Zum Inhalt gehen
NIS2

Unterschied zwischen wesentlichen und wichtigen Unternehmen in der NIS2

·
8 Minuten Lesezeit
HR auf der einen Seite, IT auf der anderen?
Verwalten Sie Geräte, Lizenzen und Sicherheit an einem Ort. Synchronisiert mit den Ein- und Austritten Ihres Teams. Entdecken Sie Factorial IT
Verfasst von

Die NIS2-Richtlinie, die im deutschen Markt durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) umgesetzt wird, markiert einen Wendepunkt bei den Cybersicherheitspflichten für Tausende von Organisationen. Obwohl alle betroffenen Unternehmen ein hohes Schutzniveau und einheitliche, vom Bundesamt für Sicherheit in der Informationstechnik (BSI) überwachte Maßnahmen einhalten müssen, führt die Richtlinie eine wichtige Unterscheidung zwischen wesentlichen und wichtigen Einrichtungen ein.

Diese Einstufung betrifft weniger die technischen Maßnahmen der digitalen Hygiene, sondern wirkt sich direkt auf die Intensität der staatlichen Aufsicht und die rechtliche Verantwortung der Geschäftsführung aus. Das Verständnis dieses Unterschieds ist von entscheidender Bedeutung, um dem deutschen Rechtsrahmen zuvorzukommen, Risiken zu bewerten und Sanktionen zu vermeiden, die nun auch die persönliche Haftung von Führungskräften umfassen.

Wichtige Fakten

  • Die NIS2-Richtlinie unterscheidet zwischen „besonders wichtigen“ (ehemals wesentlichen) und „wichtigen“ Einrichtungen. Das wirkt sich primär auf die Intensität der staatlichen Aufsicht und die Höhe der Bußgelder aus.
  • In Deutschland sind laut Schätzungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) rund 30.000 Unternehmen von der NIS2-Regulierung betroffen.
  • Eine zentrale Herausforderung ist die fristgerechte Registrierung. Bis März 2026 haben sich laut BSI erst rund 11.500 der betroffenen Unternehmen im offiziellen Portal angemeldet, wie it-daily.net berichtet.
  • Die Geschäftsführung haftet persönlich für die Umsetzung der Cybersicherheitsmaßnahmen, wobei Bußgelder für besonders wichtige Einrichtungen laut proofpoint.com bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes erreichen können.

Was ist die NIS2-Richtlinie und warum gibt es eine Einstufung?

Die NIS2-Richtlinie ist die Verordnung der Europäischen Union, die darauf abzielt, das Cybersicherheitsniveau auf dem gesamten Kontinent zu erhöhen. In Deutschland wird diese Richtlinie durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht überführt. Das verleiht dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erweiterte Aufsichts- und Kontrollbefugnisse. Ihr Ziel ist es, Organisationen, die grundlegende Dienstleistungen für das Funktionieren des Staates, der Wirtschaft und der deutschen Gesellschaft erbringen, gegen hybride Bedrohungen und raffinierte Cyberangriffe abzusichern, so die IHK München.

Um diese Pflichten wirksam und verhältnismäßig anzuwenden, stuft die deutsche Gesetzgebung Organisationen nach ihrem Grad der Kritikalität und potenziellen Auswirkungen ein. Der Gesetzgeber versteht, dass das Risiko einer Unterbrechung der Energieversorgung oder des Finanzsystems schwerwiegendere systemische Folgen für die nationale Stabilität hat als in anderen Industriesektoren.

Daher unterscheidet das NIS2UmsuCG zwischen besonders wichtigen Einrichtungen (der deutsche Begriff für „wesentliche Einrichtungen“ gemäß EU-Richtlinie) und wichtigen Einrichtungen. Wie das BSI klarstellt, ist „besonders wichtig“ die offizielle Bezeichnung im deutschen Gesetz.

Wann gilt ein Unternehmen als „besonders wichtig“?

