Wichtige Einrichtungen
Wichtige Einrichtungen sind Unternehmen, die aufgrund ihrer Größe und Branchenzugehörigkeit unter die NIS-2-Richtlinie fallen und strengen Cybersicherheitspflichten unterliegen. Sie werden im Gegensatz zu wesentlichen Einrichtungen nur anlassbezogen geprüft.
Ausführliche Erklärung
Die NIS-2-Richtlinie der Europäischen Union unterscheidet zwischen zwei Kategorien regulierter Einrichtungen: wesentlichen und wichtigen Einrichtungen. Während in Österreich diese EU-Terminologie direkt übernommen wurde, verwendet Deutschland die Bezeichnungen "besonders wichtige Einrichtungen" und "wichtige Einrichtungen". Der Begriff "wichtige Einrichtungen" bezeichnet in beiden Ländern Organisationen, die in kritischen Sektoren tätig sind und aufgrund ihrer Größe bestimmte Schwellenwerte überschreiten, deren Ausfall jedoch geringere systemische Auswirkungen hätte als jener wesentlicher Einrichtungen.
In Österreich fallen gemäß NISG 2026 mittlere Unternehmen mit 50 bis 249 Mitarbeitern oder einem Jahresumsatz zwischen 10 und 50 Millionen Euro automatisch als wichtige Einrichtungen unter die Regulierung, wenn sie in einem der 18 definierten Sektoren tätig sind. Diese umfassen neben klassischen Infrastrukturen wie Energie, Verkehr und Gesundheitswesen auch die chemische Industrie, Lebensmittelproduktion, Abfallwirtschaft oder Post- und Kurierdienste. Auch Klein- und Kleinstunternehmen können als wichtige Einrichtungen qualifiziert werden, wenn sie eine besondere Schlüsselrolle einnehmen.
Der zentrale Unterschied zu wesentlichen Einrichtungen liegt in der Art der behördlichen Aufsicht und der Höhe möglicher Sanktionen. Wichtige Einrichtungen unterliegen einer reaktiven Aufsicht, das bedeutet, die zuständige Behörde wird erst bei konkreten Anhaltspunkten für Verstöße oder nach gemeldeten Sicherheitsvorfällen aktiv. Bei wesentlichen Einrichtungen hingegen erfolgt die Aufsicht proaktiv mit regelmäßigen Sicherheitsprüfungen und Audits ohne konkreten Anlass. Die Bußgeldrahmen unterscheiden sich ebenfalls: Für wichtige Einrichtungen liegen die Höchstbeträge bei sieben Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes, während bei wesentlichen Einrichtungen bis zu zehn Millionen Euro oder zwei Prozent des Umsatzes verhängt werden können.
Trotz dieser Unterschiede müssen wichtige Einrichtungen die gleichen grundlegenden Cybersicherheitsmaßnahmen umsetzen wie wesentliche Einrichtungen: ein umfassendes Risikomanagement etablieren, Sicherheitsvorfälle innerhalb von 24 Stunden als Frühwarnung und binnen 72 Stunden vollständig melden, die Lieferkettensicherheit beachten und die Verantwortung auf Leitungsebene verankern. Die Geschäftsführung muss an spezifischen Cybersicherheitsschulungen teilnehmen und die Einhaltung der Maßnahmen beaufsichtigen. Für KMU bedeutet die Einstufung als wichtige Einrichtung einen erheblichen Compliance-Aufwand, aber auch die Chance, Cybersicherheit systematisch aufzubauen und sich gegen zunehmende Bedrohungen zu wappnen.
Praxisbeispiel
Ein österreichisches Ingenieurbüro für Abfallwirtschaft mit 85 Mitarbeiterinnen und Mitarbeitern und 18 Millionen Euro Jahresumsatz fällt als wichtige Einrichtung unter das NISG 2026. Das Unternehmen muss ein Risikomanagement etablieren, Notfallpläne erstellen, technische Maßnahmen wie Multi-Faktor-Authentifizierung umsetzen und sich bei der zuständigen Cybersicherheitsbehörde registrieren. Die Geschäftsführung nimmt an Cybersicherheitsschulungen teil und beaufsichtigt die Umsetzung der Maßnahmen aktiv.
Quellen
- Die neue NIS-2-Richtlinie - Anlaufstelle NISG (Österreich)
- NISG 2026 – neue Pflichten zur Cybersicherheit für Unternehmen - WKO
- BSI - NIS-2-regulierte Unternehmen
- FAQ zum BSI-Gesetz und NIS-2-Umsetzung in Deutschland
- NISG 2026 in Österreich: Wer betroffen ist und was jetzt zu tun ist - CHG Rechtsanwälte