Wichtige Einrichtungen
Wichtige Einrichtungen sind Unternehmen, die aufgrund ihrer Größe und Branchenzugehörigkeit unter die NIS-2-Richtlinie fallen und strengen Cybersicherheitspflichten unterliegen. Sie werden im Gegensatz zu wesentlichen Einrichtungen nur anlassbezogen geprüft.
Ausführliche Erklärung
Der Begriff "wichtige Einrichtungen" stammt aus der NIS-2-Richtlinie der Europäischen Union und bezeichnet eine von zwei Kategorien regulierter Unternehmen. In Deutschland wurden sie im BSI-Gesetz umgesetzt, in Österreich durch das NISG 2026, das am 1. Oktober 2026 in Kraft tritt. Wichtige Einrichtungen sind grundsätzlich mittlere und große Unternehmen aus insgesamt 18 kritischen Sektoren – darunter Energie, Verkehr, Gesundheit, aber auch Post, Abfallwirtschaft, Chemie, Lebensmittelproduktion oder verarbeitendes Gewerbe. Die Einstufung erfolgt nach der EU-Empfehlung 2003/361/EG: Ein Unternehmen gilt als betroffen, wenn es mindestens 50 Mitarbeiter beschäftigt oder einen Jahresumsatz von mehr als 10 Millionen Euro sowie eine Bilanzsumme von mehr als 10 Millionen Euro aufweist.
Der zentrale Unterschied zu wesentlichen Einrichtungen liegt in der Form der behördlichen Aufsicht. Während wesentliche Einrichtungen proaktiv und regelmäßig geprüft werden, unterliegen wichtige Einrichtungen nur einer reaktiven Aufsicht – also nach gemeldeten Sicherheitsvorfällen oder konkreten Hinweisen auf Verstöße. Die Risikomanagement- und Meldepflichten sind jedoch für beide Kategorien weitgehend identisch. Wichtige Einrichtungen müssen technische und organisatorische Maßnahmen zum Schutz ihrer Netz- und Informationssysteme umsetzen, Cybersicherheitsvorfälle melden und ihre Geschäftsführung in die Verantwortung nehmen.
Für Geschäftsführerinnen und Geschäftsführer bedeutet die Einstufung als wichtige Einrichtung konkrete Compliance-Pflichten: Registrierung bei der zuständigen Behörde, Umsetzung eines Cybersicherheitsrisikomanagements, Schulung der Leitungsorgane, Dokumentation der Maßnahmen und Meldung erheblicher Vorfälle innerhalb festgelegter Fristen. Bei Verstößen drohen Bußgelder von bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Die persönliche Haftung der Geschäftsleitung ist dabei ausdrücklich vorgesehen.
Die Abgrenzung zu wesentlichen Einrichtungen erfolgt nach Sektor und Größe: Große Unternehmen aus Anhang I der Richtlinie werden als wesentliche Einrichtungen eingestuft, während mittlere Unternehmen aus Anhang I sowie große und mittlere Unternehmen aus Anhang II als wichtige Einrichtungen gelten. Bestimmte Anbieter wie qualifizierte Vertrauensdiensteanbieter, DNS-Diensteanbieter oder Betreiber öffentlicher Telekommunikationsnetze fallen unabhängig von ihrer Größe unter die Regulierung.
Praxisbeispiel
Ein österreichischer Lebensmittelhersteller mit 85 Mitarbeitern und 18 Millionen Euro Jahresumsatz fällt als wichtige Einrichtung unter das NISG 2026. Das Unternehmen muss sich bis Ende 2026 registrieren, ein Cybersicherheitsrisikomanagement aufbauen, die Lieferkette auf IT-Sicherheitsrisiken prüfen und erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden melden. Die Geschäftsführerin ist persönlich für die Umsetzung verantwortlich und muss eine Cybersicherheitsschulung absolvieren.
Quellen
- Die neue NIS-2-Richtlinie - Anlaufstelle NISG (Österreich)
- NISG 2026 – neue Pflichten zur Cybersicherheit für Unternehmen - WKO
- BSI - NIS-2-regulierte Unternehmen
- FAQ zum BSI-Gesetz und NIS-2-Umsetzung in Deutschland
- NISG 2026 in Österreich: Wer betroffen ist und was jetzt zu tun ist - CHG Rechtsanwälte