Im Rahmen der deutschen Gesetzgebung ist eine besonders wichtige Einrichtung eine Organisation, die in Sektoren mit „hoher Kritikalität“ tätig ist. Ein Ausfall ihrer Dienste könnte erhebliche Auswirkungen auf die Grundversorgung, die öffentliche Sicherheit oder die wirtschaftliche Stabilität Deutschlands haben.

Damit ein Unternehmen in Deutschland nach dem NIS2UmsuCG als besonders wichtig gilt, muss es die folgenden Kriterien erfüllen:

1. Tätigkeit in einem Sektor mit „hoher Kritikalität“

Diese Sektoren sind in Anlage 1 des NIS2UmsuCG definiert und umfassen die traditionell vom BSI überwachten kritischen Infrastrukturen (KRITIS). Sie wurden jedoch erweitert:

  • Energie: Strom, Fernwärme und -kälte, Erdöl, Erdgas und Wasserstoff.
  • Verkehr: Luftfahrt, Schienenverkehr, Schifffahrt und Straßenverkehr.
  • Bankwesen: Kreditinstitute.
  • Finanzmarktinfrastrukturen: Betreiber von Handelsplätzen und zentrale Gegenparteien.
  • Gesundheitswesen: Gesundheitsdienstleister, Labore, pharmazeutische Forschung und Arzneimittelhersteller.
  • Trinkwasser: Versorger und Verteiler.
  • Abwasser: Unternehmen der Sammlung, Entsorgung oder Behandlung.
  • Digitale Infrastruktur: Cloud-Computing-Dienstleister, Rechenzentren, Telekommunikationsnetze, DNS-Diensteanbieter und TLD-Namenregister.
  • Verwaltung von IKT-Diensten: IT-Dienstleister, die als Managed Service Provider (MSP) und Managed Security Service Provider (MSSP) im B2B-Umfeld agieren.
  • Öffentliche Verwaltung: Einrichtungen der zentralen und regionalen Verwaltung (Bund und Länder).
  • Weltraum: Betreiber von Bodeninfrastrukturen zur Unterstützung von weltraumgestützten Diensten.

2. Unternehmensgröße

Generell gilt ein Unternehmen in diesen Sektoren als besonders wichtig, wenn es einen der folgenden Schwellenwerte erfüllt:

  • Mehr als 250 Beschäftigte oder
  • einen Jahresumsatz von über 50 Millionen Euro oder eine Jahresbilanzsumme von über 43 Millionen Euro.

3. Tätigkeit in der Europäischen Union

Das Unternehmen muss in der EU niedergelassen sein. In Deutschland betrifft das Gesetz jedoch auch Organisationen mit Sitz außerhalb der Union, wenn sie kritische Infrastrukturen betreiben oder wesentliche Dienste innerhalb des deutschen Hoheitsgebiets erbringen.

Wann gilt ein Unternehmen als „wichtig“?

Eine wichtige Einrichtung ist eine Organisation, die in für die deutsche Gesellschaft und Wirtschaft kritischen Sektoren tätig ist, deren Ausfall jedoch geringere Auswirkungen hätte als der von besonders wichtigen Einrichtungen. Diese Unternehmen unterliegen nach dem NIS2UmsuCG weiterhin strengen Cybersicherheitspflichten, haben jedoch ein anderes Aufsichtsregime: Es ist reaktiv (ex-post) statt proaktiv. Das bedeutet, dass das BSI in der Regel nur einschreitet, wenn es Anhaltspunkte für Verstöße gibt oder nach einem Vorfall.

