Wichtig vs Besonders Wichtig vs KRITIS: Gleiche Arbeit, unterschiedliche Konsequenzen
NIS2 definiert drei Stufen regulierter Einrichtungen. Die Sicherheitsmaßnahmen sind bei allen drei identisch. Was sich ändert, ist wie genau das BSI Sie überwacht und wie hart die Strafen ausfallen.
Drei Stufen, ein Regelwerk
Die deutsche NIS2-Umsetzung (BSIG) unterteilt regulierte Einrichtungen in drei Kategorien: wichtige Einrichtungen, besonders wichtige Einrichtungen und Betreiber kritischer Anlagen (KRITIS). Viele Unternehmen verbringen Wochen damit, ihre Kategorie herauszufinden, bevor sie mit der Compliance-Arbeit beginnen.
Die entscheidende Erkenntnis: Für die Arbeit selbst spielt es keine Rolle. Alle drei Kategorien müssen dieselben 10 Sicherheitsmaßnahmenkategorien gemäß §30(2) BSIG umsetzen. Dasselbe Risikomanagement. Dieselbe Vorfallmeldung. Dieselbe Lieferkettensicherheit. Dieselben Zugangskontrollen. Dieselben Verschlüsselungsrichtlinien. Dieselbe Notfallplanung.
Die Unterschiede liegen in der Aufsicht (wie das BSI Sie überwacht), den Bußgeldern (wie viel Sie bei Nicht-Compliance zahlen) und drei Zusatzpflichten, die nur für KRITIS-Betreiber gelten. Der Compliance-Prozess, den Sie auf NISD2 durchlaufen, deckt alle drei Kategorien identisch ab.
| Kriterium | Wichtig | Besonders Wichtig | KRITIS |
|---|---|---|---|
| Unternehmensgröße | 50+ Mitarbeiter ODER >10 Mio. EUR Umsatz und >10 Mio. EUR Bilanzsumme | 250+ Mitarbeiter ODER >50 Mio. EUR Umsatz und >43 Mio. EUR Bilanzsumme | Jede Größe - bestimmt durch Infrastruktur-Schwellenwerte (z.B. 500.000 versorgte Personen) |
| Sektoren | Anlage 1 (Energie, Verkehr, Finanzwesen, Gesundheit, Wasser, Digitale Infrastruktur, Weltraum) + Anlage 2 (Post, Abfall, Chemie, Lebensmittel, Verarbeitendes Gewerbe, Digitale Dienste, Forschung) | Nur Anlage-1-Sektoren (mittelgroße Unternehmen in Anlage 1 werden als wichtig eingestuft, nicht als besonders wichtig) | Teilmenge der besonders wichtigen - nur Einrichtungen, deren Ausfall die öffentliche Versorgung stören würde |
| Größenunabhängige Einschlüsse | Nicht-qualifizierte Vertrauensdiensteanbieter, kleine Telekommunikationsanbieter | Qualifizierte Vertrauensdienste, TLD-Registrierungsstellen, DNS-Diensteanbieter, große Telekommunikationsanbieter | Betreiber kritischer Anlagen gemäß BSI-KritisV (Stromnetze, Wasseraufbereitung, Krankenhäuser usw.) |
Der EU-Schwellenwert für mittlere Unternehmen lautet: 50+ Mitarbeiter ODER (>10 Mio. EUR Umsatz UND >10 Mio. EUR Bilanzsumme). Beide Finanzkennzahlen müssen gleichzeitig erfüllt sein - hoher Umsatz allein reicht nicht. Für besonders wichtige Einrichtungen gilt der Großunternehmensschwellenwert: 250+ Mitarbeiter ODER (>50 Mio. EUR Umsatz UND >43 Mio. EUR Bilanzsumme). Diese Beispiele zeigen, wie die Regeln in der Praxis angewandt werden.
