NIS2-Bußgelder: Wer haftet und wie hoch sind die Strafen?

Warum NIS2-Bußgelder jedes Unternehmen betreffen können

Mit der NIS2-Richtlinie hat die Europäische Union den Rahmen für Cybersicherheitsanforderungen grundlegend verschärft. Die Umsetzung in deutsches Recht durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) betrifft schätzungsweise 30.000 Unternehmen in Deutschland. Und das Sanktionsregime hat es in sich: Die Bußgelder orientieren sich bewusst am Vorbild der DSGVO und sollen eine abschreckende Wirkung entfalten.

Für Geschäftsführer, IT-Leiter und Informationssicherheitsbeauftragte wird das Thema damit sehr konkret. Denn anders als bei vielen bisherigen IT-Sicherheitsvorschriften geht es nicht nur um Unternehmensstrafen. Die persönliche Haftung der Leitungsebene ist ausdrücklich im Gesetz verankert.

Dieser Artikel erklärt dir die Bußgeldstruktur der NIS2, die Haftungsregelungen, die Aufsichtsbefugnisse des BSI und was du als verantwortliche Person jetzt tun kannst, um dein Unternehmen und dich selbst zu schützen.

Der Bußgeldrahmen: Bis zu 10 Millionen Euro

Die NIS2-Richtlinie definiert zwei Kategorien von Einrichtungen und ordnet ihnen unterschiedliche Bußgeldrahmen zu. Die Höhe der Strafen hängt davon ab, ob dein Unternehmen als wesentliche oder als wichtige Einrichtung eingestuft wird.

Wesentliche Einrichtungen (Essential Entities)

Für wesentliche Einrichtungen gilt der schärfere Bußgeldrahmen:

• Bis zu 10 Millionen Euro oder
• 2 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres

Es gilt jeweils der höhere Betrag. Bei einem Unternehmen mit 800 Millionen Euro Jahresumsatz wären das also bis zu 16 Millionen Euro.

Zu den wesentlichen Einrichtungen zählen unter anderem Unternehmen aus den Sektoren Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, ICT-Dienstleistungsmanagement, öffentliche Verwaltung und Weltraum.

Wichtige Einrichtungen (Important Entities)

Für wichtige Einrichtungen gelten niedrigere, aber immer noch empfindliche Obergrenzen:

• Bis zu 7 Millionen Euro oder
• 1,4 % des gesamten weltweiten Jahresumsatzes

Auch hier gilt der höhere Wert. Wichtige Einrichtungen umfassen Sektoren wie Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe, Anbieter digitaler Dienste und Forschung.

Was das in der Praxis bedeutet

Die Umsatzabhängigkeit der Bußgelder ist entscheidend. Ein mittelständisches Unternehmen mit 50 Millionen Euro Umsatz riskiert als wesentliche Einrichtung ein Bußgeld von bis zu einer Million Euro. Ein Konzern mit 5 Milliarden Euro Umsatz könnte theoretisch mit bis zu 100 Millionen Euro belangt werden. Die feste Obergrenze von 10 Millionen Euro dient hier als Mindestmaß, nicht als Deckel, denn die prozentuale Berechnung kann diesen Betrag übersteigen.

Persönliche Haftung der Geschäftsführung

Der wohl bedeutendste Paradigmenwechsel der NIS2 betrifft die persönliche Verantwortung der Unternehmensleitung. Artikel 20 der NIS2-Richtlinie und die entsprechende deutsche Umsetzung stellen klar: Die Geschäftsführung muss die Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit billigen, ihre Umsetzung überwachen und kann für Verstöße persönlich haftbar gemacht werden.

Was Geschäftsführer konkret beachten müssen

Die Leitungsorgane, also Geschäftsführer bei einer GmbH, Vorstände bei einer AG oder persönlich haftende Gesellschafter bei einer KG, tragen die Verantwortung für drei zentrale Pflichten:

1. Billigung der Risikomanagement-Maßnahmen Du musst als Geschäftsführer die Cybersicherheitsstrategie deines Unternehmens aktiv genehmigen. Ein bloßes Abnicken reicht nicht aus. Du musst die wesentlichen Risiken kennen und die getroffenen Maßnahmen auf ihre Angemessenheit hin bewerten können.

