Zum Inhalt springen
Home » NIS2-Bußgelder: Welche Strafen drohen Unternehmen bei Verstößen?

NIS2-Bußgelder: Welche Strafen drohen Unternehmen bei Verstößen?

NIS2-Bußgelder: Welche Strafen drohen Unternehmen bei Verstößen?

Das Wichtigste in Kürze

  • NIS2 gilt in Deutschland seit dem 6. Dezember 2025. Grundlage ist das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, kurz NIS2UmsuCG. Es hat unter anderem das BSI-Gesetz neu gefasst.
  • Bei schwerwiegenden Verstößen drohen hohe Bußgelder. Besonders wichtige Einrichtungen riskieren bis zu 10 Mio. Euro, wichtige Einrichtungen bis zu 7 Mio. Euro.
  • Bei großen Unternehmensgruppen kann der weltweite Umsatz entscheidend sein. Die prozentualen Höchstbeträge beziehen sich nach Art. 34 NIS2 auf den weltweiten Jahresumsatz des Unternehmens, dem die betroffene Einrichtung angehört. Das deutsche BSI-Gesetz knüpft den prozentualen Bußgeldrahmen zusätzlich an einen Gesamtumsatz von mehr als 500 Mio. Euro.
  • Ein Cyberangriff allein führt nicht automatisch zu einem Bußgeld. Sanktioniert werden vor allem Pflichtverstöße, etwa fehlende Sicherheitsmaßnahmen, verspätete Meldungen, unvollständige Registrierung, fehlende Nachweise oder die Nichtbefolgung behördlicher Anordnungen.

NIS2-Bußgelder gehören zu den wichtigsten Compliance-Risiken für betroffene Unternehmen. Wer die Pflichten aus dem neu gefassten BSI-Gesetz nicht erfüllt, riskiert nicht nur Geldbußen. Das BSI kann auch Nachweise verlangen, Prüfungen durchführen, Maßnahmen anordnen und deren Umsetzung kontrollieren.

Für Unternehmen ist deshalb entscheidend: Es reicht nicht, einzelne IT-Maßnahmen umzusetzen. NIS2 verlangt ein nachvollziehbares System aus Risikomanagement, Meldewegen, Verantwortlichkeiten, Geschäftsleitungsbefassung und Dokumentation.

Einen Überblick über die Pflichten finden Sie im Beitrag

Dieser Beitrag ist Teil unserer NIS2-Beitragsreihe. Einen allgemeinen Überblick über Rechtslage, Pflichten, Fristen und Umsetzung finden Sie im Hauptbeitrag NIS2 in Deutschland: Was Unternehmen jetzt wissen und umsetzen müssen. Wenn Sie zunächst klären möchten, ob Ihr Unternehmen überhaupt betroffen ist, lesen Sie den Beitrag Bin ich von NIS2 betroffen? Betroffenheitscheck für Unternehmen.

NIS2-Beratung für Unternehmen

Unsicher, ob Ihr Unternehmen NIS2-betroffen ist?

Lassen Sie Ihre Betroffenheit prüfen und erhalten Sie eine klare Einschätzung zu Pflichten, Fristen und nächsten Schritten.

NIS2-Betroffenheit prüfen lassen Unverbindlich · Persönliche Ersteinschätzung

Welche Bußgelder drohen bei NIS2-Verstößen?

Die Höhe eines NIS2-Bußgeldes hängt vor allem davon ab, welche Pflicht verletzt wurde und ob das Unternehmen als wichtige oder besonders wichtige Einrichtung einzuordnen ist.

Auf EU-Ebene gibt Art. 34 NIS2 sogenannte Mindest-Höchstbeträge vor. Die Mitgliedstaaten mussten also bestimmte maximale Bußgeldrahmen mindestens vorsehen. Das deutsche BSI-Gesetz hat diese Vorgaben in § 65 BSIG als nationale Bußgeldrahmen umgesetzt.

Wichtig: Der Höchstbetrag wird nicht automatisch verhängt. Die Behörde muss den Einzelfall bewerten. Eine Rolle spielen insbesondere Art, Schwere, Dauer und Auswirkungen des Verstoßes, der Grad des Verschuldens, ergriffene Abhilfemaßnahmen und die Kooperation mit der Aufsichtsbehörde.

