nisg26.at

Wesentliche vs. wichtige Einrichtungen: der Unterschied einfach erklärt

In Kürze: Das NISG 2026 (Umsetzung der NIS2-Richtlinie) teilt betroffene Unternehmen in wesentliche (§ 24 Abs. 1) und wichtige Einrichtungen (§ 24 Abs. 2). Die inhaltlichen Pflichten sind weitgehend identisch — der Unterschied liegt in der Aufsicht (proaktiv vs. reaktiv), in den Strafobergrenzen (bis 10 Mio. € / 2 % vs. 7 Mio. € / 1,4 %) und darin, dass nur bei wesentlichen Einrichtungen eine vorübergehende Untersagung der Leitungsfunktion möglich ist. Welche Kategorie voraussichtlich gilt, hängt von Sektor (Anlage 1 oder 2) und Größe ab.

Sobald feststeht, dass Sie unter das NISG 2026 fallen (→ Betroffenheit prüfen), folgt die zweite Frage: wesentlich oder wichtig? Die Einstufung entscheidet, wie genau die Behörde hinsieht — und wie hoch eine mögliche Strafe ausfallen kann.

Die zwei Kategorien

Das NISG unterscheidet nicht nach „wichtig vs. unwichtig", sondern nach Kritikalität des Sektors und Unternehmensgröße:

  • Wesentliche Einrichtung (essential entity, § 24 Abs. 1) — die kritischsten Einrichtungen.
  • Wichtige Einrichtung (important entity, § 24 Abs. 2) — die übrigen betroffenen Einrichtungen.

Für die Größe gelten die kumulativen Schwellen aus § 25 (Basis: EU-Empfehlung 2003/361/EG):

  • große Einrichtung — ab 250 Mitarbeitern oder, unabhängig davon, ab > 50 Mio. € Jahresumsatz UND > 43 Mio. € Bilanzsumme (§ 25 Abs. 2);
  • mittlere Einrichtung — ab 50 Mitarbeitern oder ab > 10 Mio. € Jahresumsatz UND > 10 Mio. € Bilanzsumme (§ 25 Abs. 3), soweit nicht bereits groß.

Das finanzielle Kriterium ist also kumulativ (Umsatz und Bilanzsumme). Die exakten Werte und Sonderregeln (z. B. § 25 Abs. 4 zu Partner-/verbundenen Unternehmen) finden Sie im Detail unter → NIS2-Schwellenwerte.

Wer ist eine wesentliche Einrichtung?

Als wesentlich (§ 24 Abs. 1) gelten typischerweise:

  • große Einrichtungen in Anlage-1-Sektoren (Sektoren mit hoher Kritikalität — z. B. Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trink-/Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B), öffentliche Bundesverwaltung, Weltraum);
  • mittlere Betreiber öffentlicher Kommunikationsnetze/-dienste (§ 25 Abs. 3);
  • größenunabhängig unter anderem: qualifizierte Vertrauensdiensteanbieter (qTSP), TLD-Namenregister, DNS-Diensteanbieter, Einrichtungen der Bundesverwaltung (§ 24 Abs. 4), kritische Einrichtungen nach dem CER-Regime (RL (EU) 2022/2557) sowie von der Cybersicherheitsbehörde nach § 26 als wesentlich eingestufte Einrichtungen.

Wer ist eine wichtige Einrichtung?

Als wichtig (§ 24 Abs. 2) gelten in der Regel die betroffenen Einrichtungen, die nicht bereits wesentlich sind — typischerweise:

  • große und mittlere Unternehmen in Anlage 1 oder 2, soweit nicht wesentlich (z. B. mittlere Anlage-1-Einrichtungen sowie Anlage-2-Einrichtungen wie verarbeitendes Gewerbe, Lebensmittel, Chemie, Abfallwirtschaft, Post-/Kurierdienste, Anbieter digitaler Dienste, Forschung ab mittlerer Größe);
  • Einrichtungen der Landesverwaltung (§ 24 Abs. 5);
  • größenunabhängig: Anbieter öffentlicher Kommunikationsnetze/-dienste und Vertrauensdiensteanbieter, soweit nicht wesentlich, sowie nach § 26 als wichtig eingestufte Einrichtungen.