Damit eine Organisation in Deutschland als wichtig gilt, muss sie die folgenden Kriterien erfüllen:

1. Tätigkeit in einem Sektor mit „hoher Kritikalität“ oder „sonstigen kritischen Sektoren“

Eine Organisation fällt in zwei Hauptfällen in diese Kategorie:

  • Sektoren mit hoher Kritikalität: Wenn sie in einem der oben genannten Sektoren (wie Energie oder Gesundheit) tätig ist, aber die Größe eines mittelständischen Unternehmens hat.
  • Sonstige kritische Sektoren: Wenn sie in den unten aufgeführten Sektoren tätig ist, unabhängig davon, ob sie mittelständisch oder groß ist:
    • Post- und Kurierdienste.
    • Abfallbewirtschaftung.
    • Chemieindustrie: Herstellung, Produktion und Vertrieb.
    • Lebensmittel: Produktion, Verarbeitung und Großvertrieb.
    • Verarbeitendes Gewerbe (Herstellung): Das ist ein zentraler Punkt für den deutschen Mittelstand. Dazu gehört die Herstellung von Medizinprodukten, Datenverarbeitungsgeräten, Elektronik, Maschinenbau, Kraftwagen und sonstigen Fahrzeugen.
    • Digitale Anbieter: Online-Marktplätze, Suchmaschinen und Plattformen für soziale Netzwerke.
    • Forschung: Finanzierte oder staatlich anerkannte Forschungseinrichtungen und -organisationen.

2. Unternehmensgröße

In der Regel gelten nach deutschem Recht diejenigen als wichtige Einrichtungen, die die europäischen Schwellenwerte für mittlere Unternehmen erfüllen:

  • Zwischen 50 und 249 Beschäftigte oder
  • einen Jahresumsatz oder eine Jahresbilanzsumme zwischen 10 und 50 Millionen Euro.

3. Tätigkeit in der Europäischen Union

Wie bei den besonders wichtigen Einrichtungen betrifft dieser Rechtsrahmen jede Organisation, deren Tätigkeit sich auf den deutschen Markt auswirkt. Ausländische Unternehmen, die digitale Dienste oder Infrastrukturen für Nutzende innerhalb Deutschlands bereitstellen, sind verpflichtet, eine gesetzliche Vertretung in einem EU-Mitgliedstaat zu benennen, um als direkte Ansprechperson für Behörden wie das BSI zu fungieren.

Was sind die Hauptunterschiede zwischen „besonders wichtigen“ und „wichtigen“ Einrichtungen?

Die Unterscheidung zwischen diesen beiden Kategorien ist der zentrale Dreh- und Angelpunkt der Umsetzung von NIS2 im deutschen Markt. Es ist wichtig zu verstehen, dass, obwohl beide Kategorien die gleichen Risikomanagementmaßnahmen (technische und organisatorische Maßnahmen) einhalten müssen, die „Intensität“ der Überwachung durch das BSI und die Strenge der Sanktionen erheblich variieren.

Merkmal Besonders wichtige Einrichtung Wichtige Einrichtung
Erfasste Sektoren Ausschließlich Sektoren mit hoher Kritikalität (Anlage 1 NIS2UmsuCG).

 

 Sektoren mit hoher Kritikalität (Anhanglage 1) und sonstige kritische Sektoren (Anhanglage 2).

 
Größenkriterium Großunternehmen (>250 Beschäftigte oder >50 Mio. € Umsatz / >43 Mio. € Bilanz) und alle KRITIS-Betreiber, unabhängig von der Größe.

 

 Mittlere Unternehmen (50-249 Beschäftigte oder 10-50 Mio. € Umsatz / 10-43 Mio. € Bilanz) in Sektoren nach Anlage 1 oder mittlere/große Unternehmen in Sektoren nach Anhanglage 2.

 
Aufsicht (BSI) Proaktiv und reaktiv: Das BSI führt regelmäßig von Amts wegen Audits und Prüfungen durch.

 

 Nur reaktiv: Das BSI prüft nur nach einem Vorfall oder bei begründetem Verdacht auf Verstöße.

 
Maximale Bußgelder Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.

 

 Bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes.

 
Haftung Direkte und persönliche Haftung der Geschäftsleitung (Geschäftsführerhaftung).

 

 Direkte und persönliche Haftung der Geschäftsleitung (Geschäftsführerhaftung).