Verstoßkategorie

Möglicher Bußgeldrahmen nach § 65 BSIG

Bedeutung in der Praxis

Schwerwiegende Verstöße gegen zentrale NIS2-Pflichten bei besonders wichtigen Einrichtungen

bis zu 10 Mio. Euro

Betrifft insbesondere Risikomanagement, Meldepflichten und bestimmte behördliche Anordnungen

Schwerwiegende Verstöße gegen zentrale NIS2-Pflichten bei wichtigen Einrichtungen

bis zu 7 Mio. Euro

Geringerer Höchstbetrag als bei besonders wichtigen Einrichtungen, aber weiterhin erhebliches Risiko

Umsatzbezogener Bußgeldrahmen bei besonders wichtigen Einrichtungen

bei mehr als 500 Mio. Euro Gesamtumsatz bis zu 2 % des Gesamtumsatzes

Relevant vor allem für große Unternehmensgruppen

Umsatzbezogener Bußgeldrahmen bei wichtigen Einrichtungen

bei mehr als 500 Mio. Euro Gesamtumsatz bis zu 1,4 % des Gesamtumsatzes

Ebenfalls besonders relevant für Konzernstrukturen

Weitere erhebliche Pflichtverstöße

je nach Tatbestand bis zu 5 Mio., 2 Mio. oder 1 Mio. Euro

Abhängig vom konkreten Verstoß

Sonstige Pflichtverstöße

je nach Tatbestand bis zu 500.000 Euro oder 100.000 Euro

Relevant etwa bei bestimmten Mitwirkungs-, Informations- oder Registrierungspflichten

Bezieht sich der prozentuale Bußgeldrahmen auf den weltweiten Umsatz?

Ja. Der prozentuale Bußgeldrahmen ist für Unternehmensgruppen besonders wichtig.

Art. 34 NIS2 bezieht die 2 % beziehungsweise 1,4 % auf den gesamten weltweiten Jahresumsatz des Unternehmens, dem die betroffene Einrichtung angehört. Gemeint ist also nicht nur der deutsche Umsatz und nicht nur der Umsatz der einzelnen betroffenen Einheit.

Das deutsche BSI-Gesetz setzt diese Vorgabe in § 65 BSIG um. Danach ist der Gesamtumsatz die Summe aller Umsatzerlöse, die das Unternehmen, dem die besonders wichtige oder wichtige Einrichtung angehört, im vorausgegangenen Geschäftsjahr weltweit erzielt hat. Das BSI-Gesetz sieht den prozentualen Bußgeldrahmen außerdem erst bei einem Gesamtumsatz von mehr als 500 Mio. Euro vor.

Praxisbeispiel: Eine deutsche Tochtergesellschaft ist als wichtige Einrichtung betroffen. Sie erzielt selbst nur 80 Mio. Euro Umsatz. Gehört sie aber zu einer internationalen Unternehmensgruppe mit mehr als 500 Mio. Euro weltweitem Gesamtumsatz, kann der umsatzbezogene Bußgeldrahmen relevant werden.

Was ist der Unterschied zwischen wichtigen und besonders wichtigen Einrichtungen?

Der Unterschied zwischen wichtigen und besonders wichtigen Einrichtungen ist für Bußgelder zentral. Besonders wichtige Einrichtungen haben regelmäßig eine höhere Bedeutung für Versorgung, Gesellschaft oder Wirtschaft. Deshalb gelten für sie höhere Bußgeldrahmen und weitergehende Aufsichtsmöglichkeiten.

Ob ein Unternehmen in eine dieser Kategorien fällt, hängt von Branche, Größe und konkreter Tätigkeit ab. Relevant sind insbesondere Sektoren wie Energie, Gesundheit, Verkehr, digitale Infrastruktur, IT-Dienste, Lebensmittel, Abfallwirtschaft, Chemie und Teile des verarbeitenden Gewerbes.

