NIS2§ 65 BSIG

NIS2-Bußgelder: Höhe, Haftung und Rechtsgrundlagen

Verstöße gegen die NIS2-Pflichten können besonders wichtige Einrichtungen bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes kosten, wichtige Einrichtungen bis zu 7 Mio. € oder 1,4 % (jeweils der höhere Betrag, § 65 BSIG). Zusätzlich haftet die Geschäftsleitung nach § 38 BSIG persönlich, wenn sie die Umsetzung nicht überwacht.

10 Mio. €
Bußgeld besonders wichtig
2 %
oder Anteil am Umsatz
06.12.2025
In Kraft seit

Bußgeldrahmen nach Einrichtungstyp

NIS2 unterscheidet zwei Kategorien betroffener Unternehmen. Der Einrichtungstyp bestimmt die Obergrenze der Geldbuße. Maßgeblich ist immer der höhere der beiden Werte.

Besonders wichtige Einrichtungen

bis 10 Mio. €

oder 2 % des weltweiten Jahresumsatzes

z. B. Energie, Wasser, große Betreiber kritischer Infrastruktur, größere Unternehmen aus Kernsektoren

Wichtige Einrichtungen

bis 7 Mio. €

oder 1,4 % des weltweiten Jahresumsatzes

z. B. viele mittelständische Unternehmen aus den erfassten Sektoren (Produktion, Chemie, Post, Lebensmittel, Abfall, digitale Dienste)

Bußgelder nach Verstoßart

§ 65 BSIG staffelt die Bußgelder nach Art des Verstoßes. Die höchsten Rahmen gelten für Verstöße gegen das Risikomanagement und die Meldepflicht, formale Versäumnisse liegen darunter.

VerstoßBußgeldrahmenRechtsgrundlage
Kein oder unzureichendes Risikomanagement (fehlendes ISMS, fehlende technische und organisatorische Maßnahmen)bis 10 Mio. € / 2 % bzw. 7 Mio. € / 1,4 %§ 65 i. V. m. § 30 BSIG
Verletzung der Meldepflicht (Frühwarnung 24 h, Meldung 72 h, Abschlussbericht 1 Monat)bis 10 Mio. € / 2 % bzw. 7 Mio. € / 1,4 %§ 65 i. V. m. § 32 BSIG
Nichtbefolgung einer vollziehbaren BSI-Anordnung, Verstoß gegen Auskunfts- und Nachweispflichtenbis 2 Mio. €§ 65 i. V. m. §§ 11, 16, 17, 39 BSIG
Keine oder verspätete Registrierung beim BSIbis 500.000 €§ 65 i. V. m. § 33 BSIG
Kontakt- und Meldestelle nicht dauerhaft erreichbarbis 100.000 €§ 65 i. V. m. § 33 BSIG

Bei den beiden obersten Kategorien gilt der Höchstrahmen abhängig vom Einrichtungstyp (10 Mio. € / 2 % für besonders wichtige, 7 Mio. € / 1,4 % für wichtige Einrichtungen). Die genannten Beträge sind gesetzliche Obergrenzen, nicht die im Einzelfall verhängte Summe.

Wie weit ist Ihr Unternehmen von diesen Pflichten entfernt?

Der kostenlose NIS2-Check zeigt Ihren Status in wenigen Minuten, ohne Anmeldung.

NIS2-Check gratis

Persönliche Haftung der Geschäftsleitung

Der Kern der NIS2-Verschärfung liegt nicht allein in der Bußgeldhöhe, sondern in der persönlichen Verantwortung der Leitungsebene. § 38 BSIG macht Cybersicherheit zur Chefsache im rechtlichen Sinn.

Billigung und Überwachung sind Pflicht

Die Geschäftsleitung muss die Risikomanagementmaßnahmen nach § 30 BSIG billigen und ihre Umsetzung überwachen. Es genügt nicht, das Thema an die IT zu delegieren und Kenntnis zu nehmen, verlangt ist aktive Steuerung. Hinzu kommt die Pflicht, sich regelmäßig schulen zu lassen.

Haftung mit dem Privatvermögen

Verletzt die Leitung diese Pflichten, haftet sie dem eigenen Unternehmen gegenüber für den daraus entstehenden Schaden, im Grundsatz mit dem persönlichen Vermögen (Innenhaftung). Ein vertraglicher Verzicht der Gesellschafter auf diese Haftung ist gesetzlich ausgeschlossen.

Wichtig einzuordnen

Die Bußgelder von 10 bzw. 7 Mio. € richten sich gegen das Unternehmen, nicht als persönliches Bußgeld gegen einzelne Personen. Das persönliche Risiko der Geschäftsleitung ist die Innenhaftung, also der Regress durch die eigene Gesellschaft. Beide Ebenen bestehen nebeneinander.

Was das BSI prüft und wie Verfahren ablaufen

Zuständige Aufsichtsbehörde ist das Bundesamt für Sicherheit in der Informationstechnik (BSI). Die operative Prüf- und Sanktionsphase hat mit Ablauf der Registrierungsfrist im Frühjahr 2026 begonnen.