| Szenario | Mitarbeiter | Umsatz | Bilanzsumme | Sektor | Einstufung |
|---|---|---|---|---|---|
| Umsatzstarkes Handelsunternehmen, kleines Team | 12 | 25 Mio. € | 18 Mio. € | Anlage 1 - Bankwesen | Wichtig - beide Finanzschwellen überschritten (>10 Mio. €), Mitarbeiterzahl irrelevant |
| Großer Hersteller, niedrige Marge | 200 | 5 Mio. € | 3 Mio. € | Anlage 2 - Verarbeitendes Gewerbe | Wichtig - Mitarbeiterzahl ≥50 reicht aus, Umsatz spielt keine Rolle |
| SaaS-Startup, hoher Umsatz, winziges Team | 8 | 15 Mio. € | 4 Mio. € | Anlage 1 - Digitale Infrastruktur | Nicht betroffen - Umsatz >10 Mio. €, aber Bilanzsumme <10 Mio. €. BEIDE müssen erfüllt sein |
| Regionalkrankenhaus | 400 | 60 Mio. € | 45 Mio. € | Anlage 1 - Gesundheit | Besonders wichtig - 250+ Mitarbeiter in Anlage-1-Sektor. Bei >30.000 stationären Fällen/Jahr: KRITIS |
| Energiehändler, asset-light | 15 | 120 Mio. € | 55 Mio. € | Anlage 1 - Energie | Besonders wichtig - beide Großunternehmensschwellen überschritten (>50 Mio. € Umsatz UND >43 Mio. € Bilanzsumme) |
| Abfallentsorgungsunternehmen | 80 | 8 Mio. € | 6 Mio. € | Anlage 2 - Abfallbewirtschaftung | Wichtig - 80 Mitarbeiter ≥50, trotz niedrigem Umsatz. Nur NACE E.38 (nicht Sanierung E.39) |
| Managed Service Provider (MSP) | 45 | 12 Mio. € | 11 Mio. € | Anlage 1 - IKT-Dienstleistungsmanagement | Wichtig - unter 50 Mitarbeiter, aber beide Finanzschwellen überschritten. Unterliegt auch CIR 2024/2690 |
| Lebensmittelverarbeiter, Saisonarbeit | 55 (Jahresdurchschnitt) | 9 Mio. € | 7 Mio. € | Anlage 2 - Lebensmittel | Wichtig - Mitarbeiterzahl verwendet Jahresarbeitseinheiten (Empf. 2003/361/EG Art. 5). Saisonspitzen zählen anteilig |
| Qualifizierter Vertrauensdiensteanbieter (qTSP) | 3 | 500.000 € | 200.000 € | Anlage 1 - Digitale Infrastruktur | Besonders wichtig - größenunabhängig nach §28(1) BSIG. qTSPs sind immer besonders wichtig |
| Chemiedistributor, große Tochtergesellschaft | 180 | 70 Mio. € | 50 Mio. € | Anlage 2 - Chemische Stoffe | Wichtig - trotz großer Finanzkennzahlen, Anlage-2-Sektoren maximal wichtig. Nur Anlage 1 + groß = besonders wichtig |
Größenschwellen gemäß EU-Empfehlung 2003/361/EG Art. 2, referenziert durch NIS2-Richtlinie Art. 2(1). Mitarbeiterzahl verwendet Jahresarbeitseinheiten (Art. 5). Verbund-/Partnerunternehmensregeln (Anhang Art. 3) können Mitarbeiterzahl und Finanzkennzahlen der Muttergesellschaft aggregieren. Sektorklassifizierung gemäß NIS2-Richtlinie Anlage I/II, umgesetzt in BSIG §28 Anlage 1/2. Größenunabhängige Fälle nach §28(1) BSIG.