Unternehmen sollten die Einordnung nicht nur grob anhand der Branche vornehmen. Entscheidend ist eine nachvollziehbare Betroffenheitsprüfung:

  • Welche Gesellschaft ist betroffen?
  • Welche Tätigkeiten werden tatsächlich erbracht?
  • Welche Schwellenwerte werden erreicht?
  • Welche Sondertatbestände gelten?
  • Welche konzerninternen oder externen Dienstleistungen sind relevant?

Ein weiterer Unterschied liegt im Aufsichtsregime. Besonders wichtige Einrichtungen unterliegen einer intensiveren Aufsicht. Das BSI kann ihnen gegenüber insbesondere Audits, Prüfungen, Zertifizierungen, Nachweise und konkrete Umsetzungsmaßnahmen anordnen. Bei wichtigen Einrichtungen ist die Aufsicht stärker anlassbezogen ausgestaltet. In der Praxis wird das häufig als proaktivere Aufsicht bei besonders wichtigen Einrichtungen und reaktivere Aufsicht bei wichtigen Einrichtungen beschrieben.

Wenn Sie noch nicht sicher sind, ob Ihr Unternehmen betroffen ist, lesen Sie zuerst Bin ich von NIS2 betroffen? Betroffenheitscheck für Unternehmen.

Für kleinere und mittlere Unternehmen eignet sich ergänzend NIS2 Mittelstand: Was gilt für kleine und mittlere Unternehmen?.

Welche Verstöße können ein Bußgeld auslösen?

Ein Bußgeld kann nicht nur nach einem erfolgreichen Cyberangriff drohen. Entscheidend ist, ob das Unternehmen seine gesetzlichen Pflichten erfüllt hat.

Typische bußgeldrelevante Verstöße sind:

  • fehlende oder unzureichende Risikomanagementmaßnahmen,
  • fehlende oder unvollständige Dokumentation der Sicherheitsmaßnahmen,
  • verspätete, falsche oder unvollständige Meldung eines erheblichen Sicherheitsvorfalls,
  • fehlende, verspätete oder unrichtige Registrierung beim BSI,
  • falsche oder nicht aktualisierte Angaben gegenüber dem BSI,
  • fehlende Nachweise gegenüber der Aufsichtsbehörde,
  • Nichtbefolgung einer behördlichen Anordnung,
  • fehlende Erreichbarkeit einer benannten Kontaktstelle,
  • fehlende Billigung oder Überwachung der Cybersicherheitsmaßnahmen durch die Geschäftsleitung,
  • fehlende oder nicht dokumentierte Schulung der Geschäftsleitung.

Praxisbeispiel: Ein Unternehmen hat einzelne technische Sicherheitsmaßnahmen eingeführt, kann aber nicht nachweisen, wer die Risiken bewertet, wer Maßnahmen freigegeben und wann die Geschäftsleitung die Umsetzung überprüft hat. In einem Verfahren ist das ein erhebliches Problem. Ohne Dokumentation lässt sich Compliance nur schwer belegen.

Welche Rolle spielt die BSI-Registrierung?

Die Registrierung beim BSI ist eine der ersten konkreten Handlungspflichten für betroffene Unternehmen. Besonders wichtige und wichtige Einrichtungen müssen sich spätestens drei Monate, nachdem sie erstmals oder erneut NIS2-betroffen sind, beim BSI registrieren.

Für Unternehmen, die bereits mit Inkrafttreten der deutschen NIS2-Umsetzung am 6. Dezember 2025 betroffen waren, war der 6. März 2026 der erste maßgebliche Stichtag.

Eine fehlende, verspätete oder fehlerhafte Registrierung kann ein eigenständiges Compliance-Risiko sein. Unternehmen sollten deshalb dokumentieren:

  • wann die Betroffenheit geprüft wurde,
  • welches Ergebnis diese Prüfung hatte,
  • welche Kategorie angenommen wurde,
  • wann die Registrierung vorbereitet wurde,
  • wann welche Angaben an das BSI übermittelt wurden,
  • wer intern für Aktualisierungen verantwortlich ist.

