NIS2 wesentliche vs. wichtige Einrichtungen: Worin besteht der Unterschied und was bedeutet er für Ihre Organisation?
Die NIS2-Richtlinie gilt für über 160'000 Organisationen in der gesamten EU, doch die Pflichten sind nicht für alle gleich. Ob Sie als wesentliche oder als wichtige Einrichtung eingestuft werden, entscheidet über Ihr Aufsichtsregime, Ihre Meldefristen und die Sanktionen, die Ihnen bei Verstössen drohen. Wenn Sie mit mehreren Tochtergesellschaften und in verschiedenen Rechtsordnungen tätig sind, steigt die Komplexität rasant.
Die meisten Organisationen, mit denen wir sprechen, sind sich nicht sicher, in welche Kategorie sie fallen, oder sie gehen davon aus, dass die Einstufung für jede Tochtergesellschaft dieselbe ist. Das ist sie nicht. Dieser Leitfaden zeigt Ihnen genau, wie NIS2 Einrichtungen einstuft, was die jeweilige Kategorie verlangt und wie Sie die Compliance über Ihre gesamte Gruppe hinweg steuern, ohne in Tabellen zu versinken.
NIS2 behandelt nicht alle Organisationen gleich, und die Unterschiede haben echte Konsequenzen
Die Einstufungsstufe, in die Ihre Organisation fällt, bestimmt alles, von der Art der behördlichen Aufsicht bis zur Höhe der Bussgelder, die Ihnen drohen. Für Gruppen mit Tochtergesellschaften in mehreren EU-Mitgliedstaaten wird das Bild schnell unübersichtlich.
Zwei Stufen, unterschiedliche Aufsicht
Wesentliche Einrichtungen unterliegen einer proaktiven Ex-ante-Aufsicht, Behörden können Sie jederzeit ohne auslösenden Vorfall prüfen. Wichtige Einrichtungen unterliegen einer reaktiven Ex-post-Aufsicht, Untersuchungen erfolgen erst, nachdem etwas schiefgegangen ist. Der Unterschied ist nicht bloss verfahrenstechnisch. Er verändert grundlegend, wie gut Sie an jedem beliebigen Dienstag vorbereitet sein müssen.
160'000+
Geschätzte Anzahl der unter NIS2 fallenden Organisationen in der gesamten EU, Folgenabschätzung der Europäischen Kommission, Richtlinie 2022/2555
Die Einstufung variiert je Einrichtung
Ihre Muttergesellschaft kann in Deutschland als wesentlich eingestuft sein, während eine Tochtergesellschaft in den Niederlanden als wichtig gilt, und eine weitere in einer dritten Rechtsordnung ganz aus dem Anwendungsbereich fällt. Die Einstufung richtet sich nach Sektor, Teilsektor, Grösse der Einrichtung und mitunter nach direkter Benennung durch den Mitgliedstaat. Es ist kein Häkchen auf Gruppenebene. Jede juristische Einheit muss eigenständig beurteilt werden.
18 Sektoren, 11 Teilsektoren
Erfasst in den Anhängen I und II von NIS2, Richtlinie 2022/2555, Artikel 2–3
Die persönliche Haftung steht auf dem Spiel
Wesentliche und wichtige Einrichtungen unterliegen denselben Anforderungen an die Verantwortlichkeit der Leitung nach Artikel 20. Die Geschäftsleitung muss Massnahmen zum Cybersicherheits-Risikomanagement genehmigen, Schulungen absolvieren und kann für Versäumnisse persönlich haftbar gemacht werden. Die Sanktionen unterscheiden sich je nach Stufe, doch die persönliche Exposition ist für beide real: bis zu 2 % des weltweiten Umsatzes bei wesentlichen Einrichtungen und 1,4 % bei wichtigen Einrichtungen.
Bis zu 2 % des weltweiten Jahresumsatzes
Höchstgrenze der Sanktionen für wesentliche Einrichtungen, NIS2-Richtlinie, Artikel 34(4). Wichtigen Einrichtungen drohen bis zu 1,4 %.
Das Problem mit mehreren Einrichtungen, das die meisten Compliance-Teams ignorieren:
Die meisten Organisationen, mit denen wir arbeiten, gingen zunächst davon aus, dass ihre NIS2-Einstufung über die gesamte Gruppe hinweg einheitlich sei. Das ist sie selten. Ein Unternehmen mit 12 Tochtergesellschaften kann leicht wesentliche Einrichtungen in drei Rechtsordnungen, wichtige Einrichtungen in vier und nicht erfasste Einrichtungen im Rest haben, jede mit ihren eigenen Besonderheiten bei der nationalen Umsetzung. Das in Tabellen zu verwalten bedeutet, dass irgendjemand, irgendwo, etwas falsch macht.