 

Gemeinsame Pflichten für beide Einstufungen

Unabhängig davon, ob ein Unternehmen als besonders wichtig oder wichtig eingestuft wird, fordert die Gesetzgebung in Deutschland ein hohes und einheitliches Schutzniveau nach dem sogenannten „Stand der Technik“. Alle betroffenen Organisationen müssen technische, operative und organisatorische Maßnahmen ergreifen, um Cybersicherheitsrisiken unter der Aufsicht des BSI zu steuern.

Diese Pflichten gliedern sich in drei große Blöcke:

1. Grundlegende Risikomanagementmaßnahmen

Ein nach ISO 27001 zertifiziertes Informationssicherheits-Managementsystem (ISMS) kann eine solide Grundlage schaffen, da es laut secjur.com bereits 70-80 % der technischen und organisatorischen Anforderungen von NIS2 abdeckt. Unabhängig davon fordert das Gesetz explizit die folgenden zehn Maßnahmen:

  • Risikoanalyse und Sicherheitspolitik: Formelle Dokumentation, wie Bedrohungen identifiziert, bewertet und gesteuert werden.
  • Bewältigung von Sicherheitsvorfällen (Vorfallmanagement): Klare Protokolle zur Erkennung, Reaktion und sofortigen Wiederherstellung nach einem Cyberangriff.
  • Betriebskontinuität (Betriebskontinuitätsmanagement): Backup-Pläne, Notfallwiederherstellung (Wiederanlaufplanung) und Krisenmanagement zur Minimierung von Ausfallzeiten.
  • Sicherheit in der Lieferkette (Lieferkettensicherheit): Bewertung und Auditierung der Cybersicherheit von Zuliefer- und Technologiepartnernunternehmen (ein besonderer Schwerpunkt für deutsche Unternehmen).
  • Sicherheit in der Beschaffung und Entwicklung: Sicherstellung, dass IT-Systeme und Anwendungen „by Design“ und „by Default“ sicher sind.
  • Bewertung der Wirksamkeit: Durchführung von Audits, Penetrationstests und regelmäßigen Kontrollen zur Überprüfung der Wirksamkeit der technischen Maßnahmen.
  • Cyberhygiene und Schulung: Verpflichtende Schulungen zur digitalen Sicherheit für alle Mitarbeitenden, mit besonderem Fokus auf die Sensibilisierung für Phishing und soziale Manipulation (Social Engineering).
  • Kryptografie und Verschlüsselung: Verpflichtende Nutzung starker kryptografischer Verfahren zum Schutz der Integrität und Vertraulichkeit sensibler Daten.
  • Sicherheit des Personals: Richtlinien zur Zugangskontrolle, Identitätsmanagement und strikte Anwendung des „Need-to-know-Prinzips“ (Prinzip der geringsten Privilegien).
  • Mehrfaktor-Authentisierung: Implementierung von Zwei-Faktor-Verifizierungslösungen und sicheren, verschlüsselten Kommunikationskanälen.

2. Meldepflicht für Sicherheitsvorfälle beim BSI

Beide Einrichtungstypen müssen eine Registrierung beim BSI über das „Mein Unternehmenskonto“ (MUK) vornehmen. Nach der Registrierung müssen erhebliche Sicherheitsvorfälle fristgerecht gemeldet werden, um Sanktionen zu vermeiden, wie die IHK München erläutert.

Für beide Einstufungen gilt die gleiche Pflicht, das Bundesamt für Sicherheit in der Informationstechnik (BSI) über jeden erheblichen Sicherheitsvorfall zu informieren. Die Nichteinhaltung dieser Fristen kann zu sofortigen Sanktionen führen:

  • Frühwarnung (24 Stunden): Obligatorische Erstmeldung, in der angegeben wird, ob es sich um einen schwerwiegenden Vorfall handelt oder ob rechtswidrige Handlungen vermutet werden.
  • Meldung des Vorfalls (72 Stunden): Aktualisierung der Informationen mit einer ersten Einschätzung des Schweregrads und der festgestellten Auswirkungen.
  • Abschlussbericht (1 Monat): Detaillierte technische Beschreibung, Analyse der Ursache (Ursachenanalyse) und der ergriffenen Korrekturmaßnahmen, um eine Wiederholung des Vorfalls zu verhindern.