Was bei allen drei Kategorien identisch ist
Die in §30(2) BSIG definierten Compliance-Pflichten sind für wichtige, besonders wichtige und KRITIS-Einrichtungen gleich. Es gibt keine leichtere Version für wichtige und keine schwerere Version für besonders wichtige Einrichtungen. Die 10 Sicherheitsmaßnahmenkategorien gelten gleichermaßen:
- Risikomanagement-Konzepte und -Verfahren (§30(2) Nr. 1)
- Vorfallbehandlung und Meldung - 24h Erstmeldung, 72h Detailbericht, 1 Monat Abschlussbericht (§32)
- Business Continuity und Notfallwiederherstellung (§30(2) Nr. 3)
- Sicherheit in der Lieferkette (§30(2) Nr. 4)
- Sicherheit bei Beschaffung, Entwicklung und Wartung (§30(2) Nr. 5)
- Konzepte zur Bewertung der Wirksamkeit von Sicherheitsmaßnahmen (§30(2) Nr. 6)
- Cyberhygiene und Schulungen (§30(2) Nr. 7)
- Kryptografie und Verschlüsselung (§30(2) Nr. 8)
- Personalsicherheit und Zugangskontrolle (§30(2) Nr. 9)
- Multi-Faktor-Authentifizierung und sichere Kommunikation (§30(2) Nr. 10)
- Registrierung beim BSI innerhalb von 3 Monaten (§33)
- Geschäftsführerhaftung - persönliche Verantwortung für die Genehmigung und Überwachung von Sicherheitsmaßnahmen (§38)
Das bedeutet: Die NISD2-Plattform deckt alle Einrichtungsarten mit denselben Anforderungen ab. Ob Sie ein wichtiges Lebensmittelunternehmen oder ein besonders wichtiger Energieversorger sind - der Compliance-Prozess ist identisch. Sie erfüllen dieselben Anforderungen, erstellen dieselben Nachweise und erfüllen dieselben Standards.
| Pflicht | Wichtig | Besonders Wichtig | KRITIS |
|---|---|---|---|
| 10 Sicherheitsmaßnahmen (§30) | Erforderlich | Erforderlich | Erforderlich |
| Vorfallmeldung (§32) | 24h / 72h / 1 Monat | 24h / 72h / 1 Monat | 24h / 72h / 1 Monat |
| BSI-Registrierung (§33) | Standard | Standard | Erweitert - kritische Dienstleistung, Versorgungskennzahlen, Standort, 24/7-Kontakt |
| Geschäftsführerhaftung (§38) | Persönliche Haftung | Persönliche Haftung | Persönliche Haftung |
| BSI-Aufsicht | Nur reaktiv (§62) - BSI handelt nur bei Hinweisen auf Nicht-Compliance | Proaktiv (§61) - BSI kann jederzeit ohne Anlass prüfen | Proaktiv + verpflichtender 3-Jahres-Nachweiszyklus (§39) |
| Maximales Bußgeld (Basis) | 7.000.000 EUR | 10.000.000 EUR | 10.000.000 EUR |
| Maximales Bußgeld (Umsatz) | 1,4 % des weltweiten Umsatzes | 2 % des weltweiten Umsatzes | 2 % des weltweiten Umsatzes |
| Angriffserkennung (§31) | Nicht erforderlich | Nicht erforderlich | Erforderlich - kontinuierliche SIEM/SOC-Fähigkeit |
| Verpflichtender Nachweis (§39) | Nicht erforderlich | Nicht erforderlich | Erforderlich - alle 3 Jahre, beim BSI einzureichen |
KRITIS: Drei zusätzliche Pflichten
KRITIS-Betreiber - Einrichtungen, die Infrastruktur betreiben, deren Ausfall die öffentliche Versorgung stören würde (Stromnetze, Wasseraufbereitung, Krankenhäuser) - müssen drei zusätzliche Anforderungen über die Pflichten wichtiger und besonders wichtiger Einrichtungen hinaus erfüllen.