Praxisempfehlung: Die Registrierung sollte nicht isoliert betrachtet werden. Sie ist eng mit der Betroffenheitsprüfung, der Kontaktstelle, dem Meldeprozess und der internen Verantwortungsverteilung verbunden.

Als weiterer Beitrag der Reihe bietet sich an: NIS2-Registrierung beim BSI: Fristen, Ablauf und typische Fehler.

Was passiert, wenn ein Sicherheitsvorfall zu spät gemeldet wird?

Eine verspätete Meldung kann ein eigenständiger Verstoß sein. NIS2 verlangt schnelle Reaktion bei erheblichen Sicherheitsvorfällen.

In der Praxis sind diese Meldepflichten wichtig:

  1. Frühe Erstmeldung innerhalb von 24 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall.
  2. Meldung innerhalb von 72 Stunden nach Kenntniserlangung mit Bestätigung oder Aktualisierung der Erstmeldung und erster Bewertung des Sicherheitsvorfalls.
  3. Zwischenmeldung auf Ersuchen des BSI mit relevanten Statusaktualisierungen.
  4. Abschlussmeldung spätestens einen Monat nach Übermittlung der 72-Stunden-Meldung.
  5. Fortschrittsmeldung, wenn der Sicherheitsvorfall zu diesem Zeitpunkt noch andauert. Die Abschlussmeldung folgt dann nach abschließender Bearbeitung.

Die erste Meldung muss nicht vollständig sein. Entscheidend ist, dass das Unternehmen schnell handelt, die Lage bewertet und den Meldeprozess nicht erst im Ernstfall organisatorisch erfindet. Spätere Informationen können ergänzt werden.

Praxisempfehlung: Unternehmen sollten vorab festlegen, wer einen Vorfall bewertet, wer die Geschäftsleitung informiert und wer gegenüber dem BSI meldet. Ohne klare Zuständigkeit gehen wertvolle Stunden verloren.

Für Details bietet sich ein Folgebeitrag an: NIS2-Meldepflicht: Was muss bei einem Sicherheitsvorfall gemeldet werden?

Reicht ein Cyberangriff für ein Bußgeld aus?

Ein Cyberangriff führt nicht automatisch zu einem Bußgeld. Entscheidend ist, ob das Unternehmen angemessene Maßnahmen getroffen und seine Pflichten eingehalten hat.

Ein Unternehmen kann trotz Angriff gut aufgestellt sein, wenn es Risiken geprüft, Schutzmaßnahmen umgesetzt, Vorfälle erkannt, korrekt gemeldet, Verantwortlichkeiten festgelegt und Entscheidungen dokumentiert hat.

Problematisch wird es vor allem, wenn:

  • grundlegende Sicherheitsmaßnahmen fehlen,
  • keine Verantwortlichkeiten festgelegt wurden,
  • keine Notfallprozesse bestehen,
  • die Geschäftsleitung nicht eingebunden war,
  • Meldefristen verpasst wurden,
  • Nachweise fehlen oder
  • erkannte Schwachstellen nicht behoben wurden.

NIS2 sanktioniert also nicht den Angriff als solchen, sondern Pflichtverstöße im Umgang mit Cybersicherheit.

Welche Aufsichtsmaßnahmen drohen außer Bußgeldern?

Aufsichtsmaßnahmen können für Unternehmen mindestens so belastend sein wie ein Bußgeld. Das BSI kann nicht nur Geldbußen anstoßen, sondern auch die Umsetzung der Pflichten kontrollieren und konkrete Maßnahmen verlangen.

Je nach Einordnung und Verstoß kommen insbesondere in Betracht:

  • Anordnung von Audits, Prüfungen oder Zertifizierungen,
  • Vorlage von Nachweisen und Dokumentationen,
  • Vorlage eines Mängelbeseitigungsplans,
  • Nachweis der erfolgten Mängelbeseitigung,
  • Überprüfung der Einhaltung gesetzlicher Anforderungen,
  • Anordnung konkreter Umsetzungsmaßnahmen,
  • Unterrichtung betroffener Kunden oder Nutzer über erhebliche Cyberbedrohungen,
  • öffentliche Bekanntmachung bestimmter Informationen zu Pflichtverstößen,
  • im äußersten Fall die vorübergehende Aussetzung einer fachrechtlichen Genehmigung,
  • als letztes Mittel die vorübergehende Untersagung der Ausübung von Leitungsaufgaben gegenüber unzuverlässigen Geschäftsleitungsmitgliedern.