2. Überwachung der Umsetzung Es genügt nicht, einmal eine Strategie zu verabschieden. Die Geschäftsführung muss regelmäßig prüfen, ob die beschlossenen Maßnahmen tatsächlich implementiert werden und wirksam sind. Dafür brauchst du Reporting-Strukturen und klare Verantwortlichkeiten.

3. Teilnahme an Schulungen NIS2 verpflichtet die Geschäftsführung ausdrücklich, an Schulungen zur Cybersicherheit teilzunehmen. Das ist keine freiwillige Weiterbildung, sondern eine gesetzliche Pflicht. Wer sich nicht schulen lässt, verstößt gegen die Richtlinie.

Konsequenzen der persönlichen Haftung

Die persönliche Haftung umfasst mehrere Dimensionen:

• Schadensersatzansprüche des eigenen Unternehmens: Wenn ein Bußgeld verhängt wird, weil die Geschäftsführung ihre Pflichten verletzt hat, kann das Unternehmen Regress nehmen. Die Geschäftsführung haftet dem Unternehmen gegenüber für den entstandenen Schaden.
• Keine Delegation möglich: Die Verantwortung für die Billigung und Überwachung der Cybersicherheitsmaßnahmen lässt sich nicht an den CISO, den IT-Leiter oder externe Berater delegieren. Die Ausführung kann delegiert werden, die Verantwortung bleibt.
• Abberufung und Tätigkeitsverbot: In schweren Fällen können die Aufsichtsbehörden bei wesentlichen Einrichtungen sogar ein vorübergehendes Verbot der Wahrnehmung von Leitungsaufgaben aussprechen.

D&O-Versicherung als Rettungsanker?

Viele Geschäftsführer verlassen sich auf ihre D&O-Versicherung (Directors and Officers) oder eine Cyber-Versicherung. Hier ist Vorsicht geboten. Ob die D&O-Versicherung bei NIS2-Verstößen greift, hängt stark von den konkreten Versicherungsbedingungen ab. Vorsätzliches Handeln oder bewusstes Unterlassen sind in der Regel nicht gedeckt. Wenn du als Geschäftsführer nachweislich keine Cybersicherheitsmaßnahmen gebilligt und keine Schulung besucht hast, könnte die Versicherung die Leistung verweigern. Kläre das frühzeitig mit deinem Versicherer ab.

Welche Verstöße wie geahndet werden

Nicht jeder Verstoß führt automatisch zum Höchstbußgeld. Die Sanktionsbehörden berücksichtigen verschiedene Faktoren bei der Bemessung. Die NIS2-Richtlinie gibt den Aufsichtsbehörden einen Katalog an Kriterien vor, die bei der Festsetzung der Bußgeldhöhe eine Rolle spielen.

Schwerwiegende Verstöße

Die höchsten Bußgelder drohen bei:

• Fehlende oder unzureichende Risikomanagement-Maßnahmen: Wenn dein Unternehmen keine angemessenen technischen und organisatorischen Maßnahmen implementiert hat, ist das ein fundamentaler Verstoß gegen die Kernpflichten der NIS2.
• Versäumte Meldepflichten: NIS2 schreibt ein dreistufiges Meldesystem vor. Ein Sicherheitsvorfall muss innerhalb von 24 Stunden als Frühwarnung, innerhalb von 72 Stunden als ausführliche Meldung und innerhalb eines Monats als Abschlussbericht gemeldet werden. Wer diese Fristen verstreichen lässt, riskiert erhebliche Bußgelder.
• Verweigerung der Zusammenarbeit mit Behörden: Wenn du behördliche Anordnungen ignorierst oder Prüfungen behinderst, wird das als erschwerender Umstand gewertet.