§31 - Systeme zur Angriffserkennung (Angriffserkennungssysteme)
Sie benötigen ein System, das Ihr Netzwerk rund um die Uhr überwacht und laufende Angriffe oder bereits erfolgte Einbrüche erkennen kann. In der Praxis bedeutet das ein SIEM (Security Information and Event Management) - Software, die Logs von jedem Server, jeder Firewall und jedem Endgerät sammelt, korreliert und bei Anomalien alarmiert. Es muss sowohl Mustererkennung ALS AUCH Anomalieerkennung nutzen, nicht nur Signaturen. Die meisten Unternehmen lagern dies an einen Managed-SOC-Anbieter aus, was typischerweise 5.000-15.000 EUR pro Monat kostet. Normale NIS2-Einrichtungen können mit Basis-Monitoring auskommen - KRITIS-Betreiber ausdrücklich nicht.
§33(2) - Erweiterte Registrierung beim BSI
Zusätzlich zur Standard-Registrierung (Name, Sektor, Kontakt) müssen KRITIS-Betreiber dem BSI genau mitteilen, welche kritische Dienstleistung sie erbringen (z.B. 'Trinkwasserversorgung für 200.000 Personen'), welche kritischen Komponenten sie verwenden, den physischen Standort der Anlage und eine 24/7-Kontaktperson. Versorgungskennzahlen müssen jährlich gemeldet werden - das BSI nutzt diese, um zu prüfen, ob Sie weiterhin den KRITIS-Schwellenwert überschreiten (definiert in BSI-KritisV, z.B. 500.000 versorgte Personen für Wasser, 104 MW für Strom).
§39 - Verpflichtender Compliance-Nachweis alle 3 Jahre (Nachweispflicht)
Alle 3 Jahre müssen Sie proaktiv Audit-Ergebnisse, Sicherheitsberichte oder Zertifizierungen beim BSI einreichen, die die Einhaltung aller §30-Maßnahmen und der §31-Angriffserkennung nachweisen. Das BSI muss Sie nicht aufsuchen - Sie kommen zum BSI. Bei festgestellten Mängeln erlässt das BSI verbindliche Anordnungen mit Fristen und verlangt den Nachweis der Behebung. Stellen Sie es sich wie einen verpflichtenden ISO-Zertifizierungszyklus vor, nur dass der Prüfer die Regierung ist. Erste Frist: Dezember 2028 (5 Jahre für Krankenhäuser: Dezember 2030).
Was das für Ihr Unternehmen bedeutet
Wenn Sie ein Unternehmen mit 50-250 Mitarbeitern in Deutschland sind - der typische NISD2-Nutzer - sind Sie mit hoher Wahrscheinlichkeit als wichtige Einrichtung eingestuft. Ihr Produktionsunternehmen, Lebensmittelbetrieb oder IT-Dienstleister fällt in diese Kategorie. Die Compliance-Arbeit, die Sie leisten müssen, ist exakt dieselbe wie bei einem großen besonders wichtigen Unternehmen oder sogar einem KRITIS-Betreiber. Der einzige praktische Unterschied: Das BSI wird Sie nicht proaktiv prüfen, es sei denn, es gibt einen Anlass (einen Vorfall, eine Beschwerde oder einen Hinweis).
Das ist kein Grund, weniger zu tun. Wenn das BSI Sie doch prüft - reaktiv, nach einem Vorfall - und Nicht-Compliance feststellt, drohen Bußgelder bis zu 7 Millionen EUR oder 1,4 % des weltweiten Umsatzes. Und Ihre Geschäftsführung haftet persönlich nach §38. Die sicherste Position ist vollständige Compliance unabhängig von der Kategorie. NISD2 bietet Ihnen denselben Compliance-Prozess, den auch besonders wichtige und KRITIS-Einrichtungen nutzen, weil die Anforderungen identisch sind.
Häufig gestellte Fragen
Kann mein Unternehmen gleichzeitig wichtig und besonders wichtig sein?