200+
Eingesparte Stunden beim Verwaltungsaufwand des Verarbeitungsverzeichnisses
Medtec gewann über 200 Stunden zurück, die zuvor für die manuelle Aktualisierung des Verarbeitungsverzeichnisses während der Vorbereitung auf ISO 27001 aufgewendet wurden, Zeit, die in strategische Datenschutzarbeit umgeleitet wurde.
60 %
Weniger Zeitaufwand für Compliance-Administration
Ein Flugzeughersteller reduzierte den administrativen Compliance-Aufwand in den ersten 6 Monaten um 60 %, sein Datenschutzbeauftragter widmet sich nun strategischer Arbeit, statt Tabellen über Tochtergesellschaften hinweg hinterherzujagen.
3 Mt.
Vorsprung beim Zeitplan für die ISO-27001-Zertifizierung
Medtec beschleunigte die Vorbereitung auf ISO 27001 um drei Monate dank der prüfungsbereiten Nachweispakete und automatisierten Dokumentations-Workflows von Priverion.
Wesentliche vs. wichtige Einrichtungen: Die komplette Gegenüberstellung
Jeder relevante Unterschied, von den Einstufungskriterien bis zu den Sanktionsobergrenzen, in einer Tabelle. Speichern Sie sie als Lesezeichen für Ihr nächstes Vorstandsbriefing.
| Kriterium | Wesentliche Einrichtungen | Wichtige Einrichtungen |
|---|---|---|
| Erfasste Sektoren | Anhang I, 11 Sektoren mit «hoher Kritikalität»: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B), öffentliche Verwaltung, Weltraum | Anhang II, 7 «sonstige kritische Sektoren»: Post- und Kurierdienste, Abfallbewirtschaftung, Chemikalien, Produktion/Vertrieb von Lebensmitteln, verarbeitendes Gewerbe (Medizinprodukte, Elektronik, Maschinen, Kraftfahrzeuge), Anbieter digitaler Dienste, Forschung |
| Grössenschwelle | Grosse Einrichtungen: über 250 Beschäftigte ODER Jahresumsatz über 50 Mio. EUR ODER Bilanzsumme über 43 Mio. EUR. Einige Einrichtungen werden unabhängig von ihrer Grösse benannt (z. B. Registrierungsstellen für Top-Level-Domains, DNS-Anbieter, qualifizierte Vertrauensdiensteanbieter). | Mittlere Einrichtungen: 50–249 Beschäftigte UND Jahresumsatz von 10–50 Mio. EUR ODER Bilanzsumme von 10–43 Mio. EUR. Einige kleinere Einrichtungen können von Mitgliedstaaten auf Basis einer Kritikalitätsbewertung benannt werden. |
| Aufsichtsmodell | Ex ante (proaktiv), die zuständigen Behörden können jederzeit ohne auslösenden Vorfall Audits, Inspektionen und Vor-Ort-Kontrollen durchführen und Nachweise anfordern. Regelmässige Compliance-Bewertungen werden erwartet. | Ex post (reaktiv), aufsichtsrechtliche Massnahmen werden ausgelöst, nachdem Hinweise auf einen Verstoss, ein gemeldeter Vorfall oder eine Beschwerde vorliegen. Keine routinemässige proaktive Prüfung. |
| Fristen für die Vorfallmeldung | Frühwarnung: innerhalb von 24 Stunden. Vorfallmeldung: innerhalb von 72 Stunden. Abschlussbericht: innerhalb von 1 Monat. Gleiche Fristen wie bei wichtigen Einrichtungen, Artikel 23 gilt gleichermassen. | Frühwarnung: innerhalb von 24 Stunden. Vorfallmeldung: innerhalb von 72 Stunden. Abschlussbericht: innerhalb von 1 Monat. Identische Meldepflichten nach Artikel 23. |
| Risikomanagementmassnahmen | Vollständige Pflichten nach Artikel 21: Risikoanalyse, Bewältigung von Vorfällen, Aufrechterhaltung des Geschäftsbetriebs, Sicherheit der Lieferkette, sichere Entwicklung, Offenlegung von Schwachstellen, Cyberhygiene, Kryptografie, Personalsicherheit, Zugriffskontrolle, Asset-Management. | Identische Pflichten nach Artikel 21. Die Risikomanagement-Anforderungen sind für beide Stufen gleich, der Unterschied liegt in der Durchsetzung, nicht in dem, was sie verlangen. |
