Brain-Media.de/Compliance-Lexikon/Wichtige Einrichtung
Ebene 1 · DefinitionEbene 2 · PraxisEbene 3 · Strategie

Compliance-Lexikon · NIS-2

Wichtige Einrichtung

auch: Important Entity

Eine wichtige Einrichtung ist eine nach NIS-2-Anhang-II-Sektoren regulierte Organisation oberhalb der Groessenschwelle - mit denselben grundlegenden Sicherheitspflichten wie wesentliche Einrichtungen, aber niedrigerem Bussgeldrahmen und reaktiver statt proaktiver Aufsicht durch das BSI.

Warum wichtige Einrichtungen dieselben Pflichten mit anderer Aufsichtsintensitaet tragen

Ein haeufiges Missverstaendnis: Wichtige Einrichtungen muessen nicht weniger Sicherheitsmassnahmen umsetzen als wesentliche Einrichtungen - die zehn NIS-2-Mindestmassnahmen gelten fuer beide Kategorien identisch. Der Unterschied liegt in der Aufsichtsintensitaet: Wichtige Einrichtungen unterliegen reaktiver Aufsicht, das BSI wird primaer nach gemeldeten Vorfaellen oder konkreten Hinweisen aktiv, nicht durch anlasslose Routinepruefungen.

Wo die Einstufung als wichtige Einrichtung gilt

FrameworkReferenzAnforderung
NIS-2 / BSIG§ 28Definition wichtiger Einrichtungen mit Verweis auf die sieben Anhang-II-Sektoren.
NIS-2-Richtlinie (EU) 2022/2555Anhang IISieben Sektoren mit Einstufung als wichtige Einrichtungen: Post, Abfallwirtschaft, Chemie, Lebensmittel u.a.
BSIG§ 60Niedrigerer Bussgeldrahmen fuer wichtige Einrichtungen: bis 7 Mio. Euro oder 1,4% Jahresumsatz.
BSIReaktive AufsichtBSI wird bei wichtigen Einrichtungen primaer nach Vorfaellen oder Hinweisen aktiv.
ISO 27001:2022vollstaendigISO-27001-Zertifizierung als anerkannter Nachweis fuer wichtige Einrichtungen.

BAM-Objektreferenz

BAM-Objekt NIS2-WI-01
BeschreibungWichtige Einrichtung: Pflichtenkatalog und reaktive Aufsicht nach NIS-2
GitHubBAM Core →

Haeufige Fehler

  • Annahme, geringere Aufsichtsintensitaet bedeute geringere Sicherheitsanforderungen
  • Sektorzuordnung zu Anhang II nicht korrekt geprueft
  • Bussgeldrisiko unterschaetzt - auch 7 Mio. Euro sind erheblich
  • Reaktive Aufsicht als Grund fuer aufgeschobene Umsetzung missverstanden

Sieben Anhang-II-Sektoren

Anhang II umfasst Post- und Kurierdienste, Abfallbewirtschaftung, Produktion/Herstellung/Handel mit Chemikalien, Produktion/Verarbeitung/Vertrieb von Lebensmitteln, verarbeitendes Gewerbe (bestimmte Branchen), Anbieter digitaler Dienste (Online-Marktplaetze, Suchmaschinen, soziale Netzwerke) und Forschungseinrichtungen. Reaktive Aufsicht bedeutet nicht Straflosigkeit - bei einem gemeldeten Sicherheitsvorfall pruefen Aufsichtsbehoerden auch nachtraeglich, ob die Mindestmassnahmen zum Zeitpunkt des Vorfalls vollstaendig umgesetzt waren.

Naechster Schritt

NIS-2-Stresstest starten

Kostenloser Compliance-Stresstest zur Einstufung als wichtige Einrichtung.

Verwandte Begriffe

Wesentliche EinrichtungNIS-2 AnwendungsbereichNIS-2 Mindestmassnahmen

Compliance läuft. Oder sie läuft nicht.

Testen Sie kostenlos, wo Ihre Compliance heute steht.

Stresstest starten Whitepaper