Nein. Die Kategorien schließen sich nach §28 BSIG gegenseitig aus. Wenn Sie den Schwellenwert für besonders wichtig erreichen (250+ Mitarbeiter oder >50 Mio. EUR Umsatz in einem Anlage-1-Sektor), sind Sie besonders wichtig. Wenn Sie den Schwellenwert für wichtig, aber nicht für besonders wichtig erreichen, sind Sie wichtig. KRITIS ist eine Teilmenge der besonders wichtigen - KRITIS-Betreiber werden automatisch als besonders wichtig eingestuft, mit zusätzlichen Pflichten.
Ich bin eine wichtige Einrichtung. Muss ich weniger Compliance-Arbeit leisten?
Nein. Die 10 Sicherheitsmaßnahmenkategorien in §30(2) BSIG gelten identisch für wichtige und besonders wichtige Einrichtungen. Der einzige Unterschied liegt in der Durchsetzung: Das BSI überwacht besonders wichtige Einrichtungen proaktiv (anlasslose Prüfungen) und wichtige Einrichtungen reaktiv (nur bei Hinweisen auf Nicht-Compliance). Aber die Maßnahmen selbst, die Meldefristen und die Geschäftsführerhaftung sind identisch.
Wie weiß ich, ob ich KRITIS bin?
Die KRITIS-Klassifizierung ist in der BSI-KritisV definiert, basierend auf spezifischen Versorgungsschwellenwerten: 500.000 versorgte Personen für Wasser, 104 MW installierte Leistung für Strom, 30.000 stationäre Fälle pro Jahr für Krankenhäuser usw. Wenn der Ausfall Ihrer Infrastruktur die öffentliche Versorgung nicht in dieser Größenordnung direkt stören würde, sind Sie kein KRITIS. Die meisten mittelständischen Unternehmen sind nicht KRITIS - sie sind wichtige oder besonders wichtige Einrichtungen.
Was passiert, wenn ich meine Einrichtungskategorie falsch einschätze?
Die Klassifizierung bestimmt die Aufsichtsintensität und Bußgeldgrenzen, nicht was Sie umsetzen müssen. Wenn Sie alle 10 Maßnahmenkategorien umsetzen (wozu NISD2 Sie anleitet), sind Sie compliant - unabhängig von der Klassifizierung. Das Risiko einer Fehleinschätzung liegt darin, Ihre Aufsichtsexposition zu unterschätzen - zu glauben, das BSI werde Sie nicht prüfen, obwohl es das kann.
Unterscheidet die CIR 2024/2690 zwischen wichtigen und besonders wichtigen Einrichtungen?
Nein. Die CIR gilt für bestimmte Einrichtungsarten (Cloud-Anbieter, DNS-Diensteanbieter, Managed-Service-Provider usw.) unabhängig davon, ob sie als wichtig oder besonders wichtig eingestuft sind. Die technischen Anforderungen der CIR sind für beide Kategorien identisch.
- §28 BSIG - Einrichtungsklassifizierung (besonders wichtige und wichtige Einrichtungen)
- §30 BSIG - Risikomanagementmaßnahmen (10 Kategorien, identisch für alle Einrichtungsarten)
- §31 BSIG - Systeme zur Angriffserkennung (nur KRITIS)
- §32 BSIG - Meldepflichten (identische Fristen für alle Einrichtungsarten)
- §33 BSIG - Registrierungspflichten (erweitert für KRITIS)
- §38 BSIG - Geschäftsführerhaftung (identisch für alle Einrichtungsarten)
- §39 BSIG - Nachweispflicht (nur KRITIS, alle 3 Jahre)
- §61 BSIG - Aufsicht über besonders wichtige Einrichtungen (proaktiv)
- §62 BSIG - Aufsicht über wichtige Einrichtungen (reaktiv)
- §65 BSIG - Bußgelder und Sanktionen
- CIR 2024/2690 - EU-Durchführungsverordnung (keine Unterscheidung nach Einrichtungsart)
- BSI-KritisV - KRITIS-Schwellenwertverordnung