Die NIS2-Richtlinie (EU 2022/2555) und das deutsche Umsetzungsgesetz NIS2UmsuCG teilen betroffene Organisationen in zwei Kategorien ein: wesentliche Einrichtungen und wichtige Einrichtungen. Diese Unterscheidung ist kein bürokratisches Detail – sie entscheidet darüber, wie intensiv Behörden prüfen, welche Bußgelder drohen und welcher Aufsichtsansatz gilt. Ob Ihr Unternehmen überhaupt unter die NIS2-Pflicht fällt, erläutert unsere Seite zum NIS2-Anwendungsbereich.
Wesentliche und wichtige Einrichtungen: Die Grundunterteilung
Die Einstufung hängt von zwei Faktoren ab: dem Sektor (Anhang I oder Anhang II der NIS2-Richtlinie) und der Unternehmensgröße.
Wesentliche Einrichtungen sind große Unternehmen (≥ 250 Mitarbeiter oder > 50 Mio. € Jahresumsatz und > 43 Mio. € Jahresbilanzsumme) in Anhang-I-Sektoren sowie bestimmte Einrichtungen unabhängig von der Größe – etwa Betreiber kritischer Anlagen (KRITIS), qualifizierte Vertrauensdiensteanbieter und Top-Level-Domain-Registries.
Wichtige Einrichtungen sind mittlere Unternehmen (≥ 50 Mitarbeiter oder > 10 Mio. € Umsatz) in Anhang-I-Sektoren sowie mittlere und große Unternehmen in Anhang-II-Sektoren.
Vereinfacht gilt: Wer in einem hochkritischen Sektor tätig ist und eine bestimmte Größe überschreitet, gilt als wesentliche Einrichtung – mit entsprechend strengeren Auflagen. Ein mittelgroßes Energieunternehmen (50–249 Mitarbeiter) zählt als wichtige, ein großes Energieunternehmen (≥ 250 Mitarbeiter) als wesentliche Einrichtung.
Sektorzuordnung nach Anhang I und Anhang II
Die Sektorzuordnung ist der erste Schritt zur Selbsteinschätzung. Anhang-I-Sektoren gelten als hochkritisch; Anhang-II-Sektoren als sonstige kritische Bereiche.
| Anhang I – Hochkritische Sektoren | Anhang II – Sonstige kritische Sektoren |
|---|---|
| Energie (Strom, Gas, Fernwärme, Öl, Wasserstoff) | Post- und Kurierdienste |
| Verkehr (Luft, Schiene, Wasser, Straße) | Abfallbewirtschaftung |
| Bankwesen | Chemische Stoffe |
| Finanzmarktinfrastruktur | Lebensmittelherstellung und -verarbeitung |
| Gesundheitswesen | Verarbeitendes Gewerbe (inkl. Medizinprodukte, Elektronik, Maschinenbau) |
| Trinkwasser | Digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke) |
| Abwasser | Forschungseinrichtungen |
| Digitale Infrastruktur (Cloud, Rechenzentren, CDN, TLD, DNS, TK) | |
| IKT-Dienstleistungsmanagement B2B (MSP, MSSP) | |
| Öffentliche Verwaltung | |
| Weltraum |
Hinweis: Große Unternehmen in Anhang-I-Sektoren sind wesentliche Einrichtungen; mittlere Unternehmen in Anhang-I-Sektoren sowie mittlere und große Unternehmen in Anhang-II-Sektoren gelten als wichtige Einrichtungen.
Aufsichtsregime: ex-ante vs. ex-post Prüfung
Der gravierendste praktische Unterschied zwischen beiden Kategorien liegt im Aufsichtsregime. Hier trennt NIS2 zwei grundlegend verschiedene Ansätze.
Wesentliche Einrichtungen – proaktive ex-ante-Aufsicht:
- Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kann anlassunabhängig prüfen – also ohne vorherigen Verdacht auf einen Verstoß.
- Regelmäßige Nachweise über die Umsetzung von Sicherheitsmaßnahmen können eingefordert werden.
- Zertifizierungen (z. B. nach ISO 27001) können verpflichtend vorgeschrieben werden.
- Das BSI kann jederzeit Audits, Sicherheitsscans und Vor-Ort-Inspektionen anordnen (§§ 62 ff. BSIG n. F.).
Wichtige Einrichtungen – reaktive ex-post-Aufsicht:
- Das BSI wird nur bei konkreten Hinweisen auf Verstöße aktiv – etwa nach einem gemeldeten Sicherheitsvorfall oder aufgrund von Beschwerden.
- Regelmäßige anlasslose Prüfungen sind nicht vorgesehen (§§ 60 ff. BSIG n. F.).
- Im Falle eines Vorfalls stehen dem BSI jedoch dieselben Aufsichtsbefugnisse zur Verfügung wie bei wesentlichen Einrichtungen.
In der Praxis bedeutet das: Wesentliche Einrichtungen müssen dauerhaft prüfbereit sein und ihre Compliance lückenlos dokumentieren. Wichtige Einrichtungen haben eine geringere Wahrscheinlichkeit für unangekündigte Prüfungen – das Risiko, nach einem Vorfall konfrontiert zu werden, ist jedoch identisch. Die Implementierungsanforderungen nach Artikel 21 NIS2 sind für beide Kategorien gleich.
