Wichtige Einrichtung (NIS2)
Mittelstand in 18 NIS2-Sektoren — Pflichten ab 06.12.2025
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.
TL;DR
Eine wichtige Einrichtung nach Art. 3 NIS2-RL bzw. § 28 BSIG ist ein mittleres Unternehmen (50-249 MA, 10-50 Mio. EUR Jahresumsatz) in einem der 18 NIS2-Sektoren (Anhang I + II), das nicht als wesentliche Einrichtung gilt. Sie unterliegen den gleichen Risikomanagement-Pflichten nach § 30 BSIG, aber niedrigeren Sanktionen.
Was ist Wichtige Einrichtung (NIS2)?
Drei Kategorien nach NIS2/BSIG:
- Wesentlich: ≥250 MA in 11 Hochkritikalitäts-Sektoren — Bußgeld bis 10 Mio. EUR / 2 %
- Wichtig: 50-249 MA in 18 Sektoren — Bußgeld bis 7 Mio. EUR / 1,4 %
- Besonders wichtig (KRITIS): unabhängig von Größe — zusätzliche BSIG-Pflichten
Wichtige Einrichtungen müssen alle § 30 BSIG-Pflichten erfüllen, werden aber risikobasiert weniger streng beaufsichtigt als wesentliche.
Praxisbeispiel
Typische wichtige Einrichtungen:
- Mittlere Maschinenbauer (50-249 MA, Sektor Verarbeitende Industrie)
- Regional-Banken / Volksbanken (Bankwesen)
- IT-Dienstleister (Sektor Digitale Infrastruktur)
- Regional-Logistik-Unternehmen (Verkehr)
- Mittelstand-Kliniken (Gesundheit)
Häufig gestellte Fragen
Wie unterscheide ich wichtig vs. wesentlich?
Größe + Sektor: ≥250 MA in 11 Hochkritikalitäts-Sektoren = wesentlich; 50-249 MA in 18 Sektoren = wichtig.
Hat 'wichtig' weniger Pflichten?
Pflichten gleich (§ 30 BSIG für alle). Unterschiede: niedrigere Sanktionen-Maxima, weniger Aufsichts-Priorität durch BSI.
Wie wird die Mitarbeiterzahl gezählt?
Konzernweit nach § 28 Abs. 4 BSIG. Konsequenz: viele Tochter-GmbHs sind 'wichtige Einrichtungen', auch wenn isoliert <50 MA.