Proaktiv oder reaktiv, je nach Typ

Besonders wichtige Einrichtungen unterliegen einer proaktiven Aufsicht, das BSI darf also auch ohne konkreten Anlass prüfen. Wichtige Einrichtungen werden grundsätzlich reaktiv geprüft, das heißt bei Anhaltspunkten für einen Verstoß, etwa nach einem gemeldeten Vorfall oder einem Hinweis.

Typischer Ablauf

  1. 1Auslöser: ein gemeldeter Sicherheitsvorfall, ein Hinweis oder eine Stichprobe macht das BSI auf das Unternehmen aufmerksam.
  2. 2Auskunft und Nachweise: das BSI fordert Unterlagen zum Sicherheitskonzept, zu Maßnahmen und zur Umsetzung an.
  3. 3Prüfung: bei Bedarf folgen ein Sicherheitsaudit oder eine Vor-Ort-Prüfung.
  4. 4Anordnung mit Frist: werden Mängel festgestellt, ordnet das BSI die Beseitigung innerhalb einer Frist an.
  5. 5Sanktion: erst die Nichtbefolgung von Anordnungen oder schwere Verstöße führen zum Bußgeld, bei besonders wichtigen Einrichtungen sind zudem weitergehende Maßnahmen bis hin zu Tätigkeitsverboten für Leitungspersonen möglich.

Bußgeld, Anordnung oder Registrierungsverstoß

In der Diskussion werden drei Dinge oft vermischt, die rechtlich verschieden sind. Die Unterscheidung hilft, das eigene Risiko realistisch einzuschätzen.

Bußgeld

§ 65 BSIG

Ahndet einen bereits begangenen Pflichtverstoß mit einer Geldbuße. Es ist die schärfste, rückblickende Sanktion und in der Praxis meist die letzte Stufe.

Aufsichtliche Anordnung

§ 39 BSIG

Ist in die Zukunft gerichtet: das BSI verlangt die Beseitigung von Mängeln innerhalb einer Frist. Erst die Nichtbefolgung der Anordnung ist selbst bußgeldbewehrt.

Registrierungsverstoß

§ 33 BSIG

Eine rein formale Pflicht: wer sich nicht oder zu spät beim BSI registriert, kann mit bis zu 500.000 € belegt werden, unabhängig vom Stand der technischen Sicherheit.

So senken Sie das Bußgeldrisiko

Bußgelder setzen an Pflichtverletzungen an. Wer die folgenden fünf Punkte belegbar erfüllt, entzieht den häufigsten Vorwürfen die Grundlage.

Registrierung und Fristen nachhalten

Die Registrierung beim BSI und die Meldefristen (24 h / 72 h / 1 Monat) sind eigenständige, bußgeldbewehrte Pflichten. Wer sie in einem Fristenkalender mit Erinnerungen führt, verpasst sie nicht versehentlich.

In CompliantDesk: Kalender- und Fristen-Modul mit automatischen Erinnerungen.

Risikomanagement nachweisbar dokumentieren

Der häufigste Vorwurf ist nicht der fehlende, sondern der nicht belegbare Schutz. Gap-Analyse, Risikoregister und Maßnahmenverfolgung machen den Stand der § 30-Maßnahmen jederzeit nachweisbar.

In CompliantDesk: Gap-Tracker, Risiko-Register und Kontrollen mit Nachweisverknüpfung.

Meldeprozess vorab einüben

Im Ernstfall bleiben für die Erstmeldung nur 24 Stunden. Ein vorbereiteter Vorfallprozess mit hinterlegten Fristen und Zuständigkeiten verhindert, dass die Meldung zum zweiten Verstoß wird.

In CompliantDesk: Vorfall-Management mit gesetzlichen Meldefristen.

Geschäftsleitung nachweislich einbinden

§ 38 BSIG verlangt Billigung und Überwachung durch die Leitung sowie regelmäßige Schulung. Beschlüsse, Freigaben und Schulungsnachweise sollten dokumentiert vorliegen, nicht nur mündlich erfolgen.

In CompliantDesk: Board-Report, Awareness-Modul und Freigabe-Nachweise.

Nachweise revisionssicher sammeln

Bei einer Prüfung zählt, was belegbar ist. Richtlinien, Nachweise und Prüfprotokolle an einem Ort mit Versionsstand und Verantwortlichen erspart die hektische Beweissuche unter Aufsicht.

In CompliantDesk: Nachweise-, Dokumenten- und Richtlinien-Module.

Häufig gestellte Fragen

Wie hoch sind die Bußgelder bei NIS2?

Der Rahmen richtet sich nach dem Einrichtungstyp. Besonders wichtige Einrichtungen können mit bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes belegt werden, wichtige Einrichtungen mit bis zu 7 Mio. € oder 1,4 %. Maßgeblich ist jeweils der höhere der beiden Beträge. Formale Verstöße wie eine fehlende Registrierung (bis 500.000 €) oder eine nicht erreichbare Meldestelle (bis 100.000 €) liegen darunter. Rechtsgrundlage ist § 65 BSIG.