Mildernde und erschwerende Umstände

Bei der Bemessung der Bußgeldhöhe fließen unter anderem ein:

• Schwere und Dauer des Verstoßes: Ein einmaliges Versäumnis wird anders bewertet als ein systematisches Ignorieren der Pflichten über Monate hinweg.
• Vorsatz oder Fahrlässigkeit: Bewusste Verstöße werden härter bestraft als fahrlässige. Wer nachweislich Cybersicherheit ignoriert hat, obwohl die Risiken bekannt waren, muss mit dem oberen Bußgeldrahmen rechnen.
• Getroffene Abhilfemaßnahmen: Wer nach einem Vorfall schnell und entschlossen handelt, Maßnahmen implementiert und mit den Behörden kooperiert, kann mit einer milderen Bewertung rechnen.
• Frühere Verstöße: Wiederholungstäter werden deutlich schärfer sanktioniert.
• Erlangter finanzieller Vorteil: Wenn nachweisbar ist, dass ein Unternehmen durch das Unterlassen von Sicherheitsmaßnahmen Kosten gespart hat, fließt das in die Bußgeldhöhe ein.

Wesentliche vs. wichtige Einrichtungen: Die Unterschiede im Detail

Der Unterschied zwischen wesentlichen und wichtigen Einrichtungen beschränkt sich nicht nur auf die Bußgeldhöhe. Er betrifft das gesamte Aufsichtsregime.

Aufsichtsansatz

Wesentliche Einrichtungen unterliegen einer proaktiven, ex-ante Aufsicht. Das bedeutet: Die Behörden können jederzeit und ohne konkreten Anlass Prüfungen durchführen, Nachweise anfordern und Sicherheitsaudits anordnen. Das BSI muss nicht erst auf einen Vorfall warten.

Wichtige Einrichtungen unterliegen einer reaktiven, ex-post Aufsicht. Hier werden die Behörden in der Regel erst tätig, wenn es Hinweise auf einen Verstoß gibt, etwa nach einem gemeldeten Sicherheitsvorfall oder aufgrund von Hinweisen Dritter.

Durchsetzungsmaßnahmen

Bei wesentlichen Einrichtungen steht den Behörden ein breiteres Spektrum an Durchsetzungsinstrumenten zur Verfügung:

• Verbindliche Anweisungen zur Umsetzung konkreter Maßnahmen
• Anordnung von Sicherheitsaudits auf Kosten des Unternehmens
• Vorübergehende Aussetzung von Zertifizierungen oder Genehmigungen
• Vorübergehendes Verbot der Leitungstätigkeit für verantwortliche Personen
• Bestimmung eines Überwachungsbeauftragten

Bei wichtigen Einrichtungen sind die Maßnahmen grundsätzlich ähnlich, aber das Tätigkeitsverbot für Leitungspersonen ist in der Regel nicht vorgesehen.

Einstufungskriterien

Die Zuordnung erfolgt primär nach Sektor und Unternehmensgröße:

Es gibt Ausnahmen: Bestimmte Unternehmen gelten unabhängig von ihrer Größe als wesentlich, etwa Anbieter von DNS-Diensten, TLD-Registrierungsstellen oder Vertrauensdiensteanbieter.

Aufsichtsbefugnisse des BSI

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird durch NIS2 zur zentralen Aufsichtsbehörde für Cybersicherheit in Deutschland. Seine Befugnisse werden erheblich erweitert.

Prüfungsrechte

Das BSI kann folgende Maßnahmen ergreifen:

• Vor-Ort-Prüfungen: Inspektoren können dein Unternehmen besuchen und Systeme, Prozesse und Dokumentation prüfen. Du bist zur Mitwirkung verpflichtet.
• Regelmäßige Sicherheitsaudits: Für wesentliche Einrichtungen kann das BSI regelmäßige Audits anordnen, auch durch qualifizierte Dritte. Die Kosten trägt das Unternehmen.
• Ad-hoc-Überprüfungen: Nach Sicherheitsvorfällen oder bei Verdachtsmomenten sind anlassbezogene Prüfungen jederzeit möglich.
• Nachweisanforderungen: Das BSI kann jederzeit Nachweise über die Umsetzung von Sicherheitsmaßnahmen anfordern. Dafür brauchst du eine lückenlose Dokumentation.