Bußgeldrahmen: Was droht bei Verstößen?
NIS2 und NIS2UmsuCG sehen gestaffelte Bußgelder vor – abhängig davon, ob es sich um eine wesentliche oder wichtige Einrichtung handelt. Entscheidend ist dabei stets der höhere der beiden Beträge. Alle Details zu Sanktionen und Verstößen finden Sie in unserem Artikel zu den NIS2-Bußgeldern.
| Bußgeldkriterium | Wesentliche Einrichtung | Wichtige Einrichtung |
|---|---|---|
| Maximales Bußgeld (absolut) | 10.000.000 € | 7.000.000 € |
| Maximales Bußgeld (umsatzbezogen) | 2 % des weltweiten Jahresumsatzes | 1,4 % des weltweiten Jahresumsatzes |
| Es gilt der höhere Betrag | Ja | Ja |
Zur Einordnung: Bei einem Unternehmen mit 1 Milliarde Euro Jahresumsatz wäre das maximale Bußgeld für wesentliche Einrichtungen 20 Millionen Euro, für wichtige Einrichtungen 14 Millionen Euro. Für die meisten mittelständischen Unternehmen ist der absolute Maximalwert der relevante Bezugspunkt.
Die wichtigsten Unterschiede im Überblick
| Merkmal | Wesentliche Einrichtung | Wichtige Einrichtung |
|---|---|---|
| Relevanter Sektor | Anhang I (hochkritisch), große Unternehmen | Anhang I (mittel) oder Anhang II (mittel + groß) |
| Mindestschwelle (Anhang I) | ≥ 250 MA oder > 50 Mio. € Umsatz | ≥ 50 MA oder > 10 Mio. € Umsatz |
| Aufsichtsregime | Ex-ante (proaktiv, anlassunabhängig) | Ex-post (reaktiv, anlassbezogen) |
| Maximales Bußgeld (absolut) | 10.000.000 € | 7.000.000 € |
| Maximales Bußgeld (umsatzbezogen) | 2 % des Jahresumsatzes | 1,4 % des Jahresumsatzes |
| Registrierungspflicht beim BSI | Ja | Ja |
| Meldepflicht bei Vorfällen | Ja (24h / 72h / 1 Monat) | Ja (24h / 72h / 1 Monat) |
| Sicherheitspflichten (Art. 21 NIS2) | Identisch | Identisch |
Was bedeutet die Einstufung für Ihr Unternehmen?
Unabhängig von der Kategorie: Die Sicherheitspflichten nach Artikel 21 NIS2 sind für wesentliche und wichtige Einrichtungen identisch. Beide müssen ein Risikomanagementsystem etablieren, technische und organisatorische Maßnahmen umsetzen und Sicherheitsvorfälle melden.
Der Unterschied liegt in der Intensität der Überwachung und den möglichen Sanktionen. Wesentliche Einrichtungen sollten von Beginn an auf eine lückenlose Dokumentation und kontinuierliche Compliance-Nachweise setzen – nicht erst, wenn eine Prüfung angekündigt wird. Empfehlenswert ist eine interne Vorab-Einstufung, idealerweise kombiniert mit einem strukturierten Risikomanagementprozess.
Wenn Sie noch nicht sicher sind, welche Grundanforderungen für Ihr Unternehmen gelten, empfehlen wir unsere Einführung in die NIS2-Grundlagen als ersten Schritt.
Häufige Fragen
Kann sich die Einstufung ändern?
Ja. Wächst ein Unternehmen über die Schwellenwerte hinaus oder ändert sich sein Tätigkeitsbereich, kann eine Neueinstufung erforderlich werden. Die Selbstregistrierung beim BSI ist entsprechend zu aktualisieren.
Gelten die Sicherheitspflichten für beide Kategorien gleich?
Die Pflichten nach Artikel 21 NIS2 sind identisch. Unterschiede bestehen ausschließlich im Aufsichtsregime und bei den Bußgeldhöhen.
Was passiert, wenn ein Unternehmen die eigene Kategorie nicht kennt?
Unwissenheit schützt nicht vor Bußgeldern. Unternehmen sind verpflichtet, eigenständig zu prüfen, ob sie unter die NIS2-Pflicht fallen, und sich beim BSI zu registrieren.
Müssen wichtige Einrichtungen weniger investieren?
Nein. Die technischen und organisatorischen Anforderungen sind identisch. Der Unterschied besteht lediglich im Aufsichtsansatz und der Bußgeldhöhe.
Quellen
- Europäisches Parlament und Rat der EU. Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau (NIS2-Richtlinie). EUR-Lex, Dezember 2022.
- Bundesamt für Sicherheit in der Informationstechnik (BSI). NIS2 – Informationen für betroffene Unternehmen und Einrichtungen. BSI.bund.de.
- Bundesministerium der Justiz. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) in der Fassung des NIS2UmsuCG. Gesetze-im-Internet.de.