| Verantwortlichkeit der Leitung | Artikel 20: Leitungsorgane müssen Risikomassnahmen genehmigen, deren Umsetzung überwachen, Cybersicherheitsschulungen absolvieren und können persönlich haftbar gemacht werden. Eine vorübergehende Aussetzung von Leitungsfunktionen ist möglich. | Dieselben Anforderungen nach Artikel 20: Genehmigung, Überwachung, Schulung, persönliche Haftung. Die vorübergehende Aussetzung von Leitungsfunktionen ist jedoch nur als Sanktion gegen wesentliche Einrichtungen verfügbar. |
| Maximale Bussgelder | Bis zu 10'000'000 EUR oder 2 % des gesamten weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Artikel 34(4). | Bis zu 7'000'000 EUR oder 1,4 % des gesamten weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Artikel 34(5). |
| Zusätzliche Durchsetzungsbefugnisse | Verbindliche Anweisungen, Anordnungen zur Herstellung der Konformität, vorübergehende Aussetzung von Zertifizierungen, vorübergehendes Verbot von Leitungsfunktionen (für natürliche Personen mit Leitungsverantwortung). Artikel 32. | Verbindliche Anweisungen und Anordnungen zur Herstellung der Konformität. Keine Befugnis, Leitungsfunktionen vorübergehend zu verbieten oder Zertifizierungen auszusetzen. Artikel 33. |
| Registrierungspflicht | Müssen sich bei der zuständigen Behörde in jedem Mitgliedstaat registrieren, in dem sie Dienste erbringen. Die Selbstidentifikation ist bis zur Umsetzungsfrist der Richtlinie erforderlich. | Dieselbe Registrierungspflicht. Müssen sich selbst identifizieren und bei den zuständigen Behörden registrieren. Keine Befreiung von der Registrierung für wichtige Einrichtungen. |
| Benennung durch den Mitgliedstaat | Mitgliedstaaten können jede Einrichtung unabhängig von ihrer Grösse als wesentlich benennen, wenn eine Störung erhebliche Auswirkungen hätte. Dazu zählen alleinige Anbieter kritischer Dienste. | Mitgliedstaaten können auch kleinere Einrichtungen auf Basis nationaler Kritikalitätsbewertungen als wichtig benennen. Artikel 2(2)(b)-(e). |
Quelle: Richtlinie (EU) 2022/2555, Artikel 2, 3, 20, 21, 23, 32, 33, 34, Anhänge I und II. Die nationale Umsetzung kann Abweichungen mit sich bringen.
Welche Sektoren fallen in welche Stufe?
NIS2 ordnet die Sektoren zwei Anhängen zu. Sektoren aus Anhang I bringen wesentliche Einrichtungen (grosse Organisationen) oder wichtige Einrichtungen (mittlere Organisationen) hervor. Sektoren aus Anhang II bringen standardmässig wichtige Einrichtungen hervor. So gliedert sich das auf.
Anhang I, Sektoren mit hoher Kritikalität
Grosse Organisationen in diesen Sektoren = wesentliche Einrichtungen
- Energie (Strom, Öl, Gas, Wasserstoff, Fernwärme)
- Verkehr (Luft, Schiene, Wasser, Strasse)
- Bankwesen und Finanzmarktinfrastrukturen
- Gesundheit (Gesundheitsdienstleister, EU-Referenzlabore, Pharmazeutika, Medizinprodukte)
- Trinkwasserversorgung und -verteilung
- Sammlung und Behandlung von Abwasser
- Digitale Infrastruktur (IXPs, DNS, TLD-Registrierungsstellen, Cloud, Rechenzentren, CDNs, Vertrauensdienste, öffentliche elektronische Kommunikation)
- Verwaltung von IKT-Diensten (B2B, Managed-Service-Provider, Managed-Security-Service-Provider)
- Öffentliche Verwaltung (Ebene der Zentralregierung)
- Weltraum
Anhang II, sonstige kritische Sektoren
Organisationen in diesen Sektoren = wichtige Einrichtungen
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Herstellung, Produktion und Vertrieb von Chemikalien
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Verarbeitendes Gewerbe (Medizinprodukte, Computer, Elektronik, optische Erzeugnisse, elektrische Ausrüstungen, Maschinen, Kraftfahrzeuge, Anhänger, sonstige Fahrzeuge)
- Anbieter digitaler Dienste (Online-Marktplätze, Suchmaschinen, Plattformen für soziale Netzwerke)
- Forschungseinrichtungen
Hinweis: Mittlere Einrichtungen in Sektoren des Anhangs I werden als wichtige Einrichtungen eingestuft, nicht als wesentliche. Die Grösse ist entscheidend.
