NIS2-Bußgelder: Höhe, Wahrscheinlichkeit und Abwehr

Inhalt

Unter der NIS2-Richtlinie und dem dadurch geänderten BSI-Gesetz (BSIG) drohen neue Bußgelder bei Verstößen. Schon wer seine NIS2-Compliance nicht einwandfrei nachweisen kann, kommt ggfs. ins Visier der Aufsichtsbehörde – dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Wir erklären, welche Sanktionen bei NIS2-Verstößen drohen, wie Bußgeldverfahren ablaufen und wie sich Unternehmen wirksam schützen können.

In aller Kürze

  • Bei NIS2-Verstößen drohen Bußgelder von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes.
  • Bußgelder können bereits bei fehlenden Sicherheitsmaßnahmen, Meldeverstößen oder mangelhafter Dokumentation relevant werden.
  • Besonders kritisch sind die Meldefristen: 24 Stunden, 72 Stunden und ein Monat.
  • Unternehmen reduzieren Bußgeldrisiken durch strukturierte NIS2-Compliance, ein belastbares ISMS und saubere Nachweise.

Welche Bußgelder drohen bei NIS2-Verstößen?

Der NIS2-Bußkatalog nach § 65 BSIG staffelt die Sanktionen nach Einrichtungskategorie und der Schwere des Verstoßes. Dabei ist gesetzlich verankert, dass die Bußgelder wirksam, verhältnismäßig und abschreckend sein müssen – eine Vorgabe, die sich direkt aus Art. 34 Absatz 1 der NIS2-Richtlinie (EU) 2022/2555 ableitet und in der deutschen Umsetzung im BSIG übernommen wurde.

  • Besonders wichtige Einrichtungen: bis zu 10 Mio. Euro oder bis zu 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist;
  • Wichtige Einrichtungen: bis zu 7 Mio. Euro bzw. 1,4 % des weltweiten Jahresumsatzes;
  • Weniger schwere Verstöße (z.B. gegen Mitwirkungspflichten): abgestufter Rahmen bis hinab zu 100.000 Euro.

Achtung: Bußgeldtatbestände unter NIS2 knüpfen nicht erst an einen eingetretenen Sicherheitsvorfall an. Bereits das bloße Unterlassen angemessener Risikomanagementmaßnahmen, ein Verstoß gegen Meldepflichten oder fehlende Dokumentation kann sanktioniert werden.

Besonders ins Gewicht fallen Verstöße gegen die Erstmeldepflicht bei erheblichen Sicherheitsvorfällen (innerhalb von 24 Stunden), gegen die Folgeberichtspflicht (72 Stunden) und gegen die Abschlussmeldepflicht (ein Monat).

Bei der Bemessung der Geldbuße sind unter anderem zu berücksichtigen:

  • Schwere und Dauer des Verstoßes,
  • frühere Verstöße,
  • verursachte Schäden,
  • Vorsatz oder Fahrlässigkeit,
  • ergriffene Gegenmaßnahmen sowie
  • der Umfang der Kooperation mit den Behörden.

Unser Tipp: Die Erfahrung mit den Datenschutz-Aufsichtsbehörden in Deutschland und auch EU-weit zeigt, dass eine frühzeitige und konstruktive Zusammenarbeit mit dem BSI die Bußgeldhöhe im Einzelfall erheblich beeinflussen dürfte.

Besonders relevant wird die Bußgeldberechnung unter NIS2 für Konzerne: Das BSI kann gemäß § 65 Abs. 8 BSIG den weltweiten Konzernumsatz als Bußgeldgrundlage heranziehen – und ihn im Zweifel schätzen. Ein internationaler Konzern mit 5 Mrd. Euro Jahresumsatz riskiert damit Geldbußen in zweistelliger Millionenhöhe.

Hinweis: § 65 Abs. 11 BSIG verbietet eine Doppelsanktionierung für dasselbe Verhalten durch DSGVO-Bußgelder und BSIG-Bußgelder. In der Praxis wirft die Abgrenzung jedoch Auslegungsfragen auf, insbesondere wenn ein Sicherheitsvorfall gleichzeitig eine Datenschutzverletzung darstellt.

Wie wahrscheinlich sind NIS2-Bußgeldverfahren?