Wer haftet bei NIS2, das Unternehmen oder die Geschäftsführung?

Beides, aber auf unterschiedliche Weise. Das Bußgeld nach § 65 BSIG trifft das Unternehmen als Verband. Zusätzlich verpflichtet § 38 BSIG die Geschäftsleitung persönlich, die Risikomanagementmaßnahmen zu billigen und ihre Umsetzung zu überwachen. Verletzt sie diese Pflicht, kann sie dem eigenen Unternehmen gegenüber mit dem Privatvermögen für den entstandenen Schaden haften (Innenhaftung).

Kann die Geschäftsführung persönlich belangt werden?

Ja. Nach § 38 BSIG ist die Leitungsebene verpflichtet, die Maßnahmen nach § 30 BSIG zu genehmigen und zu überwachen, und muss sich regelmäßig schulen lassen. Bei Pflichtverletzung droht die persönliche Innenhaftung gegenüber der Gesellschaft. Ein vertraglicher Verzicht auf diese Haftung ist gesetzlich ausgeschlossen. Ein separates Millionen-Bußgeld gegen die Person selbst sieht das Gesetz dagegen nicht vor, die 10- bzw. 7-Millionen-Grenzen beziehen sich auf das Unternehmen.

Was kostet ein NIS2-Verstoß konkret?

Das hängt von Art und Schwere des Verstoßes, dem Einrichtungstyp und dem Verhalten des Unternehmens ab. Bußgelder sind Höchstgrenzen, keine Automatik: Die Aufsicht bemisst die konkrete Höhe unter anderem nach Vorsatz oder Fahrlässigkeit, Dauer, wirtschaftlichem Vorteil und Kooperationsbereitschaft. Ein einmaliges formales Versäumnis wird anders bewertet als ein dauerhaft fehlendes Sicherheitskonzept nach einem Vorfall.

Ab wann drohen NIS2-Bußgelder in Deutschland?

Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) wurde im Dezember 2025 im Bundesgesetzblatt verkündet und ist am 6. Dezember 2025 in Kraft getreten. Seitdem sind die Pflichten und die Bußgeldvorschriften des BSIG unmittelbar anwendbar, es gibt keine allgemeine Übergangsfrist für die Sicherheitspflichten. Die Registrierungsfrist beim BSI ist am 6. März 2026 abgelaufen.

Was passiert, wenn ich die Registrierung beim BSI verpasst habe?

Die fehlende oder verspätete Registrierung ist ein eigener bußgeldbewehrter Tatbestand (bis 500.000 €) und zugleich das Signal, das die Aufsicht auf ein Unternehmen aufmerksam macht. Eine Nachregistrierung ist weiterhin möglich und in jedem Fall der richtige Schritt, entbindet aber nicht rückwirkend von den bereits ab Inkrafttreten geltenden Sicherheits- und Meldepflichten.

Gibt es schon verhängte NIS2-Bußgelder in Deutschland?

Öffentlich bekannt geworden sind bislang keine konkreten, bezifferten NIS2-Bußgeldverfahren gegen einzelne Unternehmen. Das entspricht der frühen Phase: Das BSI hat die operative Prüf- und Sanktionsphase erst nach Ablauf der Registrierungsfrist im Frühjahr 2026 aufgenommen, und Verfahren werden in der Regel nicht namentlich veröffentlicht. Aus dem Fehlen bekannter Fälle lässt sich also nicht ableiten, dass nicht durchgesetzt wird.

Worin unterscheiden sich wichtige und besonders wichtige Einrichtungen beim Bußgeld?

Der Einrichtungstyp bestimmt die Obergrenze und die Aufsichtsintensität. Besonders wichtige Einrichtungen haften bis 10 Mio. € oder 2 % Umsatz und unterliegen einer proaktiven Aufsicht, die auch ohne konkreten Anlass prüfen darf. Wichtige Einrichtungen haften bis 7 Mio. € oder 1,4 % und werden grundsätzlich reaktiv geprüft, also bei Anhaltspunkten für einen Verstoß.

NIS2-Bußgeldrisiko mit CompliantDesk reduzieren

CompliantDesk führt Registrierung, Risikomanagement, Meldefristen und Nachweise an einem Ort zusammen und macht die Umsetzung für die Geschäftsleitung nachweisbar. Starten Sie mit dem kostenlosen NIS2-Check.

Rechtlicher Hinweis: Dieser Beitrag gibt den Stand von Juli 2026 wieder und dient der allgemeinen Information. Er ersetzt keine Rechtsberatung im Einzelfall. Maßgeblich sind der Gesetzestext des BSIG in seiner jeweils geltenden Fassung sowie die konkrete Einordnung Ihres Unternehmens. Für verbindliche Auskünfte wenden Sie sich bitte an eine fachkundige Rechtsberatung.