Wesentliche Einrichtung (NIS2)
Hochregulierte Unternehmen nach Anhang I NIS2 / § 28 BSIG
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.
TL;DR
Eine wesentliche Einrichtung nach Art. 3 NIS2-RL bzw. § 28 BSIG ist ein Großunternehmen (≥250 MA oder ≥50 Mio. EUR Jahresumsatz) in einem der 11 Hochkritikalitäts-Sektoren nach Anhang I (Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, Digitale Infrastruktur, ICT-Service-Management, Öffentliche Verwaltung, Weltraum). Sie unterliegen verschärften Pflichten und Sanktionen.
Was ist Wesentliche Einrichtung (NIS2)?
Drei Kategorien nach NIS2 (umgesetzt in § 28 BSIG):
| Kategorie | Größe | Sektoren | Sanktionen-Maximum |
|---|---|---|---|
| Wesentlich | ≥250 MA / ≥50 Mio. EUR | 11 Anhang I-Sektoren | 10 Mio. EUR / 2 % Umsatz |
| Wichtig | 50-249 MA / 10-50 Mio. EUR | 18 Sektoren (Anhang I + II) | 7 Mio. EUR / 1,4 % Umsatz |
| Besonders wichtig (KRITIS) | unabhängig von Größe | KRITIS-Schwellenwerte | Zusatz-Pflichten BSIG |
Bestimmte Sektoren machen unabhängig von Größe wesentlich: TLD .de, DNS-Anbieter, Vertrauensdiensteanbieter, öffentliche Verwaltung mit kritischen Funktionen.
Praxisbeispiel
Typische wesentliche Einrichtungen:
- Stadtwerke (Energie + Wasser)
- Universitätsklinikum (Gesundheit, ≥250 MA)
- Großbanken + Volksbanken (Bankwesen, ≥250 MA)
- Großer Logistik-Konzern (Verkehr, ≥250 MA)
- Cloud-Provider (Digitale Infrastruktur)
Häufig gestellte Fragen
Wie unterscheide ich wesentlich vs. wichtig?
Wesentliche: ≥250 MA in 11 Hochkritikalitäts-Sektoren. Wichtige: 50-249 MA in 18 Sektoren. Sanktionen-Maxima unterscheiden sich (10 Mio. vs. 7 Mio.).
Sind Tochterunternehmen separat zu klassifizieren?
Konzernkonsolidierung gilt (§ 28 Abs. 4 BSIG). Mitarbeiter- und Umsatzschwellen können konzernweit erfüllt werden, sodass auch kleinere Töchter pflichtig werden.
Was sind die zusätzlichen Pflichten gegenüber wichtigen Einrichtungen?
Wesentliche Einrichtungen: vorrangige Aufsicht durch BSI, kürzere Reaktionsfristen, höhere Bußgelder, persönliche GF-Innenhaftung schneller relevant.