Die NIS1-Umsetzung wurde in der Praxis vielerorts als eher zurückhaltend wahrgenommen. Bei NIS2 sprechen jedoch mehrere Faktoren dafür, dass Aufsicht und Sanktionen künftig sichtbarer werden könnten – auch wenn sich das Ausmaß der tatsächlichen Bußgeldpraxis erst nach Inkrafttreten und erster Anwendung belastbar beurteilen lässt.

Die NIS2-Umsetzung sieht im Vergleich zu früher deutlich höhere Bußgeldrahmen vor. In den Umsetzungsdiskussionen wird dies als „massive Erhöhung“ beschrieben. Beispielhaft wird ein Rahmen von bis zu 2 % des weltweiten Jahresumsatzes genannt. Höhere Bußgeldrahmen machen NIS2-Compliance somit in der Praxis stärker „prüf- und sanktionsrelevant“ – und zwar nicht nur als formale Pflicht, sondern auch als Thema, das bei Prüfungen und Beanstandungen finanzielle Folgen haben kann.

Parallel dazu wird darauf hingewiesen, dass Verfahrensregelungen geschaffen werden sollen, damit das BSI „effizienter durchgreifen“ kann. Wenn Kontrollen und Verfahren einfacher handhabbar sind, steigt tendenziell die Wahrscheinlichkeit, dass Auffälligkeiten tatsächlich aufgegriffen werden und bei Verstößen auch in Verfahren münden.

Für die Wahrscheinlichkeit ist außerdem entscheidend, dass Sanktionsrisiken nicht nur an eingetretene Sicherheitsvorfälle, sondern auch an Organisations-, Melde- und Dokumentationspflichten anknüpfen. Ein Bußgeldverfahren kann somit auch dann eingeleitet werden, wenn angemessene Maßnahmen nicht nachvollziehbar umgesetzt wurden oder Melde- bzw. Dokumentationsanforderungen verletzt wurden – selbst wenn kein spektakulärer Vorfall öffentlich bekannt wird.

Gegen wen richten sich NIS2-Bußgelder?

Bußgelder richten sich primär gegen die juristische Person. Haben verantwortliche Organpersonen ihre Pflichten jedoch grob verletzt, besteht im Nachgang Regresspotenzial des Unternehmens gegen diese Personen – Innenhaftung nach § 93 Abs. 2 Aktiengesetz bzw. § 43 Abs. 2 GmbHG. Bereits eine einfache schuldhafte Pflichtverletzung genügt; einer groben Verletzung bedarf es nicht.

Zu beachten ist zudem, dass die Beweislast umgekehrt ist: Die verantwortliche Führungskraft muss nachweisen, dass es die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewandt hat.

Auch strafrechtliche Risiken, etwa Untreue nach § 266 StGB, sind nicht auszuschließen, wenn das Management nachweislich pflichtwidrig gehandelt und dadurch dem Unternehmen Schaden zugefügt hat.

Tipp: Lesen Sie in unserem Ratgeber, wann die Geschäftsführung unter NIS2 persönlich haftet

Wie laufen NIS2-Bußgeldverfahren ab?

Zuständige Verwaltungsbehörde für Bußgeldverfahren ist gem. § 59 BSIG das BSI. In dem vorgesehenen System hat es eine Doppelrolle als fachliche Aufsichtsbehörde und als zuständige Verwaltungsbehörde für das Ordnungswidrigkeitenverfahren.

Bußgeldrisiken ergeben sich dabei häufig aus vorangehendem Aufsichtshandeln, beispielsweise durch angeordnete Prüfungen (auch durch unabhängige Stellen), durch die Anforderung und Vorlage von Nachweisen bzw. Dokumentationen oder durch Anordnungen zur Beseitigung festgestellter Sicherheitsmängel. Das BSI kann die Einhaltung der Pflichten außerdem selbst prüfen und dabei einen qualifizierten unabhängigen Dritten hinzuziehen.

Den Sanktionen vorgeschaltet sind typischerweise Aufsichtsmaßnahmen.

Kann ein NIS2-Bußgeld gerichtlich abgewehrt werden?

