Unter der NIS2-Richtlinie und dem dadurch geänderten BSI-Gesetz (BSIG) drohen neue Bußgelder bei Verstößen. Schon wer seine NIS2-Compliance nicht einwandfrei nachweisen kann, kommt ggfs. ins Visier der Aufsichtsbehörde – dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Wir erklären, welche Sanktionen bei NIS2-Verstößen drohen, wie Bußgeldverfahren ablaufen und wie sich Unternehmen wirksam schützen können.
Tipp: Lesen Sie auch, wie Sie Nachweise für Ihre NIS2-Compliance erbringen können.
Welche Bußgelder drohen bei NIS2-Verstößen?
Das NIS2-Bußgeldregime nach § 65 BSIG staffelt die Sanktionen nach Einrichtungskategorie und der Schwere des Verstoßes. Dabei ist gesetzlich verankert, dass die Bußgelder wirksam, verhältnismäßig und abschreckend sein müssen – eine Vorgabe, die sich direkt aus Artikel 34 Absatz 1 der NIS2-Richtlinie (EU) 2022/2555 ableitet und in der deutschen Umsetzung im BSIG übernommen wurde.
- Besonders wichtige Einrichtungen: bis zu 10 Mio. Euro oder bis zu 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist;
- Wichtige Einrichtungen: bis zu 7 Mio. Euro bzw. 1,4 % des weltweiten Jahresumsatzes;
- Weniger schwere Verstöße (z.B. gegen Mitwirkungspflichten): abgestufter Rahmen bis hinab zu 100.000 Euro.
Achtung: Bußgeldtatbestände unter NIS2 knüpfen nicht erst an einen eingetretenen Sicherheitsvorfall an. Bereits das bloße Unterlassen angemessener Risikomanagementmaßnahmen, ein Verstoß gegen Meldepflichten oder fehlende Dokumentation kann sanktioniert werden.
Besonders ins Gewicht fallen Verstöße gegen die Erstmeldepflicht bei erheblichen Sicherheitsvorfällen (innerhalb von 24 Stunden), gegen die Folgeberichtspflicht (72 Stunden) und gegen die Abschlussmeldepflicht (ein Monat).
Bei der Bemessung der Geldbuße sind unter anderem zu berücksichtigen:
- Schwere und Dauer des Verstoßes,
- frühere Verstöße,
- verursachte Schäden,
- Vorsatz oder Fahrlässigkeit,
- ergriffene Gegenmaßnahmen sowie
- der Umfang der Kooperation mit den Behörden.
Unser Tipp: Die Erfahrung mit den Datenschutz-Aufsichtsbehörden in Deutschland und auch EU-weit zeigt, dass eine frühzeitige und konstruktive Zusammenarbeit mit dem BSI die Bußgeldhöhe im Einzelfall erheblich beeinflussen dürfte.
Besonders relevant wird die Bußgeldberechnung unter NIS2 für Konzerne: Das BSI kann gemäß § 65 Abs. 8 BSIG den weltweiten Konzernumsatz als Bußgeldgrundlage heranziehen – und ihn im Zweifel schätzen. Ein internationaler Konzern mit 5 Mrd. Euro Jahresumsatz riskiert damit Geldbußen in zweistelliger Millionenhöhe.
Hinweis: § 65 Abs. 11 BSIG verbietet eine Doppelsanktionierung für dasselbe Verhalten durch DSGVO-Bußgelder und BSIG-Bußgelder. In der Praxis wirft die Abgrenzung jedoch Auslegungsfragen auf, insbesondere wenn ein Sicherheitsvorfall gleichzeitig eine Datenschutzverletzung darstellt.
Wie wahrscheinlich sind NIS2-Bußgeldverfahren?
Die NIS1-Umsetzung wurde in der Praxis vielerorts als eher zurückhaltend wahrgenommen. Bei NIS2 sprechen jedoch mehrere Faktoren dafür, dass Aufsicht und Sanktionen künftig sichtbarer werden könnten – auch wenn sich das Ausmaß der tatsächlichen Bußgeldpraxis erst nach Inkrafttreten und erster Anwendung belastbar beurteilen lässt.
Deutlich höhere Bußgeldrahmen erhöhen den Druck, Pflichten tatsächlich nachweisbar umzusetzen
Die NIS2-Umsetzung sieht im Vergleich zu früher deutlich höhere Bußgeldrahmen vor. In den Umsetzungsdiskussionen wird dies als „massive Erhöhung“ beschrieben. Beispielhaft wird ein Rahmen von bis zu 2 % des weltweiten Jahresumsatzes genannt. Höhere Bußgeldrahmen machen NIS2-Compliance somit in der Praxis stärker „prüf- und sanktionsrelevant“ – und zwar nicht nur als formale Pflicht, sondern auch als Thema, das bei Prüfungen und Beanstandungen finanzielle Folgen haben kann.