Gerade die vorübergehende Untersagung von Leitungsaufgaben ist ein besonders scharfes Instrument. Sie zeigt, dass NIS2 nicht nur technische IT-Compliance betrifft, sondern auch die persönliche Verantwortung der Unternehmensleitung.

Welche Rolle spielt die Dokumentation?

Die Dokumentation ist einer der wichtigsten Punkte bei NIS2. Sie zeigt, dass das Unternehmen Risiken erkannt, Maßnahmen beschlossen, Zuständigkeiten geregelt und die Umsetzung überprüft hat.

Dokumentiert werden sollten insbesondere:

  • Betroffenheitsprüfung,
  • Einstufung als wichtige oder besonders wichtige Einrichtung,
  • Registrierung und übermittelte Angaben,
  • Risikoanalyse,
  • Sicherheitsmaßnahmen und Umsetzungsstand,
  • Zuständigkeiten, Freigaben und Eskalationswege,
  • Schulungen der Geschäftsleitung und relevanter Mitarbeitender,
  • Meldewege und Notfallprozesse,
  • Entscheidungen zu Budget und Prioritäten,
  • Prüfung von Dienstleistern und Lieferketten,
  • regelmäßige Überprüfungen und Aktualisierungen.

In der Beratungspraxis zeigt sich häufig: Viele Unternehmen haben einzelne Sicherheitsmaßnahmen, aber keine belastbare Nachweiskette. Genau diese Lücke kann im Ernstfall entscheidend werden.

NIS2-Beratung für Unternehmen

Sie möchten schnell wissen, ob Ihr Unternehmen betroffen ist?

Wir prüfen Branche, Größe, Konzernstruktur und konkrete Tätigkeit und geben Ihnen eine belastbare Ersteinschätzung.

Betroffenheitscheck anfragen Unverbindlich · Persönliche Ersteinschätzung

Was gilt für Finanzunternehmen im Verhältnis zu DORA?

Für viele Finanzunternehmen ist neben NIS2 vor allem DORA relevant. DORA steht für Digital Operational Resilience Act und regelt die digitale operationelle Resilienz im Finanzsektor unmittelbar auf EU-Ebene.

DORA gilt unter anderem für Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen, bestimmte Krypto-Dienstleister, Versicherungs- und Rückversicherungsunternehmen, Handelsplätze, zentrale Gegenparteien und weitere Finanzunternehmen. Für diese Unternehmen ist DORA in vielen Fragen das speziellere Regelwerk.

Das bedeutet nicht, dass Finanzunternehmen NIS2 vollständig ignorieren sollten. In der Praxis muss geprüft werden:

  • ob das Unternehmen in den persönlichen und sachlichen Anwendungsbereich von DORA fällt,
  • welche NIS2-Pflichten durch DORA als sektorspezifisches Regelwerk verdrängt werden,
  • welche Melde- und Aufsichtspflichten weiterhin relevant bleiben,
  • welche Behörde zuständig ist,
  • ob konzerninterne IT-Dienstleister oder andere Gruppengesellschaften eigenständig unter NIS2 fallen.

Praxisbeispiel: Eine Bank kann für ihre eigene digitale operationelle Resilienz primär DORA unterliegen. Eine separate IT-Service-Gesellschaft im Konzern kann aber selbst NIS2-relevant sein, wenn sie Managed Services oder andere relevante IT-Dienste erbringt.

Wie verhalten sich NIS2-Bußgelder zur DSGVO?

NIS2 und DSGVO können bei einem Sicherheitsvorfall gleichzeitig relevant sein. Das gilt vor allem, wenn ein Cyberangriff nicht nur IT-Systeme betrifft, sondern auch personenbezogene Daten.

