Wesentliche Einrichtungen
Wesentliche Einrichtungen sind Unternehmen und Organisationen aus hochkritischen Sektoren, die aufgrund ihrer Größe oder Funktion unter die NIS-2-Richtlinie fallen und strengeren Cybersicherheitsanforderungen sowie proaktiver behördlicher Aufsicht unterliegen.
Ausführliche Erklärung
Der Begriff der wesentlichen Einrichtungen ist zentral für die EU-weit geltende NIS-2-Richtlinie zur Netz- und Informationssicherheit. In Österreich wurde diese durch das NISG 2026 umgesetzt, in Deutschland durch das NIS2UmsuCG. Die Einstufung als wesentliche Einrichtung erfolgt nach zwei Kriterien: Erstens die Zugehörigkeit zu einem der hochkritischen Sektoren wie Energie, Verkehr, Bankwesen, Gesundheitswesen, Trinkwasser, digitale Infrastruktur oder öffentliche Verwaltung. Zweitens die Unternehmensgröße: Als groß gilt ein Unternehmen ab 250 Mitarbeitenden oder ab einem Jahresumsatz von über 50 Millionen Euro und gleichzeitig einer Jahresbilanzsumme von über 43 Millionen Euro. Bestimmte Einrichtungen gelten unabhängig von ihrer Größe als wesentlich, etwa qualifizierte Vertrauensdiensteanbieter oder Betreiber öffentlicher Kommunikationsnetze.
Für KMU-Entscheider:innen ist die Unterscheidung zwischen wesentlichen und wichtigen Einrichtungen von hoher praktischer Relevanz. Wesentliche Einrichtungen unterliegen einer proaktiven Aufsicht mit regelmäßigen Sicherheitsprüfungen, während wichtige Einrichtungen nur reaktiv überprüft werden. Die Geschäftsleitung trägt die persönliche Verantwortung für die Umsetzung der Cybersicherheitsmaßnahmen und muss an verpflichtenden Schulungen teilnehmen. Zudem müssen wesentliche Einrichtungen in Österreich binnen zwei Monaten nach behördlicher Aufforderung den Nachweis über organisatorisch-operative Maßnahmen erbringen.
Die Bußgeldrahmen unterscheiden sich ebenfalls deutlich: Wesentliche Einrichtungen können mit bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes sanktioniert werden, wichtige Einrichtungen mit maximal 7 Millionen Euro oder 1,4 Prozent des Umsatzes. Die Einstufung erfolgt nicht automatisch durch Behörden – Unternehmen müssen selbst prüfen, ob sie betroffen sind, und sich registrieren. Die Registrierungspflicht besteht in Österreich seit 1. Oktober 2026, in Deutschland seit Inkrafttreten des Umsetzungsgesetzes am 2. Dezember 2025.
Praxisbeispiel
Ein österreichischer Energieversorger mit 320 Mitarbeitenden und 85 Millionen Euro Jahresumsatz gilt als wesentliche Einrichtung nach NISG 2026. Das Unternehmen muss sich bis 31. Dezember 2026 registrieren, binnen 12 Monaten eine Selbstdeklaration zu den umgesetzten Risikomanagementmaßnahmen einreichen und die Geschäftsführung an verpflichtenden Cybersicherheitsschulungen teilnehmen lassen. Die Cybersicherheitsbehörde kann proaktive Vor-Ort-Inspektionen durchführen.
Quellen
- NISG 2026 – neue Pflichten zur Cybersicherheit für Unternehmen - WKO
- Österreich: NISG 2026 – Alles, was Sie wissen müssen - Schönherr Rechtsanwälte
- NIS2: Für wen gilt die Richtlinie? Sektoren & Kriterien [2026]
- Einrichtungen und Unternehmen in NIS2 – OpenKRITIS
- Die neue NIS-2-Richtlinie - Anlaufstelle NISG (Österreich)