3. Haftung der Geschäftsleitung (Geschäftsführerhaftung)

Im deutschen Markt ist dies einer der kritischsten Punkte. Die Leitungsorgane (Geschäftsführung und Vorstand) müssen die Cybersicherheitsmaßnahmen nicht nur billigen, sondern aktiv deren Umsetzung überwachen.

Nach deutschem Recht sind Leitungsorgane direkt verantwortlich und können bei nachgewiesener Fahrlässigkeit bei der Umsetzung dieser Maßnahmen persönlich haftbar gemacht werden. Dies gilt für beide Einrichtungskategorien. Darüber hinaus sind sie gesetzlich verpflichtet, regelmäßig an speziellen Cybersicherheitsschulungen teilzunehmen und diese nachzuweisen.

Wie können Unternehmen ihre NIS2-Einstufung prüfen?

Um die eigene Betroffenheit und die korrekte Einstufung als „besonders wichtige“ oder „wichtige“ Einrichtung festzustellen, sollten Unternehmen einen systematischen Prozess verfolgen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt hierfür eine offizielle, wenn auch unverbindliche, NIS2-Betroffenheitsprüfung als Online-Tool bereit. Unabhängig vom Tool sind die entscheidenden Schritte:

  1. Sektoranalyse: Prüfen Sie, ob Ihre Haupttätigkeit in einem der Sektoren der Anlage 1 (hohe Kritikalität) oder Anlage 2 (sonstige kritische Sektoren) des NIS2UmsuCG aufgeführt ist, wie von der IHK empfohlen.
  2. Größenprüfung: Ermitteln Sie die Anzahl der Beschäftigten sowie den Jahresumsatz und die Jahresbilanzsumme für die letzten beiden Geschäftsjahre.
  3. Einstufung vornehmen: Gleichen Sie Ihre Sektor- und Größendaten mit den Kriterien in der obigen Tabelle ab, um festzustellen, ob Sie als „besonders wichtig“, „wichtig“ oder nicht betroffen gelten.

Die korrekte Einstufung ist entscheidend, da sie den Rahmen für die Aufsicht durch das BSI und die potenziellen Sanktionen vorgibt. Eine sorgfältige Dokumentation dieser internen Prüfung ist für den Nachweis gegenüber den Behörden unerlässlich.

FAQ

Was sind wichtige Einrichtungen?

Als „wichtige Einrichtungen“ gelten Unternehmen in kritischen Sektoren, die bestimmte Größenkriterien erfüllen, aber nicht als „wesentlich“ eingestuft werden. Dies betrifft mittlere Unternehmen (50-249 Beschäftigte oder 10-50 Mio. € Umsatz) in hochkritischen Sektoren sowie mittlere und große Unternehmen in sonstigen kritischen Sektoren.

Welche Unternehmen müssen NIS2 umsetzen?

Die NIS2-Richtlinie gilt für mittlere und große Unternehmen in festgelegten kritischen Sektoren wie Energie, Verkehr, Gesundheit und digitale Infrastruktur. Die Untergrenze liegt bei mindestens 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz, weshalb viele Organisationen des deutschen Mittelstands betroffen sind.

Wer muss sich bei NIS2 registrieren?

Während alle betroffenen Unternehmen Meldepflichten gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) haben, gilt eine spezielle Registrierungspflicht vor allem für bestimmte Einrichtungen. Dies betrifft insbesondere Organisationen aus dem Sektor der digitalen Infrastruktur, die in Deutschland tätig sind.

Ähnliche Beiträge