Sonderbenennungen
Einrichtungen, die unabhängig von der Grösse eingestuft werden
Einige Einrichtungen werden unabhängig von ihrer Grösse automatisch als wesentlich eingestuft, darunter:
- Qualifizierte Vertrauensdiensteanbieter
- Registrierungsstellen für Top-Level-Domain-Namen (TLD)
- DNS-Diensteanbieter
- Anbieter öffentlicher elektronischer Kommunikationsnetze oder -dienste (mittlere Grösse oder grösser)
- Einrichtungen der öffentlichen Verwaltung auf Ebene der Zentralregierung
- Jede Einrichtung, die von einem Mitgliedstaat auf Basis einer nationalen Kritikalitätsbewertung als wesentlich benannt wird
Richtlinie 2022/2555, Artikel 3(1)(a)-(g)
Warum gruppenweite NIS2-Compliance schwieriger ist, als sie aussieht
Wenn Sie NIS2 für eine einzelne Einrichtung in einer Rechtsordnung steuern, ist die Richtlinie überschaubar. Bei Organisationen mit mehreren Einrichtungen bricht jede Annahme in sich zusammen.
Unterschiedliche Einstufungen je Tochtergesellschaft
Eine Muttergesellschaft im Energiesektor (Anhang I) mit über 500 Beschäftigten ist wesentlich. Ihre Tochtergesellschaft, die mit 80 Beschäftigten IT-Beratung erbringt, kann wichtig sein, oder ganz aus dem Anwendungsbereich fallen. Jede juristische Einheit erfordert eine eigenständige Beurteilung anhand der NIS2-Kriterien, unter Berücksichtigung von Sektor, Grösse und der mitgliedstaatsspezifischen Umsetzung.
Die nationale Umsetzung führt zu Abweichungen
NIS2 ist eine Richtlinie, keine Verordnung, die Mitgliedstaaten setzen sie mit Spielraum für Abweichungen in nationales Recht um. Die deutsche Umsetzung kann sich von der französischen oder der niederländischen unterscheiden. Ihr Compliance-Programm muss diese Abweichungen in jeder Rechtsordnung berücksichtigen, in der Sie Einrichtungen haben, und nicht bloss dem Richtlinientext folgen.
Gemeinsame Infrastruktur, geteilte Verantwortung
Eine gruppenweite IT-Infrastruktur bedeutet, dass ein Sicherheitsvorfall bei einer Tochtergesellschaft Meldepflichten für mehrere Einrichtungen in verschiedenen Rechtsordnungen auslösen kann, jede mit ihrer eigenen zuständigen Behörde. Ohne zentralisiertes Vorfallmanagement riskieren Sie, das 24-Stunden-Frühwarnfenster bei einer Einrichtung zu verpassen, während Sie die Reaktion bei einer anderen abwickeln.
Genau dafür wurde Priverion entwickelt.
Die NIS2-Compliance über eine Gruppe mit gemischten Einstufungen, mehreren Rechtsordnungen und gemeinsamer Infrastruktur zu steuern, erfordert mehr als Tabellen und E-Mail-Verläufe. Priverion verschafft Ihnen zentralisierte Übersicht mit Granularität auf Einrichtungsebene, sodass Ihr Gruppen-Compliance-Team das Gesamtbild sieht, während jede Tochtergesellschaft ihre eigenen Pflichten verwaltet. Einrichtungsübergreifendes Data Mapping, automatisierte Rezertifizierung und vorstandsreife Dashboards ersetzen die manuelle Hinterherjagd.
Datenschutzmanagement auf Enterprise-Niveau, ohne das Enterprise-Kopfweh
Mittelständische Unternehmen brauchen keine Plattform, die für Fortune-50-Budgets gebaut ist. Sie brauchen eine, die für die tatsächliche Arbeitsweise von Datenschutzprogrammen mit mehreren Einrichtungen gebaut ist.
Die typische OneTrust-Erfahrung
Preise, die mit jedem Klick wachsen
Preise pro Nutzer und pro Modul bedeuten, dass die Kosten steigen, je reifer Ihr Programm wird. Das Hinzufügen einer Tochtergesellschaft oder eines Teammitglieds löst eine neue Rechnungsposition aus.
Komplexität, ausgelegt auf die Fortune 50
Funktionsüberladung bedeutet Monate der Einführung, eigene Admin-Teams und laufende professionelle Dienstleistungen, nur um den Betrieb am Laufen zu halten.
