Besonders wichtige und wichtige Einrichtungen
Besonders wichtige und wichtige Einrichtungen sind die beiden zentralen Einrichtungskategorien der NIS2-Richtlinie, an die sich der Umfang der Cybersicherheitspflichten sowie die Intensität der staatlichen Aufsicht und Durchsetzung knüpfen.
Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) unterscheidet zwischen "besonders wichtigen Einrichtungen" (essential entities) und "wichtigen Einrichtungen" (important entities). Diese Einstufung bestimmt maßgeblich, in welchem Umfang eine Organisation den Cybersicherheitspflichten unterliegt und wie streng die zuständige Behörde die Einhaltung beaufsichtigt und durchsetzt. Die Zuordnung erfolgt anhand der Kombination aus Sektorzugehörigkeit (Anhang I oder II der Richtlinie), Unternehmensgröße und besonderer Kritikalität der Einrichtung. In Deutschland wird die Richtlinie durch das NIS2-Umsetzungsgesetz und die entsprechenden Änderungen des BSI-Gesetzes in nationales Recht überführt.
Als besonders wichtige Einrichtungen gelten in der Regel große Unternehmen (mindestens 250 Beschäftigte oder mehr als 50 Mio. Euro Jahresumsatz und über 43 Mio. Euro Bilanzsumme) aus den Sektoren mit hoher Kritikalität nach Anhang I, etwa Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, digitale Infrastruktur und IKT-Dienstleistungsmanagement. Hinzu kommen unabhängig von der Größe bestimmte Einrichtungen wie qualifizierte Vertrauensdiensteanbieter, Betreiber kritischer Anlagen oder Einrichtungen der zentralen Bundesverwaltung. Wichtige Einrichtungen sind demgegenüber typischerweise mittlere Unternehmen (mindestens 50 Beschäftigte oder über 10 Mio. Euro Umsatz und Bilanzsumme) der Anhang-I-Sektoren sowie Einrichtungen aus den sonstigen kritischen Sektoren nach Anhang II, etwa Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe und Anbieter digitaler Dienste.
Materiell gelten für beide Kategorien dieselben Risikomanagementmaßnahmen nach Art. 21 NIS2 und dieselben Melde- und Registrierungspflichten; der wesentliche Unterschied liegt in der Aufsicht und Durchsetzung. Besonders wichtige Einrichtungen unterliegen einer proaktiven, ex-ante-Aufsicht mit regelmäßigen Prüfungen, Vor-Ort-Kontrollen und Sicherheitsaudits, während wichtige Einrichtungen grundsätzlich nur anlassbezogen, also reaktiv (ex post), kontrolliert werden, wenn Hinweise auf einen Verstoß vorliegen. Auch der Bußgeldrahmen ist unterschiedlich ausgestaltet: für besonders wichtige Einrichtungen sind Geldbußen von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes vorgesehen, für wichtige Einrichtungen bis zu 7 Mio. Euro oder 1,4 % des Umsatzes. Die korrekte Selbsteinstufung ist daher ein entscheidender erster Schritt, um den eigenen Pflichtenumfang zu bestimmen.
Rechtliche Grundlage
Art. 3, Art. 21, Art. 23 und Art. 32 ff. NIS2-Richtlinie (EU) 2022/2555; NIS2-Umsetzungsgesetz (BSIG n.F.)
Praxisbeispiel
Ein mittelständischer Maschinenbauer mit 600 Beschäftigten und 120 Mio. Euro Jahresumsatz prüft seine NIS2-Betroffenheit. Da das verarbeitende Gewerbe (Herstellung von Maschinen) zu den sonstigen kritischen Sektoren nach Anhang II zählt, wird das Unternehmen trotz seiner Größe als "wichtige Einrichtung" eingestuft und nicht als besonders wichtige. Der Informationssicherheitsbeauftragte dokumentiert die Einstufung samt Begründung, registriert das Unternehmen fristgerecht bei der zuständigen Behörde und richtet die Risikomanagementmaßnahmen nach Art. 21 ein. Gleichzeitig hält er fest, dass die Aufsicht voraussichtlich reaktiv erfolgt, plant aber dennoch ein internes Audit ein, um im Anlassfall die Konformität belegen zu können.
Häufige Fragen
So unterstützt preeco Sie
Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.
Mehr erfahren