- Bedeutung
- Besonders kritische Einrichtung unter NIS2
- Sektoren
- Energie, Gesundheit, Banken, digitale Infrastruktur u. a.
- Aufsicht
- Streng, auch proaktiv
- Bußgelder
- Bis zu 10 Mio. EUR oder 2 % des Jahresumsatzes
- Stand
- Juni 2026
- Redaktion
- Compliance Compass
Was ist eine wesentliche Einrichtung?
Wesentliche Einrichtungen (englisch Essential Entities) sind Organisationen aus besonders kritischen Sektoren wie Energie, Gesundheit, Trinkwasser, Banken, Finanzmarktinfrastruktur, Transport oder digitaler Infrastruktur. Sie gelten als das Rückgrat der Versorgung: Fällt eine solche Einrichtung durch einen Cyberangriff aus, kann das ganze Lieferketten oder die öffentliche Daseinsvorsorge treffen. Genau deshalb stellt NIS2 an wesentliche Einrichtungen die strengsten Anforderungen und ordnet sie der höchsten Aufsichts- und Sanktionsstufe zu.
Wie man eingestuft wird
Die Einstufung hängt vom Sektor (Anhang I der Richtlinie als „Sektoren mit hoher Kritikalität") und der Unternehmensgröße ab. Typischerweise sind große Unternehmen – ab 250 Mitarbeitenden oder mehr als 50 Mio. EUR Umsatz – in diesen hochkritischen Sektoren wesentliche Einrichtungen. Hinzu kommen Sonderfälle wie qualifizierte Vertrauensdiensteanbieter oder TLD-Registries, die unabhängig von der Größe als wesentlich gelten.
Unterschied zur wichtigen Einrichtung
Der Trennstrich ist scharf. Im Gegensatz zur wichtigen Einrichtung werden wesentliche Einrichtungen proaktiv beaufsichtigt – also auch ohne konkreten Anlass, etwa durch Vor-Ort-Prüfungen oder Sicherheitsaudits. Auch der Bußgeldrahmen ist höher: bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes statt 7 Mio. EUR oder 1,4 % bei wichtigen Einrichtungen. Das Leitungsorgan trägt die Verantwortung für die Risikomaßnahmen und kann persönlich haften.
Wesentlich vs. wichtig im direkten Vergleich
| Kriterium | Wesentliche Einrichtung | Wichtige Einrichtung |
|---|---|---|
| Größenschwelle | Großunternehmen: ab 250 Beschäftigte oder > 50 Mio. EUR Umsatz, in hochkritischen Sektoren (Anhang I) | Mittlere Unternehmen: ab 50 Beschäftigte oder > 10 Mio. EUR Umsatz – sowie Großunternehmen in sonstigen kritischen Sektoren (Anhang II) |
| Aufsicht | Proaktiv – Audits und Prüfungen auch ohne konkreten Anlass | Reaktiv – Kontrolle in der Regel erst bei Hinweisen auf einen Verstoß |
| Bußgeldrahmen | Bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes (höherer Betrag zählt) | Bis 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes (höherer Betrag zählt) |
Beachten Sie: Die inhaltlichen Sicherheitspflichten selbst – Risikomanagement, Meldewege, technische Mindestmaßnahmen – sind für beide Kategorien nahezu identisch. Es unterscheidet sich vor allem, wie hart und wie früh der Staat hinschaut.
Pflichten in der Praxis
Die inhaltlichen Pflichten – Risikomanagement, Meldepflichten nach der Kette 24h/72h/1 Monat sowie Governance – ähneln denen wichtiger Einrichtungen, werden aber strenger kontrolliert. Stellen Sie sich einen regionalen Energieversorger mit 400 Beschäftigten vor, der nach einem Ransomware-Vorfall handeln muss: Er hat sich beim BSI registriert und eine Kontaktstelle benannt, meldet die erhebliche Störung innerhalb von 24 Stunden als Frühwarnung, ergänzt nach 72 Stunden die Bewertung des Vorfalls samt erster Ursachenanalyse und reicht nach spätestens einem Monat den Abschlussbericht ein. Weil er als wesentliche Einrichtung gilt, muss er zusätzlich jederzeit mit unangekündigten Nachweisprüfungen rechnen.
Was müssen Sie konkret tun?
Sind Sie eine wesentliche Einrichtung? Dann zählen vor allem diese Schritte:
- Selbsteinstufung dokumentieren: Sektor (Anhang I) und Größenklasse prüfen und das Ergebnis schriftlich festhalten – die Verantwortung für die Einstufung liegt bei Ihnen, nicht beim BSI.
- Beim BSI registrieren: Die Erstfrist (06.03.2026) ist abgelaufen, eine Nachregistrierung ist aber weiterhin möglich und sollte umgehend erfolgen.
- Meldekette einrichten: Prozesse für 24-Stunden-Frühwarnung, 72-Stunden-Bewertung und Ein-Monats-Abschlussbericht definieren und im Team einüben.
- Leitungsorgan einbinden: Geschäftsführung schult sich, genehmigt die Risikomaßnahmen und überwacht deren Umsetzung – sonst haftet sie persönlich.
- Auf proaktive Audits vorbereiten: Nachweise lückenlos sammeln, damit eine unangekündigte Prüfung nicht ins Leere greift.
Weiterführende Quelle: BSI – NIS-2-regulierte Unternehmen
Häufige Fragen
Was ist eine wesentliche Einrichtung?
Eine wesentliche Einrichtung (Essential Entity) ist eine besonders kritische Organisation aus einem hochkritischen Sektor nach Anhang I der NIS2-Richtlinie, etwa Energie, Gesundheit, Trinkwasser, Banken oder digitale Infrastruktur. Erfasst sind typischerweise Großunternehmen ab 250 Beschäftigten oder mehr als 50 Mio. EUR Umsatz. Für wesentliche Einrichtungen gelten seit dem Inkrafttreten von NIS2 am 6. Dezember 2025 die strengsten Pflichten, die proaktive Aufsicht und der höchste Bußgeldrahmen.
Welche Bußgelder gelten für wesentliche Einrichtungen?
Bei wesentlichen Einrichtungen drohen unter NIS2 Bußgelder von bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Damit liegt der Rahmen über dem für wichtige Einrichtungen, wo höchstens 7 Mio. EUR oder 1,4 % des Umsatzes möglich sind. Zusätzlich kann das Leitungsorgan persönlich für versäumte Risikomaßnahmen haften, weshalb die Geschäftsführung aktiv einbezogen werden muss.
Wie unterscheidet sich eine wesentliche von einer wichtigen Einrichtung?
Wesentliche Einrichtungen werden proaktiv und auch ohne konkreten Anlass beaufsichtigt, etwa durch Vor-Ort-Prüfungen und Sicherheitsaudits, und höher sanktioniert (bis 10 Mio. EUR oder 2 %). Wichtige Einrichtungen werden dagegen reaktiv kontrolliert, also erst bei Hinweisen auf einen Verstoß, und niedriger sanktioniert (bis 7 Mio. EUR oder 1,4 %). Die inhaltlichen Sicherheits- und Meldepflichten nach der Kette 24h/72h/1 Monat sind für beide Klassen jedoch weitgehend identisch.