In solchen Fällen können mehrere Pflichten nebeneinander entstehen:

  • Meldung eines erheblichen Sicherheitsvorfalls nach dem BSI-Gesetz,
  • Meldung einer Datenschutzverletzung nach Art. 33 DSGVO,
  • Information betroffener Personen nach Art. 34 DSGVO,
  • interne Dokumentation des Vorfalls,
  • Abstimmung zwischen IT, Datenschutz, Geschäftsleitung und Kommunikation.

Das BSI-Gesetz enthält eine wichtige Begrenzung: Wenn eine Datenschutzaufsichtsbehörde wegen desselben Verhaltens bereits eine DSGVO-Geldbuße verhängt, darf wegen desselben Verhaltens nicht zusätzlich eine weitere Geldbuße nach dem BSI-Gesetz verhängt werden. Das verhindert eine doppelte Geldbuße für denselben Sanktionskern.

Das bedeutet aber nicht, dass NIS2 und DSGVO immer nur alternativ gelten. Die Pflichten bleiben eigenständig. Unternehmen müssen deshalb im Vorfallmanagement beide Regime mitdenken und Meldewege sauber koordinieren.

Wann verjähren NIS2-Ordnungswidrigkeiten?

Für NIS2-Ordnungswidrigkeiten gelten grundsätzlich die Verjährungsregeln des Ordnungswidrigkeitengesetzes, sofern das Fachgesetz nichts Abweichendes bestimmt.

Nach § 31 OWiG richtet sich die Verfolgungsverjährung nach dem Höchstmaß der angedrohten Geldbuße. Bei Ordnungswidrigkeiten, die mit einer Geldbuße von mehr als 15.000 Euro bedroht sind, beträgt die Verfolgungsverjährung drei Jahre.

Für die im Beitrag behandelten Bußgeldtatbestände nach § 65 BSIG liegt der Bußgeldrahmen regelmäßig deutlich über 15.000 Euro. In der Praxis ist deshalb bei diesen NIS2-Verstößen regelmäßig von einer dreijährigen Verfolgungsverjährung auszugehen.

Wichtig ist außerdem: Die Verjährung beginnt grundsätzlich, sobald die Handlung beendet ist. Bei fortdauernden Pflichtverstößen kann die Bestimmung des Fristbeginns im Einzelfall schwierig sein. Das gilt etwa bei fehlender Registrierung, unterlassener Dokumentation oder nicht umgesetzten Sicherheitsmaßnahmen.

Haftet die Geschäftsleitung persönlich für NIS2-Verstöße?

Die Geschäftsleitung trägt unter NIS2 eine aktive Verantwortung. Geschäftsführer und Vorstände müssen die Risikomanagementmaßnahmen im Bereich Cybersicherheit billigen, deren Umsetzung überwachen und sich regelmäßig mit den relevanten Pflichten befassen.

Das bedeutet: NIS2 ist kein reines IT-Thema. Die IT kann Maßnahmen vorbereiten und technisch umsetzen. Die Leitung muss aber sicherstellen, dass Risiken angemessen gesteuert, Entscheidungen getroffen und Kontrollen eingerichtet werden.

Eine persönliche Haftung ist kein Automatismus. Sie kann aber relevant werden, wenn Geschäftsleitungsmitglieder ihre Organisations-, Überwachungs- oder Schulungspflichten verletzen. Besonders kritisch sind Fälle, in denen die Geschäftsleitung NIS2 ignoriert, keine Zuständigkeiten festlegt, notwendige Budgets ohne nachvollziehbare Prüfung ablehnt, Risiken nicht überwacht oder Entscheidungen nicht dokumentiert.

Dieser Beitrag behandelt vor allem Bußgelder für Unternehmen. Persönliche Haftungsfragen der Geschäftsleitung sollten gesondert geprüft werden.

Als weiterer Beitrag der Reihe bietet sich an: NIS2: Haftung des Geschäftsführers und Vorstands.

 

Was sieht man in der Beratungspraxis am häufigsten?

In der Beratungspraxis entstehen NIS2-Bußgeldrisiken meist nicht durch eine einzelne technische Schwachstelle. Häufiger fehlt ein belastbarer Gesamtprozess.

