NIS2-Strafen und Bußgelder: Was Ihrem Unternehmen droht

Die NIS2-Richtlinie bringt ein Sanktionsregime, das mit der DSGVO vergleichbar ist. In Deutschland drohen Bußgelder bis zu 10 Millionen Euro — und erstmals auch eine persönliche Haftung der Geschäftsleitung.

Bußgeldrahmen im Überblick

Besonders wichtige Einrichtungen

| Verstoß | Maximum | |---|---| | Verletzung der Risikomanagementpflichten (Art. 21) | 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes | | Verletzung der Meldepflichten (Art. 23) | 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes | | Nichtregistrierung beim BSI | Gesonderte Bußgeldtatbestände |

Wichtige Einrichtungen

| Verstoß | Maximum | |---|---| | Verletzung der Risikomanagementpflichten | 7 Mio. EUR oder 1,4% des weltweiten Jahresumsatzes | | Verletzung der Meldepflichten | 7 Mio. EUR oder 1,4% des weltweiten Jahresumsatzes |

Bemessungsgrundlage: Es gilt jeweils der höhere Betrag. Bei einem Unternehmen mit 500 Mio. EUR Umsatz wären 2% also 10 Mio. EUR — das Maximum.

Persönliche Geschäftsführerhaftung

Was NIS2 ändert

Bisher war Cybersicherheit in vielen KMU eine rein operative Angelegenheit. NIS2 macht sie zur Chefsache — mit persönlichen Konsequenzen:

• Genehmigungspflicht: Die Geschäftsleitung muss die Cybersicherheitsmaßnahmen formell genehmigen
• Überwachungspflicht: Laufende Kontrolle der Umsetzung
• Schulungspflicht: Persönliche Teilnahme an Cybersicherheitsschulungen
• Haftung: Bei Pflichtverletzung haftet die Geschäftsleitung persönlich

Konkretes Haftungsrisiko

| Situation | Haftungsfolge | |---|---| | Keine dokumentierten Sicherheitsmaßnahmen | Persönliche Haftung bei Vorfall | | Geschäftsleitung nie an Schulung teilgenommen | Pflichtverstoß auch ohne Vorfall | | Bekannte Schwachstelle nicht behoben | Organisationsverschulden | | Meldepflicht bewusst ignoriert | Vorsätzlicher Verstoß, höheres Bußgeld |

Das NIS2UmsuCG sieht vor, dass Schadensersatzansprüche gegen Leitungsorgane weder durch Verzicht noch durch Vergleich der Einrichtung ausgeschlossen werden können. Die Haftung ist also nicht abdingbar.

Aufsichtsmaßnahmen des BSI

Neben Bußgeldern verfügt das BSI über weitreichende Aufsichtsbefugnisse:

Bei besonders wichtigen Einrichtungen (proaktiv)

• Vor-Ort-Prüfungen und Ad-hoc-Audits
• Gezielte Sicherheitsprüfungen durch externe Prüfer
• Sicherheitsscans der IT-Systeme
• Anordnung von Abhilfemaßnahmen mit Fristsetzung
• Informationspflicht gegenüber Kunden über Bedrohungen
• Als Ultima Ratio: Vorübergehende Abberufung von Leitungspersonen

Bei wichtigen Einrichtungen (reaktiv)

• Nachträgliche Überprüfung bei Hinweisen auf Verstöße
• Audit-Anordnung nach Vorfällen
• Anweisungen zur Umsetzung von Maßnahmen

Bußgeldbemessung: Welche Faktoren zählen

Die Höhe des Bußgeldes hängt von mehreren Faktoren ab:

Erschwerend

• Wiederholte Verstöße — Mehrfachverstöße werden schärfer geahndet
• Vorsatz — Bewusste Nichtbeachtung der Pflichten
• Unterlassene Meldung — Versuch, Vorfälle zu vertuschen
• Fehlende Kooperation mit den Behörden
• Ausmaß des Schadens — Anzahl betroffener Personen oder Systeme

Mildernd

• Erste Zuwiderhandlung — Geringere Sanktion beim Erstverstoß
• Eigeninitiative — Freiwillige Maßnahmen vor Behördenanordnung
• Kooperation — Aktive Zusammenarbeit mit BSI und CERT-Bund
• Schnelle Behebung — Zügige Umsetzung von Abhilfemaßnahmen
• Nachweisbare Anstrengungen — Dokumentierte Bemühungen um Compliance