Anordnungsbefugnisse

Stellt das BSI Mängel fest, kann es verbindliche Anordnungen erlassen:

• Umsetzung konkreter Sicherheitsmaßnahmen innerhalb einer bestimmten Frist
• Information der betroffenen Kunden oder Öffentlichkeit über einen Sicherheitsvorfall
• Bestellung eines unabhängigen Überwachungsbeauftragten auf Kosten des Unternehmens
• Aussetzung von Genehmigungen oder Zertifizierungen bis zur Mängelbeseitigung

Gegen diese Anordnungen kannst du zwar Rechtsmittel einlegen, aber die Erfahrung aus anderen Aufsichtsbereichen zeigt, dass Behörden ihre Anordnungen in der Regel sorgfältig begründen und Gerichte nur selten eingreifen.

Vergleich mit DSGVO-Bußgeldern: Eine Einordnung

Der Vergleich mit der DSGVO hilft, die Dimension der NIS2-Bußgelder einzuordnen. Die DSGVO hat seit 2018 gezeigt, dass die EU-Institutionen es ernst meinen, wenn sie hohe Bußgeldrahmen definieren.

Parallelen

• Umsatzabhängige Berechnung: Beide Regelwerke koppeln die Bußgeldhöhe an den weltweiten Jahresumsatz. Die DSGVO kennt bis zu 4 % (bei schweren Verstößen), NIS2 bis zu 2 % für wesentliche Einrichtungen.
• Feste Mindestbeträge: Die DSGVO sieht bis zu 20 Millionen Euro vor, NIS2 bis zu 10 Millionen Euro. In absoluten Zahlen liegt die DSGVO höher, aber die NIS2-Beträge sind für viele Unternehmen trotzdem existenzbedrohend.
• Abschreckende Wirkung: Beide Regelwerke zielen explizit auf Abschreckung ab. Die Bußgelder sollen so hoch sein, dass es sich wirtschaftlich nie lohnt, Compliance-Maßnahmen zu unterlassen.

Unterschiede

• Persönliche Haftung: Die NIS2 geht mit der expliziten persönlichen Haftung der Geschäftsführung deutlich weiter als die DSGVO. Bei der DSGVO haftet primär das Unternehmen als Verantwortlicher.
• Tätigkeitsverbote: Die Möglichkeit, Leitungspersonen vorübergehend von ihrer Tätigkeit auszuschließen, hat in der DSGVO kein Äquivalent. Das ist ein scharfes Schwert, das direkt die Karriere betrifft.
• Reife der Durchsetzung: Die DSGVO wird seit 2018 durchgesetzt, die Behörden haben Routine. NIS2 startet neu. Erfahrungsgemäß agieren Aufsichtsbehörden in der Anfangsphase etwas zurückhaltender, verschärfen dann aber den Kurs. Wer darauf spekuliert, dass anfangs nicht durchgesetzt wird, geht ein riskantes Spiel ein.

Praxisbeispiele aus der DSGVO als Warnung

Die Bußgeldpraxis der DSGVO zeigt, was möglich ist: Meta wurde 2023 mit 1,2 Milliarden Euro bestraft, Amazon erhielt 746 Millionen Euro. Auch in Deutschland wurden Bußgelder im zweistelligen Millionenbereich verhängt, etwa gegen H&M (35,3 Mio. Euro) oder die Deutsche Wohnen (14,5 Mio. Euro). Diese Summen zeigen: Die Behörden nutzen den vorhandenen Rahmen. Es gibt keinen Grund anzunehmen, dass es bei NIS2 anders sein wird.

Was Geschäftsführer jetzt tun sollten

Die gute Nachricht: Wer frühzeitig handelt, kann das Bußgeld- und Haftungsrisiko deutlich reduzieren. Die folgenden Schritte bilden einen pragmatischen Fahrplan.

1. Betroffenheit klären

Prüfe zunächst, ob dein Unternehmen unter NIS2 fällt und in welche Kategorie es eingestuft wird. Die Einordnung hängt von Sektor und Unternehmensgröße ab. Im Zweifel hole dir eine rechtliche Einschätzung, denn die Grenzfälle sind nicht immer eindeutig.

2. Gap-Analyse durchführen

Vergleiche den aktuellen Stand deiner Informationssicherheit mit den NIS2-Anforderungen. Wo bestehen Lücken bei den technischen Maßnahmen? Wo fehlen organisatorische Prozesse? Wie steht es um die Dokumentation? Eine ehrliche Bestandsaufnahme ist die Grundlage für alles Weitere.

