- Bedeutung
- Betroffenes Unternehmen / betroffene Organisation
- Kategorien
- Wesentliche und wichtige Einrichtungen
- Kriterien
- Sektor + Größe (Mitarbeitende/Umsatz)
- Bezug zu NIS2
- Grundbegriff der Richtlinie
- Stand
- Juni 2026
- Redaktion
- Compliance Compass
Was ist eine Einrichtung im NIS2-Kontext?
NIS2 spricht bewusst nicht von „Unternehmen", sondern von Einrichtungen (englisch Entities), weil neben privatwirtschaftlichen Firmen auch Behörden, Verbände und sonstige Organisationen erfasst sein können. Eine Einrichtung ist damit jede juristische Person oder Organisationseinheit, die in den Anwendungsbereich der Richtlinie fällt. Der Begriff ist der zentrale Anker des gesamten Regelwerks: Erst wenn feststeht, dass eine Organisation eine Einrichtung im Sinne von NIS2 ist, greifen die Pflichten zu Risikomanagement, Meldewesen und Governance.
Wann ist man eine Einrichtung?
Maßgeblich sind zwei Faktoren: die Zugehörigkeit zu einem regulierten Sektor (etwa Energie, Gesundheit, Transport, digitale Infrastruktur oder Abfallwirtschaft) und die Größe. In der Regel gilt die Schwelle ab 50 Mitarbeitenden oder einem Jahresumsatz und einer Bilanzsumme von mehr als 10 Mio. EUR. In einigen Bereichen – etwa bei DNS-Diensten, qualifizierten Vertrauensdiensten oder der öffentlichen Verwaltung – gilt die Pflicht unabhängig von der Größe.
Wesentlich oder wichtig?
NIS2 teilt betroffene Organisationen in zwei Klassen: wesentliche Einrichtungen (strenger und proaktiv beaufsichtigt) und wichtige Einrichtungen (eher anlassbezogen kontrolliert). Die Einstufung bestimmt vor allem Aufsichtsdichte und Bußgeldrahmen – bis zu 10 Mio. EUR oder 2 % des Umsatzes bei wesentlichen, bis 7 Mio. EUR oder 1,4 % bei wichtigen Einrichtungen. Die inhaltlichen Sicherheitspflichten sind dagegen weitgehend gleich.
Erster Schritt: Betroffenheit prüfen
Ob man eine Einrichtung im Sinne von NIS2 ist, klärt eine strukturierte Betroffenheitsprüfung: Sektorzuordnung, Größenschwelle und Sonderfälle werden dokumentiert. Konkret: Ein mittelständischer Lebensmittelhersteller mit 120 Beschäftigten und 30 Mio. EUR Umsatz prüft, ob er in den Anhang fällt, stuft sich als wichtige Einrichtung ein und holt die BSI-Registrierung nach, da die Erstfrist am 6. März 2026 bereits abgelaufen ist. Erst nach dieser Einordnung lassen sich Pflichten und Fristen verbindlich umsetzen. Die Selbsteinschätzung liegt dabei bei der Einrichtung selbst.
Weiterführende Quelle: BSI – NIS-2-regulierte Unternehmen
Häufige Fragen
Was ist eine Einrichtung bei NIS2?
Einrichtung (englisch Entity) ist der NIS2-Oberbegriff für jede Organisation, die unter die Richtlinie fällt – also nicht nur privatwirtschaftliche Unternehmen, sondern auch Behörden, Verbände oder öffentliche Stellen aus einem regulierten Sektor. Erst wenn feststeht, dass eine Organisation eine Einrichtung im Sinne von NIS2 ist, greifen die Pflichten zu Risikomanagement, Meldewesen und Governance. Die NIS2-Umsetzung gilt in Deutschland seit dem 6. Dezember 2025.
Wann fällt man als Einrichtung unter NIS2?
Man fällt als Einrichtung unter NIS2, wenn man einem regulierten Sektor angehört und die Größenschwellen erreicht – in der Regel ab 50 Mitarbeitenden oder mehr als 10 Mio. Euro Jahresumsatz und Bilanzsumme. In einigen Bereichen wie DNS-Diensten, qualifizierten Vertrauensdiensten oder der öffentlichen Verwaltung gilt die Pflicht unabhängig von der Größe. Die Selbsteinschätzung obliegt der Einrichtung; die BSI-Erstregistrierungsfrist endete am 6. März 2026, eine Nachregistrierung bleibt möglich.
Welche Arten von Einrichtungen gibt es?
NIS2 unterscheidet zwei Klassen: wesentliche Einrichtungen, die proaktiv beaufsichtigt werden, und wichtige Einrichtungen, die eher anlassbezogen kontrolliert werden. Die Einstufung bestimmt vor allem Aufsichtsdichte und Bußgeldrahmen – bis zu 10 Mio. Euro oder 2 % des Jahresumsatzes bei wesentlichen, bis zu 7 Mio. Euro oder 1,4 % bei wichtigen Einrichtungen. Die inhaltlichen Sicherheitspflichten sind dagegen weitgehend identisch.