- Bedeutung
- Unter NIS2 betroffen, aber nicht „wesentlich"
- Sektoren
- Post, Abfall, Chemie, Lebensmittel, Gewerbe u. a.
- Aufsicht
- Eher reaktiv (anlassbezogen)
- Bußgelder
- Bis zu 7 Mio. EUR oder 1,4 % des Jahresumsatzes
- Stand
- Juni 2026
- Redaktion
- Compliance Compass
Was ist eine wichtige Einrichtung?
Wichtige Einrichtungen (englisch Important Entities) stammen aus Sektoren wie Post- und Kurierdienste, Abfallwirtschaft, Produktion und Handel mit Chemikalien, Lebensmittel oder verarbeitendes Gewerbe. Sie unterliegen NIS2 in vollem Umfang, gelten aber als etwas weniger systemkritisch als wesentliche Einrichtungen. Die Kategorie ist die zweite von zwei Einrichtungsklassen und betrifft besonders viele mittelständische Betriebe, die bislang keine sektorspezifische Cybersicherheitsregulierung kannten.
Welche Sektoren zählen dazu? (Annex II)
Den Kern der wichtigen Einrichtungen bilden die „sonstigen kritischen Sektoren" aus Anhang II der NIS2-Richtlinie. Wer hier ab den jeweiligen Schwellenwerten tätig ist – in der Regel mittlere Unternehmen ab 50 Beschäftigten oder 10 Mio. EUR Umsatz –, fällt typischerweise in diese Klasse:
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Produktion, Herstellung und Handel mit Chemikalien
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Verarbeitendes Gewerbe / Herstellung von Waren – etwa Medizinprodukte, Datenverarbeitungsgeräte, Elektronik, Maschinen, Kraftfahrzeuge
- Anbieter digitaler Dienste – Online-Marktplätze, Suchmaschinen, soziale Netzwerke
- Forschungseinrichtungen
Gleiche Pflichten, andere Aufsicht. Die Sektorzugehörigkeit entscheidet über die Einstufung, nicht über den Umfang der Sicherheitsmaßnahmen. Ein Lebensmittelhersteller aus Annex II muss dieselben technischen und organisatorischen Vorkehrungen treffen wie ein Energieversorger aus Anhang I – kontrolliert wird er nur anlassbezogen statt vorab. Die hochkritischen Sektoren aus Anhang I führen dagegen meist zur Einstufung als wesentliche Einrichtung, wo die Aufsicht proaktiv erfolgt und der Bußgeldrahmen höher liegt.
Gleiche Pflichten, andere Aufsicht
Die inhaltlichen Pflichten – Risikomanagement, Meldepflichten nach der Kette 24h/72h/1 Monat sowie Governance durch das Leitungsorgan – sind weitgehend identisch mit denen wesentlicher Einrichtungen. Auch die Registrierungspflicht beim BSI und die Schulungspflicht für die Geschäftsleitung gelten unverändert. Der zentrale Unterschied liegt in der Aufsicht: Wichtige Einrichtungen werden reaktiv beaufsichtigt, also anlassbezogen nach einem Vorfall oder bei konkreten Hinweisen, und nicht proaktiv durch routinemäßige, vorab angekündigte Prüfungen. Die zuständige Behörde wird also erst tätig, wenn ein Anhaltspunkt für ein Versäumnis vorliegt.
Niedrigerer Bußgeldrahmen
Auch der Bußgeldrahmen ist geringer: bis 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes – gegenüber 10 Mio. EUR oder 2 % bei wesentlichen Einrichtungen. Maßgeblich ist jeweils der höhere Betrag. Trotz des milderen Rahmens bleiben empfindliche Sanktionen möglich, und die Geschäftsleitung bleibt für die Maßnahmen verantwortlich.
Nicht unterschätzen
„Wichtig" heißt nicht „weniger verpflichtet". Die technischen und organisatorischen Maßnahmen müssen vollständig umgesetzt werden, nur die Kontrolldichte ist geringer. Der reaktive Aufsichtsansatz verleitet manche Betriebe zu der Annahme, sie könnten Maßnahmen aufschieben, bis es jemand prüft – doch wer erst nach einem Sicherheitsvorfall mit Dokumentation, Risikoanalyse und gemeldeten Prozessen beginnt, hat den Nachweis ordnungsgemäßer Vorsorge bereits verloren und riskiert genau dann ein Bußgeld, wenn die Behörde anlassbezogen genauer hinschaut.
Ein Beispiel verdeutlicht das. Ein Abfallentsorger mit 90 Beschäftigten ordnet sich als wichtige Einrichtung ein und holt seine BSI-Registrierung nach, weil die Erstfrist am 6. März 2026 abgelaufen ist; eine Nachregistrierung ist weiterhin möglich. Er etabliert dieselbe Risikoanalyse und denselben Meldeprozess wie ein wesentlicher Betrieb und dokumentiert seine Maßnahmen sorgfältig – rechnet aber nicht mit unangekündigten Audits, sondern mit Prüfungen erst im konkreten Anlassfall.
Nächste Schritte
Konkret sollten wichtige Einrichtungen diese Punkte abarbeiten:
- Einstufung prüfen: Sektor (Annex II) und Größenklasse abgleichen – passt „wichtig" oder doch „wesentlich"?
- BSI-Registrierung nachholen: Die Erstfrist (6. März 2026) ist abgelaufen, die Nachregistrierung bleibt aber offen.
- Risikomanagement aufsetzen: Technische und organisatorische Maßnahmen einführen und prüfsicher dokumentieren.
- Meldekette einrichten: Prozesse für die Fristen 24 Stunden / 72 Stunden / 1 Monat festlegen.
- Geschäftsleitung einbinden: Schulung absolvieren – die Haftung des Leitungsorgans bleibt bestehen.
Weiterführende Quelle: BSI – NIS-2-regulierte Unternehmen
Häufige Fragen
Was ist eine wichtige Einrichtung?
Eine wichtige Einrichtung (Important Entity) ist eine unter NIS2 betroffene Organisation, die nicht als wesentliche Einrichtung eingestuft ist. Sie stammt meist aus den sonstigen kritischen Sektoren nach Anhang II der Richtlinie, etwa Post, Abfallwirtschaft, Chemie, Lebensmittel oder verarbeitendem Gewerbe. Erfasst sind in der Regel mittlere Unternehmen ab 50 Beschäftigten oder mehr als 10 Mio. EUR Umsatz. NIS2 gilt seit dem 6. Dezember 2025.
Welche Bußgelder gelten für wichtige Einrichtungen?
Bei wichtigen Einrichtungen drohen unter NIS2 Bußgelder von bis zu 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Der Rahmen ist damit niedriger als bei wesentlichen Einrichtungen, wo bis zu 10 Mio. EUR oder 2 % des Umsatzes möglich sind. Trotz des milderen Rahmens bleiben empfindliche Sanktionen möglich, und das Leitungsorgan bleibt für die Risikomaßnahmen verantwortlich.
Sind die Pflichten geringer als bei wesentlichen Einrichtungen?
Nein. Die inhaltlichen Sicherheits- und Meldepflichten wichtiger Einrichtungen sind weitgehend identisch mit denen wesentlicher Einrichtungen, einschließlich Risikomanagement, BSI-Registrierung und der Meldekette aus 24-Stunden-Frühwarnung, 72-Stunden-Meldung und Ein-Monats-Abschlussbericht. Geringer sind vor allem die Aufsichtsdichte, die reaktiv und anlassbezogen statt proaktiv erfolgt, sowie der Bußgeldrahmen mit bis zu 7 Mio. EUR oder 1,4 % des Umsatzes.