Effizientere Verfahren können zu konsequenterer Aufsicht beitragen
Parallel dazu wird darauf hingewiesen, dass Verfahrensregelungen geschaffen werden sollen, damit das BSI „effizienter durchgreifen“ kann. Wenn Kontrollen und Verfahren einfacher handhabbar sind, steigt tendenziell die Wahrscheinlichkeit, dass Auffälligkeiten tatsächlich aufgegriffen werden und bei Verstößen auch in Verfahren münden.
Bußgelder können auch ohne „Großvorfall“ relevant werden
Für die Wahrscheinlichkeit ist außerdem entscheidend, dass Sanktionsrisiken nicht nur an eingetretene Sicherheitsvorfälle, sondern auch an Organisations-, Melde- und Dokumentationspflichten anknüpfen. Ein Bußgeldverfahren kann somit auch dann eingeleitet werden, wenn angemessene Maßnahmen nicht nachvollziehbar umgesetzt wurden oder Melde- bzw. Dokumentationsanforderungen verletzt wurden – selbst wenn kein spektakulärer Vorfall öffentlich bekannt wird.
Wie laufen NIS2-Bußgeldverfahren ab?
Zuständige Verwaltungsbehörde für Bußgeldverfahren ist gem. § 59 BSIG das BSI. In dem vorgesehenen System hat es eine Doppelrolle als fachliche Aufsichtsbehörde und als zuständige Verwaltungsbehörde für das Ordnungswidrigkeitenverfahren.
Bußgeldrisiken ergeben sich dabei häufig aus vorangehendem Aufsichtshandeln, beispielsweise durch angeordnete Prüfungen (auch durch unabhängige Stellen), durch die Anforderung und Vorlage von Nachweisen bzw. Dokumentationen oder durch Anordnungen zur Beseitigung festgestellter Sicherheitsmängel. Das BSI kann die Einhaltung der Pflichten außerdem selbst prüfen und dabei einen qualifizierten unabhängigen Dritten hinzuziehen.
Den Sanktionen vorgeschaltet sind typischerweise Aufsichtsmaßnahmen.
Kann ein NIS2-Bußgeld gerichtlich abgewehrt werden?
Grundsätzlich ja. Bußgeldbescheide des BSI können nach Ordnungswidrigkeitenrechts überprüft; zuständig ist insoweit das Ordnungswidrigkeitenverfahren nach OWiG, für welches das BSI im vorgesehenen System als Verwaltungsbehörde fungiert. Inhaltlich lässt sich eine Verteidigung typischerweise in zwei Ebenen gliedern:
- Zum einen kann der Vorwurf dem Grunde nach bestritten werden (ob überhaupt ein bußgeldbewehrter Pflichtverstoß vorliegt).
- Zum anderen kann – wenn ein Verstoß im Kern feststeht – die Bemessung der Bußgeldhöhe angegriffen bzw. auf eine Reduzierung hingewirkt werden.
Für die Praxis folgt daraus vor allem: Eine saubere, nachvollziehbare Compliance-Organisation und belastbare Dokumentation sind nicht nur präventiv wichtig, sondern auch, um im Streitfall Tatsachen darlegen und bewerten zu können (z. B. Zuständigkeiten, Nachweise, ergriffene Maßnahmen).
Hinweis: Bußgelder richten sich primär gegen die juristische Person. Haben verantwortliche Organpersonen ihre Pflichten jedoch grob verletzt, besteht im Nachgang Regresspotenzial des Unternehmens gegen diese Personen – Innenhaftung nach § 93 Abs. 2 Aktiengesetz bzw. § 43 Abs. 2 GmbHG. Bereits eine einfache schuldhafte Pflichtverletzung genügt; einer groben Verletzung bedarf es nicht.
Zu beachten ist zudem, dass die Beweislast umgekehrt ist: Das betroffene Organmitglied muss nachweisen, dass es die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewandt hat. Auch strafrechtliche Risiken, etwa Untreue nach § 266 StGB, sind nicht auszuschließen, wenn das Management nachweislich pflichtwidrig gehandelt und dadurch dem Unternehmen Schaden zugefügt hat.
Fazit: NIS2-Bußgelder lassen sich vermeiden
Ob und wie schnell NIS2-Bußgelder in der Praxis verhängt werden, lässt sich derzeit noch nicht belastbar vorhersagen. Klar ist jedoch: Die vorgesehenen Bußgeldrahmen sind deutlich erhöht und die Aufsicht kann Pflichterfüllung durch Prüfungen, Nachweise und Kontrollen nachvollziehbar einfordern.
NIS2-Bußgelder lassen sich von vornherein vermeiden, indem Verantwortliche angemessene Risikomanagementmaßnahmen strukturiert umsetzen, ein belastbares Informationssicherheits-Managementsystems (ISMS) etablieren und entsprechende Nachweise sauber dokumentieren. Dadurch schützen Unternehmen zugleich Infrastruktur und Werte – und somit letzten Endes sich selbst.