Typische Risikofaktoren sind:

  • die NIS2-Betroffenheit wird zu spät oder nur oberflächlich geprüft,
  • die Registrierung beim BSI wird nicht sauber vorbereitet,
  • die Geschäftsleitung wird erst spät eingebunden,
  • Meldewege bestehen nur auf dem Papier,
  • Dienstleister und Lieferketten werden nicht ausreichend geprüft,
  • Entscheidungen und Maßnahmen sind nicht nachvollziehbar dokumentiert.

Der wichtigste Hebel ist deshalb ein Prozess, der im Ernstfall funktioniert und nachweisbar ist. Genau daran entscheidet sich häufig, ob ein Unternehmen seine Pflichten belegen kann.

Wie können Unternehmen Bußgeldrisiken reduzieren?

Unternehmen reduzieren Bußgeldrisiken, wenn sie NIS2 nicht als reines IT-Projekt behandeln. Entscheidend ist ein Zusammenspiel aus rechtlicher Einordnung, technischer Umsetzung, Geschäftsleitungsbefassung und Dokumentation.

Priorität haben vor allem fünf Schritte:

  1. Betroffenheit und Kategorie klären: Fällt das Unternehmen unter NIS2? Handelt es sich um eine wichtige oder besonders wichtige Einrichtung?
  2. Registrierung und Meldewege absichern: Ist klar, ob eine BSI-Registrierung erforderlich ist und wer Sicherheitsvorfälle meldet?
  3. Geschäftsleitung einbinden: Sind Risiken, Budgets, Entscheidungen und Schulungen auf Leitungsebene dokumentiert?
  4. Schnittstellen prüfen: Sind DORA, DSGVO, Dienstleister und Lieferketten berücksichtigt?
  5. Nachweise aufbauen: Können Sicherheitsmaßnahmen, Prüfungen und Aktualisierungen im Ernstfall belegt werden?

Was sollten Unternehmen jetzt tun?

Unternehmen sollten ihre NIS2-Risiken aktiv prüfen und die wichtigsten Nachweise vorbereiten. Wer betroffen ist, sollte nicht erst auf eine Anfrage des BSI oder einen Sicherheitsvorfall warten.

Wir unterstützen Sie bei der Prüfung von Betroffenheit, Bußgeldrisiken, Registrierung, Meldepflichten, DORA-/DSGVO-Schnittstellen und Geschäftsleitungsverantwortung.

Sie möchten wissen, welches Bußgeldrisiko für Ihr Unternehmen konkret besteht?
Nutzen Sie unsere NIS2-Erstberatung. Wir prüfen die wichtigsten Risikopunkte für Ihr Unternehmen und zeigen, welche Maßnahmen jetzt Priorität haben.

NIS2-Beratung für den Mittelstand

Machen Sie Ihr Unternehmen jetzt NIS2-konform

Klären Sie, ob Ihr Unternehmen betroffen ist, welche Pflichten gelten und welche Maßnahmen jetzt priorisiert werden sollten.

Kostenlose Erstberatung sichern Unverbindlich · Persönliche Ersteinschätzung

Häufige Fragen zu NIS2-Bußgeldern

Wie hoch können NIS2-Bußgelder sein?

Nach deutschem Recht sieht § 65 BSIG bei bestimmten schwerwiegenden Verstößen Bußgelder von bis zu 10 Mio. Euro für besonders wichtige Einrichtungen und bis zu 7 Mio. Euro für wichtige Einrichtungen vor. Bei mehr als 500 Mio. Euro Gesamtumsatz kann der Bußgeldrahmen bis zu 2 % beziehungsweise 1,4 % des weltweiten Gesamtumsatzes betragen.

Bezieht sich der prozentuale Bußgeldrahmen auf den deutschen Umsatz?

Nein. Art. 34 NIS2 stellt auf den weltweiten Jahresumsatz des Unternehmens ab, dem die betroffene Einrichtung angehört. Auch § 65 BSIG definiert den Gesamtumsatz als weltweit erzielte Umsatzerlöse des Unternehmens im vorausgegangenen Geschäftsjahr.

Warum spricht die NIS2-Richtlinie von anderen Bußgeldgrenzen?

