Wesentliche Einrichtungen
Wesentliche Einrichtungen sind Unternehmen und Organisationen aus hochkritischen Sektoren, die aufgrund ihrer Größe oder Funktion unter die NIS-2-Richtlinie fallen und strengeren Cybersicherheitsanforderungen sowie proaktiver behördlicher Aufsicht unterliegen.
Ausführliche Erklärung
Der Begriff der wesentlichen Einrichtungen ist zentral für die EU-weit geltende NIS-2-Richtlinie zur Netz- und Informationssicherheit. In Österreich wurde diese durch das NISG 2026 umgesetzt, in Deutschland durch das NIS2UmsuCG. Die Einstufung als wesentliche Einrichtung erfolgt nach zwei Kriterien: Erstens die Zugehörigkeit zu einem der hochkritischen Sektoren wie Energie, Verkehr, Bankwesen, Gesundheitswesen, Trinkwasser, digitale Infrastruktur oder öffentliche Verwaltung. Zweitens die Unternehmensgröße: Als groß gilt ein Unternehmen ab 250 Mitarbeitenden oder ab einem Jahresumsatz von über 50 Millionen Euro und gleichzeitig einer Jahresbilanzsumme von über 43 Millionen Euro. Bestimmte Einrichtungen gelten unabhängig von ihrer Größe als wesentlich, etwa qualifizierte Vertrauensdiensteanbieter oder Betreiber öffentlicher Kommunikationsnetze.
Praxisbeispiel
Ein österreichischer Energieversorger mit 320 Mitarbeitenden und 85 Millionen Euro Jahresumsatz gilt als wesentliche Einrichtung nach NISG 2026. Das Unternehmen muss sich bis 31. Dezember 2026 registrieren, binnen 12 Monaten eine Selbstdeklaration zu den umgesetzten Risikomanagementmaßnahmen einreichen und die Geschäftsführung an verpflichtenden Cybersicherheitsschulungen teilnehmen lassen. Die Cybersicherheitsbehörde kann proaktive Vor-Ort-Inspektionen durchführen.
Quellen
- NISG 2026 – neue Pflichten zur Cybersicherheit für Unternehmen - WKO
- Österreich: NISG 2026 – Alles, was Sie wissen müssen - Schönherr Rechtsanwälte
- NIS2: Für wen gilt die Richtlinie? Sektoren & Kriterien [2026]
- Einrichtungen und Unternehmen in NIS2 – OpenKRITIS
- Die neue NIS-2-Richtlinie - Anlaufstelle NISG (Österreich)