Vergleich: NIS2 vs. DSGVO-Sanktionen

| Aspekt | NIS2 | DSGVO | |---|---|---| | Maximum | 10 Mio. EUR / 2% Umsatz | 20 Mio. EUR / 4% Umsatz | | Persönliche Haftung | Ja, explizit | Indirekt über Organhaftung | | Aufsichtsbefugnisse | Weitreichend, inkl. Abberufung | Verarbeitungsverbote | | Meldepflicht | 24h Frühwarnung | 72h an Datenschutzbehörde | | Prüfungsrecht | Proaktive Audits möglich | Anlassbezogene Prüfungen |

Was KMU jetzt tun sollten

Sofortmaßnahmen (0–3 Monate)

1. Betroffenheit klären — Fallen Sie unter NIS2?
2. Geschäftsleitung informieren — Persönliche Haftung kommunizieren
3. Status quo dokumentieren — Was ist bereits vorhanden?
4. Budget einplanen — NIS2-Compliance erfordert Investitionen

Mittelfristig (3–12 Monate)

5. Gap-Analyse durchführen — Ist vs. Soll
6. Risikomanagement implementieren — BSI IT-Grundschutz als Basis
7. Meldeprozesse einrichten — 24-Stunden-Fähigkeit herstellen
8. Schulungsprogramm für Geschäftsleitung und Mitarbeiter

Langfristig (laufend)

9. Regelmäßige Audits — Wirksamkeit überprüfen
10. Dokumentation pflegen — Nachweisbarkeit sicherstellen
11. Lieferkette einbeziehen — Verträge mit Dienstleistern anpassen

Kosten der Nicht-Compliance

Die Bußgelder sind oft nicht der teuerste Teil eines Verstoßes:

| Kostenart | Typische Größenordnung | |---|---| | Bußgeld | Bis 10 Mio. EUR | | Forensik und Incident Response | 50.000–500.000 EUR | | Betriebsunterbrechung | Branchenabhängig, oft Millionenhöhe | | Reputationsschaden | Schwer quantifizierbar, langfristig | | Kundenabwanderung | 5–15% nach bekanntem Vorfall | | Erhöhte Versicherungsprämien | +30–100% nach Vorfall |

Die günstigste Option ist Compliance. Ein strukturiertes ISMS nach BSI IT-Grundschutz kostet für ein KMU mit 100 Mitarbeitern typischerweise 50.000–150.000 EUR — ein Bruchteil potenzieller Schäden.

Versicherungsschutz und NIS2

Cyberversicherungen ersetzen keine NIS2-Compliance. Versicherer prüfen zunehmend, ob Unternehmen die gesetzlichen Mindestanforderungen erfüllen. Bei nachweislicher Nicht-Compliance kann der Versicherer die Leistung verweigern oder kürzen. Umgekehrt honorieren viele Versicherer dokumentierte NIS2-Konformität mit niedrigeren Prämien — ein zusätzlicher finanzieller Anreiz neben der Bußgeldvermeidung.

Verjährung und Durchsetzung

NIS2-Bußgelder unterliegen den nationalen Verjährungsfristen. In Deutschland beträgt die Verjährung für Ordnungswidrigkeiten in der Regel drei Jahre ab Begehung. Das BSI kann jedoch bei laufenden Verstößen jederzeit einschreiten. Besonders kritisch: Ein dauerhaftes Fehlen grundlegender Sicherheitsmaßnahmen gilt als fortgesetzter Verstoß, bei dem die Verjährung erst mit Behebung beginnt.

Fazit

NIS2-Sanktionen treffen nicht nur das Unternehmen, sondern auch die Geschäftsleitung persönlich. Die Kombination aus hohen Bußgeldern, weitreichenden Aufsichtsbefugnissen und persönlicher Haftung macht NIS2-Compliance zur Pflichtaufgabe für jeden Geschäftsführer.

Scannen Sie Ihre Website kostenlos mit WarDek — OWASP, NIS2, DSGVO, AI Act Compliance in einem Scan.