Die Gegenüberstellung

Kriterium Wesentliche Einrichtung Wichtige Einrichtung
Rechtsgrundlage § 24 Abs. 1 NISG § 24 Abs. 2 NISG
Typische Einordnung große Anlage-1-Einrichtungen + größenunabhängige Sonderfälle mittlere Anlage-1- + (große/mittlere) Anlage-2-Einrichtungen
Aufsicht proaktiv — auch anlasslose Prüfungen möglich reaktiv — Prüfung im Anlassfall (Hinweis/Vorfall)
Strafobergrenze (schwere Pflichtverstöße) bis 10 Mio. € oder 2 % des weltweiten Vorjahresumsatzes — der höhere Betrag (§ 45 Abs. 2) bis 7 Mio. € oder 1,4 % des weltweiten Vorjahresumsatzes — der höhere Betrag (§ 45 Abs. 3)
Leitungsuntersagung möglich — Behörde kann Leitungsaufgaben vorübergehend untersagen (§ 39 Abs. 4 Z 2) nicht vorgesehen
Inhaltliche Pflichten Registrierung, Risikomanagement, Meldung, Nachweise dieselben inhaltlichen Pflichten

Warum die Unterscheidung zählt

1. Aufsicht. Wesentliche Einrichtungen müssen damit rechnen, dass die Behörde proaktiv prüft — auch ohne konkreten Anlass. Hier zahlt sich ein lückenlos dokumentierter, prüffester Compliance-Stand besonders aus. Wichtige Einrichtungen werden in der Regel reaktiv geprüft — etwa nach einem gemeldeten Vorfall oder einem Hinweis. Das senkt nicht die Pflichten, wohl aber die Wahrscheinlichkeit einer anlasslosen Kontrolle.

2. Strafobergrenzen. Für schwere Pflichtverstöße (etwa gegen die Risikomanagement-Pflichten nach § 32, die Governance-/Schulungspflichten nach § 31 oder die Meldepflichten nach § 34) reicht der Rahmen bei wesentlichen Einrichtungen bis 10 Mio. € oder 2 % des weltweiten Vorjahresumsatzes (der höhere Betrag, § 45 Abs. 2), bei wichtigen bis 7 Mio. € oder 1,4 % (§ 45 Abs. 3).

Wichtig einzuordnen: Diese Höchstbeträge gelten für inhaltliche Pflichtverstöße. Administrative Verstöße — etwa eine verspätete Registrierung oder verspätete Änderungsmeldung — fallen unter eine niedrigere Stufe: bis 50.000 €, im Wiederholungsfall bis 100.000 € (§ 45 Abs. 4). Die „10-Mio.-Schlagzeile" trifft also nicht jede Verspätung. Details im → Ratgeber zu NIS2-Strafen.

3. Leitungsfunktion. Nur bei wesentlichen Einrichtungen kann die Behörde Leitungsorganen (inkl. rechtlicher Vertreter) mit Bescheid vorübergehend untersagen, Leitungsaufgaben wahrzunehmen (§ 39 Abs. 4 Z 2); der Bescheid wird dem Firmenbuchgericht übermittelt. Die Maßnahme ist aufzuheben, sobald die Mängel nachweislich behoben sind (§ 39 Abs. 5), und gilt nicht für Stellen der öffentlichen Verwaltung (§ 39 Abs. 6). Bei wichtigen Einrichtungen ist sie nicht vorgesehen.

Dahinter steht die Governance-Pflicht aus § 31: Das Leitungsorgan muss die Risikomanagement-Maßnahmen sicherstellen und beaufsichtigen und an Cybersicherheitsschulungen teilnehmen. Geldstrafen treffen dabei primär die juristische Person (§ 44) — von einer pauschalen „persönlichen Haftung der Geschäftsführung" zu sprechen, wäre verkürzt. Mehr dazu unter → Pflichten der Geschäftsleitung & Schulung.

Welche Pflichten sind gleich?

Unabhängig von der Kategorie müssen beide sich registrieren (§ 29), Risikomanagementmaßnahmen umsetzen (§ 32), erhebliche Vorfälle melden (§ 34/35) und ihre Governance sicherstellen (§ 31). Die Unterscheidung ändert also nichts daran, was zu tun ist — nur daran, wie genau kontrolliert und wie hoch sanktioniert wird.

