Wichtige vs. Besonders wichtige Einrichtungen: Die Unterschiede erklärt

NIS-2 teilt betroffene Unternehmen in zwei Kategorien: “wichtige Einrichtungen” und “besonders wichtige Einrichtungen”. Das klingt nach Verwaltungsdeutsch, hat aber echte Konsequenzen. Dieser Artikel erklärt die Unterschiede – und warum sie für Sie relevant sind.

Wer fällt in welche Kategorie?

Die Einstufung hängt primär von der Größe ab.

Besonders wichtige Einrichtungen sind Unternehmen mit mindestens 250 Mitarbeitenden ODER mindestens 50 Millionen Euro Jahresumsatz UND 43 Millionen Euro Bilanzsumme. Bei den Finanzkennzahlen müssen beide Kriterien erfüllt sein, bei der Mitarbeiterzahl reicht eines.

Wichtige Einrichtungen sind Unternehmen mit mindestens 50 Mitarbeitenden ODER mindestens 10 Millionen Euro Jahresumsatz UND 10 Millionen Euro Bilanzsumme – die aber nicht bereits als “besonders wichtig” gelten.

Ein paar Beispiele zur Verdeutlichung: Ein Unternehmen mit 80 Mitarbeitenden und 8 Millionen Euro Umsatz ist “wichtig” – wegen der Mitarbeiterzahl. Eines mit 40 Mitarbeitenden, aber 15 Millionen Euro Umsatz und 12 Millionen Euro Bilanzsumme ist auch “wichtig” – wegen der Finanzkennzahlen. Eines mit 300 Mitarbeitenden und 30 Millionen Euro Umsatz ist “besonders wichtig” – die Mitarbeiterzahl entscheidet.

Es gibt auch Sonderfälle. Bestimmte Einrichtungen sind unabhängig von ihrer Größe “besonders wichtig”: qualifizierte Vertrauensdiensteanbieter, TLD-Namensregistrierungsstellen, DNS-Diensteanbieter, Anbieter öffentlicher elektronischer Kommunikationsnetze. Wenn ein Unternehmen der einzige Anbieter eines essenziellen Dienstes in einem Mitgliedstaat ist, kann es ebenfalls unabhängig von der Größe reguliert werden.

Achtung bei Konzernstrukturen: Bei der Größenberechnung werden verbundene Unternehmen berücksichtigt. Eine kleine Tochter eines Großkonzerns kann dadurch in die höhere Kategorie rutschen.

Der wichtigste Unterschied: Das Aufsichtsregime

Hier wird es praktisch relevant.

Wichtige Einrichtungen unterliegen einer reaktiven Aufsicht. Das BSI prüft nur bei konkretem Anlass – Beschwerden, Hinweise, Vorfälle. Im Normalfall haben Sie wenig Kontakt mit der Behörde.

Besonders wichtige Einrichtungen unterliegen einer proaktiven Aufsicht. Das BSI kann regelmäßig prüfen, auch ohne besonderen Anlass. Es kann jederzeit Nachweise anfordern. Die Überwachung ist enger.

Das bedeutet nicht, dass “wichtige” Einrichtungen unter dem Radar fliegen. Wenn etwas passiert, wird genauso geprüft. Aber im Alltag ist der Behördenkontakt weniger intensiv.

Der zweite große Unterschied: Bußgelder

Die Maximalstrafen sind unterschiedlich.

Wichtige Einrichtungen: Bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes – je nachdem, was höher ist.

Besonders wichtige Einrichtungen: Bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes – wieder der höhere Wert.

Ein Rechenbeispiel: Bei einem Unternehmen mit 400 Millionen Euro Jahresumsatz wäre das Maximum als “wichtige” Einrichtung 7 Millionen Euro (1,4 Prozent wären nur 5,6 Millionen). Als “besonders wichtige” Einrichtung wären es 8 Millionen Euro (2 Prozent von 400 Millionen).

Das sind Obergrenzen. Ob und wie hoch eine Strafe ausfällt, hängt vom konkreten Verstoß ab. Aber die Kategorie bestimmt den Rahmen.

Was überraschenderweise gleich ist: Die Pflichten

Hier kommt die Überraschung: Bei den Kernpflichten macht NIS-2 keinen Unterschied.

Registrierung beim BSI – für beide gleich. Meldepflichten bei Vorfällen mit den bekannten 24/72-Stunden-Fristen – für beide gleich. Die zehn Risikomanagementmaßnahmen – für beide gleich. Schulungspflicht für die Geschäftsleitung – für beide gleich.

Die Richtlinie sagt, die Maßnahmen müssen “verhältnismäßig” sein. Was für ein großes Unternehmen angemessen ist, kann für ein kleineres überdimensioniert sein. Aber die grundlegenden Anforderungen gelten für alle.

Das ist wichtig zu verstehen: “Wichtig” heißt nicht “weniger wichtig”. Es heißt nur “andere Aufsicht, niedrigere Maximalstrafe”. Die Compliance-Anforderungen sind dieselben.

Was bedeutet das für Sie?

Wenn Sie eine “wichtige” Einrichtung sind, könnten Sie versucht sein, sich zurückzulehnen. Weniger Aufsicht, niedrigere Strafen – klingt entspannter. Das ist ein Trugschluss.

Die Grundpflichten sind identisch. Reaktive Aufsicht heißt nicht keine Aufsicht. Wenn ein Vorfall passiert, wenn eine Beschwerde eingeht, wenn das BSI einen Hinweis bekommt – dann wird geprüft. Und dann müssen Sie nachweisen, dass Sie Ihre Pflichten erfüllt haben.

Wenn Sie eine “besonders wichtige” Einrichtung sind, müssen Sie audit-ready sein. Jederzeit. Prozesse so gestalten, dass Nachweise verfügbar sind. Dokumentation pflegen. Proaktive Kommunikation mit dem BSI pflegen. Das erfordert mehr Aufwand im Alltag, aber es ist auch eine Chance, Compliance zur Routine zu machen.

Die Einstufung kann sich ändern

Die Kategorisierung ist nicht in Stein gemeißelt.

Bei Wachstum über die Schwellenwerte wechseln Sie von “wichtig” zu “besonders wichtig”. Sie haben dann drei Monate Zeit für Anpassung und Neumeldung.

Wenn Sie schrumpfen und unter die höheren Schwellenwerte fallen, wechseln Sie von “besonders wichtig” zu “wichtig”. Auch das müssen Sie dem BSI melden.

Wenn Sie unter beide Schwellenwerte fallen, sind Sie nicht mehr betroffen. Abmeldung beim BSI.

Behalten Sie also Ihre Kennzahlen im Blick. Ein Unternehmen nahe an der Grenze sollte wissen, was passiert, wenn es drüber geht.

Der Punkt

Die Unterscheidung zwischen “wichtig” und “besonders wichtig” betrifft primär das Aufsichtsregime und die Bußgeldhöhe. Die Compliance-Anforderungen sind für beide Kategorien im Kern identisch.

Für die praktische Umsetzung heißt das: Unabhängig von Ihrer Einstufung müssen Sie die Mindestanforderungen erfüllen. Der Unterschied liegt darin, wie intensiv das BSI Sie dabei beobachtet – und wie teuer es wird, wenn etwas schiefgeht.

Am Ende sollte nicht die Kategorie Ihre Motivation sein. Cybersicherheit ist keine Behörden-Schikane, sondern Schutz für Ihr Unternehmen. Die NIS-2-Anforderungen machen auch für “nur wichtige” Einrichtungen Sinn. Ein Ransomware-Angriff fragt nicht nach Ihrer Einstufung.