Grundsätzlich ja. Bußgeldbescheide des BSI können nach Ordnungswidrigkeitenrechts überprüft; zuständig ist insoweit das Ordnungswidrigkeitenverfahren nach Ordnungswidrigkeitengesetz (OWiG), für welches das BSI im vorgesehenen System als Verwaltungsbehörde fungiert. Inhaltlich lässt sich eine Verteidigung typischerweise in zwei Ebenen gliedern:

  • Zum einen kann der Vorwurf dem Grunde nach bestritten werden (ob überhaupt ein bußgeldbewehrter Pflichtverstoß vorliegt).
  • Zum anderen kann – wenn ein Verstoß im Kern feststeht – die Bemessung der Bußgeldhöhe angegriffen bzw. auf eine Reduzierung hingewirkt werden.

Für die Praxis folgt daraus vor allem: Eine saubere, nachvollziehbare Compliance-Organisation und belastbare Dokumentation sind nicht nur präventiv wichtig, sondern auch, um im Streitfall Tatsachen darlegen und bewerten zu können (z. B. Zuständigkeiten, Nachweise, ergriffene Maßnahmen).

Wie unterstützt mich activeMind dabei, NIS2-Bußgelder zu vermeiden?

Um NIS2-Bußgelder zu vermeiden, beraten wir Geschäftsführung und Vorstände von KMU und Konzernen zunächst zu den Pflichten, die sie persönlich treffen. Damit Sie Ihre Meldepflichten einhalten, bauen wir mit Ihnen rechtssichere Incident-Response-Prozesse auf, die sicherstellen, dass meldepflichtige Sicherheitsvorfälle fristgerecht und vollständig an das BSI gemeldet werden.

Darüber hinaus helfen Ihnen unsere Experten, die ergriffenen NIS2-Maßnahmen lückenlos zu dokumentieren. So können Sie jederzeit nachweisen, dass Sie Ihren Pflichten ordnungsgemäß nachgekommen sind.

Ihre Vorteile:

  • Unsere erfahrenen Experten strukturieren wir Ihre Compliance-Unterlagen so, dass Sie Zuständigkeiten, ergriffene Maßnahmen und Nachweise im Prüffall lückenlos und nachvollziehbar darlegen können – und überführen sie in ein belastbares Informationssicherheits-Managementsystems (ISMS).
  • Sie profitieren von unseren Erfahrungen in verschiedenen Branchen sowie mit unterschiedlichen Informationssicherheits-Normen, wodurch wir die Anforderungen von Auditoren und Aufsichtsbehörden bestens kennen.

Fazit: NIS2-Bußgelder lassen sich vermeiden

Ob und wie schnell NIS2-Bußgelder in der Praxis verhängt werden, lässt sich derzeit noch nicht belastbar vorhersagen. Klar ist jedoch: Die vorgesehenen Bußgeldrahmen sind deutlich erhöht und die Aufsicht kann Pflichterfüllung durch Prüfungen, Nachweise und Kontrollen nachvollziehbar einfordern.

NIS2-Bußgelder lassen sich von vornherein vermeiden, indem Verantwortliche angemessene Risikomanagementmaßnahmen strukturiert umsetzen, ein belastbares Informationssicherheits-Managementsystems (ISMS) etablieren und entsprechende Nachweise sauber dokumentieren. Dadurch schützen Unternehmen zugleich Infrastruktur und Werte – und somit letzten Endes sich selbst.

Weiterlesen

NIS2-Compliance: Darauf kommt es wirklich an!

Unsere Experten haben ihre Erfahrungen aus zahlreichen NIS2-Projekten für Sie gesammelt. 

Diese senden wir Ihnen kostenfrei und unverbindlich zu. Melden Sie sich jetzt an und erhalten alle Tipps zu NIS2 und BSIG! 

Für Unternehmen der
Finanzbranche

Vereinfachtes IKT-Risikomanagement
bei DORA

Webinar: 21. Okt. 2025 (11-12 Uhr)

Anmeldeschluss: 30. Sept. 2025!

Kostenfreies Erstgespräch

Sie schildern Ihr Anliegen zu NIS2. Unsere Experten geben Ihnen eine ehrliche Einschätzung. 30 Minuten am Telefon, kostenfrei und unverbindlich. 

Wir melden uns umgehend mit einem Terminvorschlag!

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.