Beispiele

Diese Beispiele dienen der Veranschaulichung; die genaue Einstufung erfolgt anhand Ihrer konkreten Daten im Scope-Wizard.

  • Großer Energieversorger (400 MA, Anlage 1) → voraussichtlich wesentlich (große Anlage-1-Einrichtung).
  • Maschinenbauer (120 MA, Anlage 2 „verarbeitendes Gewerbe") → voraussichtlich wichtig (mittlere Anlage-2-Einrichtung).
  • Mittleres Krankenhaus (180 MA, Anlage 1 Gesundheit) → voraussichtlich wichtig, weil mittel in Anlage 1 (wesentlich wäre die große Anlage-1-Einrichtung); bei großer Trägerstruktur ggf. wesentlich.
  • DNS-Diensteanbieter (10 MA) → voraussichtlich wesentlich (größenunabhängiger Sonderfall).

Welche Kategorie gilt für Sie?

Wählen Sie Sektor und Größe und sehen Sie sofort, ob Sie voraussichtlich als wesentliche oder wichtige Einrichtung eingestuft werden — inklusive nachvollziehbarer Regel-Spur. Die Plattform unterstützt Sie dabei mit unveränderlichen Snapshots und einem manipulationssicheren Audit-Ledger. Jetzt kostenlos prüfen

Häufige Fragen (FAQ)

Was ist der Unterschied zwischen wesentlicher und wichtiger Einrichtung? Beide haben weitgehend dieselben inhaltlichen Pflichten. Wesentliche Einrichtungen (§ 24 Abs. 1) unterliegen einer eher proaktiven Aufsicht, höheren Strafobergrenzen und der Möglichkeit einer Leitungsuntersagung; wichtige Einrichtungen (§ 24 Abs. 2) einer eher reaktiven Aufsicht.

Ist „wichtig" weniger streng als „wesentlich"? Die inhaltlichen Pflichten sind im Kern gleich. Geringer sind bei wichtigen Einrichtungen die Aufsichtsintensität (reaktiv) und die maximale Strafhöhe; außerdem ist die vorübergehende Untersagung der Leitungsfunktion nur bei wesentlichen Einrichtungen vorgesehen.

Wie wird entschieden, ob ich wesentlich oder wichtig bin? Über die Kombination aus Sektor (Anlage 1 oder 2) und Größe (mittel/groß nach § 25) — plus größenunabhängige Sonderfälle (z. B. DNS, qTSP) und eine mögliche Einstufung durch die Behörde nach § 26.

Welche Strafen drohen wesentlichen und wichtigen Einrichtungen? Für schwere Pflichtverstöße bis 10 Mio. € / 2 % (wesentlich, § 45 Abs. 2) bzw. 7 Mio. € / 1,4 % (wichtig, § 45 Abs. 3) des weltweiten Vorjahresumsatzes — jeweils der höhere Betrag. Administrative Verstöße wie eine verspätete Registrierung fallen unter eine niedrigere Stufe (bis 50.000 €, im Wiederholungsfall bis 100.000 €, § 45 Abs. 4).

Können Geschäftsführer persönlich belangt werden? Das Leitungsorgan muss die § 32-Maßnahmen sicherstellen und beaufsichtigen (§ 31). Geldstrafen treffen primär die juristische Person (§ 44). Zusätzlich kann die Behörde Leitungsorganen einer wesentlichen Einrichtung die Leitungsfunktion vorübergehend untersagen (§ 39 Abs. 4 Z 2) — nicht jedoch bei wichtigen Einrichtungen oder in der öffentlichen Verwaltung.

Haben wichtige Einrichtungen auch Meldepflichten? Ja. Die Meldepflicht für erhebliche Vorfälle (24-h-Frühwarnung, 72-h-Meldung, Abschlussbericht binnen eines Monats; § 34/35) gilt für wesentliche und wichtige Einrichtungen gleichermaßen.

Stand: Juni 2026. Dieser Beitrag dient der allgemeinen Orientierung und ersetzt keine Rechtsberatung. Eine verbindliche Einstufung trifft allein die zuständige Behörde mit Bescheid. Maßgeblich ist der Gesetzestext (BGBl. I Nr. 94/2025). Quellen: RIS / BGBl. I Nr. 94/2025, nis.gv.at, WKO.