US-Hauptsitz, in den USA gehostet
In einer Post-Schrems-II-Landschaft ist der Datenstandort keine Präferenz, sondern ein rechtliches Anliegen. Die Exposition gegenüber dem US Cloud Act schafft ein Übermittlungsrisiko für europäische Compliance-Daten.
Module separat verkauft
Verarbeitungsverzeichnis, DSFA, Lieferantenmanagement, Betroffenenanfragen, Incident Response, jedes wird als separates Modul mit eigener Preisstufe verkauft.
Generische Mandantenfähigkeit
Die Unterstützung mehrerer Einrichtungen ist ein nachträglicher Einfall, nicht die Architektur. Gruppenweite Transparenz erfordert Behelfslösungen und individuelle Berichte.
Der Priverion-Unterschied
Planbare Preise, keine Kostenfallen
Die Preise richten sich nach der Anzahl der Einrichtungen und der Grösse der Organisation, nicht pro Nutzer oder pro Modul. Fügen Sie Teammitglieder hinzu, ohne zuzusehen, wie die Kosten ausser Kontrolle geraten.
Einsatzbereit in Wochen, nicht in Monaten
Eine klare Benutzeroberfläche, die Datenschutzbeauftragte und Fachbereiche tatsächlich annehmen. Kein eigenes Admin-Team erforderlich. Ein Flugzeughersteller verzeichnete in den ersten 6 Monaten eine Reduktion des administrativen Compliance-Aufwands um 60 %.
Kundenergebnisse eines Flugzeugherstellers, erste 6 Monate nach der Einführung
In der Schweiz entwickelt, in der Schweiz gehostet, europäischer Datenstandort
Die gesamte Datenverarbeitung erfolgt innerhalb der Schweizer Infrastruktur. Keine Exposition gegenüber dem US Cloud Act. Schweizer Datensouveränität ist nicht unser Marketing, sondern unsere Architektur.
All-in-One-Plattform, ein einziger Preis
Verarbeitungsverzeichnis, DSFA/TIA, Risikobewertungen von Lieferanten, Vorfallmanagement, Bearbeitung von Betroffenenanfragen, KI-gestützte Compliance und vorstandsreife Dashboards, vom ersten Tag an inbegriffen.
Gebaut für gruppenweite Datenschutzprogramme
Die Verwaltung mehrerer Einrichtungen ist unsere Kernarchitektur, kein Aufsatz. Einrichtungsübergreifendes Data Mapping, gruppenweite Transparenz beim Verarbeitungsverzeichnis und zentralisierte Übersicht über mehr als 50 Tochtergesellschaften und Rechtsordnungen.
Eine Anmerkung zur Ehrlichkeit: Wir decken weder ESG, Ethik-Hotlines noch Cookie-Einwilligung ab. Wir tun nicht so, als ob wir alles könnten. Das gruppenweite Management von Datenschutzprogrammen beherrschen wir besser als jeder andere.
Den NIS2-Leitfaden zur Einstufung von Einrichtungen herunterladen
Eine praktische Referenz für Compliance-Teams, die NIS2 über mehrere Einrichtungen hinweg steuern. Enthält den vollständigen Vergleich von wesentlich vs. wichtig, Tabellen zur Sektoreneinstufung, Aufschlüsselungen der Sanktionen und ein schrittweises Einstufungs-Arbeitsblatt für jede Tochtergesellschaft.
Im PDF-Format. Ohne Geschwafel. Erstellt von Datenschutzpraktikern, die das über mehr als 50 Einrichtungsgruppen hinweg gemacht haben.
Schluss mit der Datenschutzverwaltung in Tabellen
Sehen Sie, wie gruppenweites Datenschutzmanagement aussieht, wenn es wirklich funktioniert
In 30 Minuten zeigen wir Ihnen, wie Organisationen wie ein Flugzeughersteller 60 % ihres administrativen Compliance-Aufwands beseitigt haben, und wie ihr Datenschutzbeauftragter wieder zu strategischer Arbeit gefunden hat, statt Tabellen über Tochtergesellschaften hinweg hinterherzujagen.
Kein Verkaufsgespräch. Kein Funktions-Abladen. Nur eine fokussierte Demo, zugeschnitten auf Ihre Einrichtungsstruktur, Ihre Rechtsordnungen und Ihre Compliance-Lücken.
Eine 30-minütige Demo buchenIn der Schweiz gehostet
Europäischer Datenstandort garantiert
Einsatzbereit in Wochen
Keine monatelange Einführung
Planbare Preise
Keine Kostenfallen pro Nutzer oder pro Modul