3. Risikomanagement aufbauen oder anpassen

NIS2 verlangt einen risikobasierten Ansatz. Du brauchst ein systematisches Risikomanagement, das Bedrohungen identifiziert, bewertet und angemessene Maßnahmen ableitet. Wenn du bereits ein ISMS nach ISO 27001 betreibst, hast du eine solide Grundlage. Falls nicht, ist jetzt der richtige Zeitpunkt, eines aufzubauen.

4. Meldeprozesse etablieren

Die engen Meldefristen von 24 und 72 Stunden erfordern eingespielte Prozesse. Definiere klare Zuständigkeiten, Eskalationswege und Kommunikationsvorlagen. Teste die Abläufe regelmäßig in Übungen. Wenn der Ernstfall eintritt, darf nicht erst diskutiert werden, wer was an wen meldet.

5. Schulung der Geschäftsführung sicherstellen

Plane regelmäßige Cybersicherheitsschulungen für die gesamte Leitungsebene. Das ist nicht nur eine gesetzliche Pflicht, sondern auch eine praktische Notwendigkeit. Nur wer die Risiken versteht, kann informierte Entscheidungen treffen und die Aufsichtspflicht glaubwürdig wahrnehmen.

6. Dokumentation als Schutzschild nutzen

Im Bußgeldverfahren zählt, was du nachweisen kannst. Dokumentiere systematisch alle Maßnahmen, Entscheidungen, Risikoanalysen und Schulungen. Ein ISMS-Tool wie ISMS Lite führt den Audit-Trail automatisch und protokolliert jede Änderung mit Zeitstempel und Verantwortlichem. Eine lückenlose Dokumentation ist dein bester Schutz, wenn das BSI Fragen stellt. Sie belegt, dass du deine Pflichten ernst genommen hast.

7. Lieferkette in den Blick nehmen

NIS2 verpflichtet dich, auch die Cybersicherheit deiner Lieferkette zu berücksichtigen. Überprüfe die Sicherheitsmaßnahmen deiner wichtigsten Dienstleister und Zulieferer mithilfe einer strukturierten Lieferantenbewertung. Verankere Sicherheitsanforderungen vertraglich und fordere regelmäßige Nachweise ein.

8. Rechtzeitig rechtliche Beratung einholen

Die Schnittstellen zwischen IT-Sicherheitsrecht, Gesellschaftsrecht und Versicherungsrecht sind komplex. Lass dich frühzeitig beraten, insbesondere zur persönlichen Haftung, zur D&O-Versicherung und zur konkreten Umsetzung der Anforderungen in deinem Unternehmen.

Fazit: Handeln statt abwarten

Die NIS2-Bußgelder sind kein Papiertiger. Mit Obergrenzen von 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, kombiniert mit der persönlichen Haftung der Geschäftsführung, schafft die Richtlinie einen Sanktionsrahmen, der Cybersicherheit endgültig zum Chefsache-Thema macht.

Die Erfahrungen mit der DSGVO haben gezeigt: Hohe Bußgeldrahmen werden auch ausgeschöpft. Wer jetzt in ein solides ISMS investiert, Risikomanagement-Prozesse aufbaut und die Meldepflichten etabliert, schützt nicht nur sein Unternehmen vor Strafen, sondern reduziert auch das persönliche Haftungsrisiko der Geschäftsleitung.

Weiterführende Artikel

• NIS2 für den Mittelstand: Was du wissen musst und was jetzt zu tun ist
• NIS2-Meldefristen im Überblick: 24h, 72h, 1 Monat – was wann fällig ist
• NIS2 vs. ISO 27001: Unterschiede, Gemeinsamkeiten und wie beides zusammenpasst
• ISMS aufbauen: Der komplette Leitfaden für Unternehmen mit 50 bis 500 Mitarbeitern
• Die wichtigsten ISMS-Rollen: ISB, CISO, Risikoeigner – wer macht was?

Die Frage ist nicht, ob die Bußgelder kommen werden. Die Frage ist, ob du vorbereitet bist.