Art. 34 NIS2 enthält europäische Mindestvorgaben für nationale Bußgeldrahmen. Das deutsche BSI-Gesetz setzt diese Vorgaben in § 65 BSIG um und enthält zusätzlich die 500-Mio.-Euro-Schwelle für den prozentualen Bußgeldrahmen.

Droht schon beim ersten Verstoß ein Bußgeld?

Ja, grundsätzlich kann auch ein erster Verstoß sanktioniert werden. Ob tatsächlich ein Bußgeld verhängt wird und wie hoch es ausfällt, hängt vom Einzelfall ab.

Kann eine verspätete BSI-Registrierung sanktioniert werden?

Ja. Wer registrierungspflichtig ist und sich nicht, nicht richtig oder nicht rechtzeitig registriert, riskiert aufsichtsrechtliche Maßnahmen und Bußgelder.

Bis wann müssen sich betroffene Unternehmen beim BSI registrieren?

Betroffene Einrichtungen müssen sich spätestens drei Monate, nachdem sie erstmals oder erneut NIS2-betroffen sind, beim BSI registrieren. Für bereits zum 6. Dezember 2025 betroffene Unternehmen war der 6. März 2026 der erste maßgebliche Stichtag.

Führt jeder Cyberangriff automatisch zu einem Bußgeld?

Nein. Ein Angriff allein genügt nicht automatisch. Entscheidend ist, ob das Unternehmen angemessene Sicherheitsmaßnahmen getroffen, den Vorfall bewertet, rechtzeitig gemeldet und die Umsetzung dokumentiert hat.

Was gilt für Banken, Versicherungen und Zahlungsdienstleister?

Für viele Finanzunternehmen ist DORA das speziellere Regelwerk. Trotzdem sollte geprüft werden, welche NIS2-Pflichten daneben relevant bleiben und ob einzelne Gruppengesellschaften oder IT-Dienstleister eigenständig unter NIS2 fallen.

Kann ein NIS2-Verstoß gleichzeitig ein DSGVO-Verstoß sein?

Ja. Bei einem Cyberangriff mit personenbezogenen Daten können sowohl NIS2- beziehungsweise BSIG-Pflichten als auch DSGVO-Pflichten ausgelöst werden. Eine doppelte Geldbuße für dasselbe Verhalten soll aber vermieden werden.

Wann verjähren NIS2-Ordnungswidrigkeiten?

Für die hier relevanten BSIG-Bußgeldtatbestände ist regelmäßig von einer dreijährigen Verfolgungsverjährung auszugehen, weil die Bußgeldrahmen deutlich über 15.000 Euro liegen. Der Fristbeginn kann bei fortdauernden Pflichtverstößen im Einzelfall zu prüfen sein.

Muss die Geschäftsführung persönlich haften?

Eine persönliche Haftung ist kein Automatismus. Sie kann aber relevant werden, wenn Geschäftsleitungsmitglieder ihre Organisations-, Überwachungs- oder Schulungspflichten verletzen. Das sollte im Einzelfall gesondert geprüft werden.

Hilft eine ISO-27001-Zertifizierung gegen Bußgelder?

Eine Zertifizierung kann helfen, Informationssicherheit strukturiert nachzuweisen. Sie ersetzt aber nicht automatisch die Prüfung aller NIS2-Pflichten. Entscheidend ist, ob die konkreten gesetzlichen Anforderungen erfüllt sind und dokumentiert werden können.

Was ist der wichtigste erste Schritt zur Risikoreduzierung?

Der wichtigste erste Schritt ist die Betroffenheitsprüfung. Danach sollten Unternehmen Registrierung, Meldeprozesse, Geschäftsleitungsbefassung, DORA-/DSGVO-Schnittstellen und Dokumentation priorisieren.

Hinweis

Dieser Beitrag bietet eine allgemeine Orientierung und ersetzt keine rechtliche oder technische Einzelfallprüfung. Ob und in welchem Umfang Ihr Unternehmen von NIS2 betroffen ist, hängt von Branche, Größe, Tätigkeit, Konzernstruktur und möglichen Sonderregelungen ab.