG durch CISO oder Berater bestätigen lassen; Governance-Entscheidung zur Cybersecurity schriftlich protokollieren (§38-Schutz); für bwE: Zeitplan für 3-Jahres-Nachweis bis Dezember 2028 festlegen. |
| CISO / IT-Sicherheitsverantwortliche | Hoch | BSI-Betroffenheitsprüfungstool nutzen; Gap-Analyse gegen §30 BSIG (10 Kategorien); bei bwE auditfähige Dokumentation aufbauen: ISMS, Penetrationstestergebnisse, Schulungsnachweise. |
| Compliance Officer / Rechtsabteilung | Mittel | Konzernsachverhalt prüfen (Konzernklausel); Meldewege für erhebliche Vorfälle festlegen (24h-Frist); BSI-Registrierung verifizieren; Lieferantenverträge auf NIS2-Klauseln überprüfen. |
| KMU-Inhaber / nicht-technische Führungskräfte | Mittel | Sektorzugehörigkeit und Mitarbeiterzahl gegen Schwellenwerte prüfen; bei Unsicherheit BSI-Tool oder Fachberater hinzuziehen; Registrierung nachholen, falls noch ausstehend. |
Für die methodische Umsetzung der Risikoanalyse nach §30 BSIG bietet unser Artikel zur NIS2-Risikoanalyse praxisnahe Unterstützung.
Häufige Fragen
Was ist der wichtigste praktische Unterschied zwischen bwE und wE?
Das BSI prüft besonders wichtige Einrichtungen proaktiv — unabhängig von Vorfällen, mindestens alle drei Jahre. Bei wichtigen Einrichtungen wird das BSI nur reaktiv tätig, wenn ein Vorfall gemeldet wird oder konkrete Hinweise auf Verstöße vorliegen. Die inhaltlichen Anforderungen — Risikomanagement, Meldepflichten, Registrierung — sind für beide Kategorien identisch.
Warum heißt es im EU-Recht „wesentlich“, im deutschen Gesetz aber „besonders wichtig“?
Die EU-Richtlinie (EU) 2022/2555 nutzt in ihrer deutschen Fassung den Begriff „wesentliche Einrichtungen“ als Übersetzung von „essential entities“. Das nationale Umsetzungsgesetz NIS2UmsuCG und das überarbeitete BSIG haben sich für „besonders wichtige Einrichtungen“ entschieden, um sich terminologisch abzuheben. Inhaltlich bezeichnen beide Begriffe dieselbe Kategorie.
Gilt die Geschäftsleiterhaftung nach §38 BSIG nur für besonders wichtige Einrichtungen?
Nein. §38 Abs. 1 BSIG gilt für Leitungsorgane beider Kategorien. Die persönliche Verantwortung für die Umsetzung der Risikomanagementmaßnahmen kann nicht vollständig delegiert werden — weder in bwE noch in wE. Der praktische Unterschied: Das BSI prüft bei bwE häufiger und deckt Versäumnisse früher auf.
Was ist die Konzernklausel und warum ist sie wichtig?
Die Konzernklausel besagt, dass für die Größenschwelle nicht die Einzelgesellschaft, sondern die Unternehmensgruppe als Ganzes betrachtet wird. Eine Tochtergesellschaft mit 30 Mitarbeitenden, die zu einem Konzern mit 800 Beschäftigten gehört, wird regulatorisch als Großunternehmen behandelt — und kann damit als bwE eingestuft sein. Für Konzerne ist eine gruppenweite NIS2-Betroffenheitsanalyse daher unerlässlich.
Dieser Artikel stellt allgemeine Informationen bereit und ist kein Rechts- oder Beratungsersatz. Die Anforderungen können je nach Rechtsgebiet und Organisationstyp variieren. Konsultieren Sie für Ihren spezifischen Fall einen qualifizierten Rechtsanwalt oder Compliance-Spezialisten.
Quellen
- NIS2-Richtlinie (EU) 2022/2555 — EUR-Lex (Deutsche Fassung), Artikel 3, 32, 33
- Allgemeine FAQ zu NIS-2 — BSI
- NIS-2-Pflichten für regulierte Unternehmen — BSI
- Das NIS2-Umsetzungsgesetz NIS2UmsuCG — OpenKRITIS (openkritis.de)
- Bußgelder und Sanktionen in NIS2 — OpenKRITIS (openkritis.de)
- NIS2: Wer ist betroffen? — Secjur (secjur.com)
- NIS2 Haftung: Folgen für Unternehmen — Axians Secure (axians-secure.de)
- NIS2-Gesetz in Deutschland ist in Kraft — Proliance AI (proliance.ai)
