NIS2-Bußgelder: Höhe, Haftung und Rechtsgrundlagen
Verstöße gegen die NIS2-Pflichten können besonders wichtige Einrichtungen bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes kosten, wichtige Einrichtungen bis zu 7 Mio. € oder 1,4 % (jeweils der höhere Betrag, § 65 BSIG). Zusätzlich haftet die Geschäftsleitung nach § 38 BSIG persönlich, wenn sie die Umsetzung nicht überwacht.
Bußgeldrahmen nach Einrichtungstyp
NIS2 unterscheidet zwei Kategorien betroffener Unternehmen. Der Einrichtungstyp bestimmt die Obergrenze der Geldbuße. Maßgeblich ist immer der höhere der beiden Werte.
Besonders wichtige Einrichtungen
bis 10 Mio. €
oder 2 % des weltweiten Jahresumsatzes
z. B. Energie, Wasser, große Betreiber kritischer Infrastruktur, größere Unternehmen aus Kernsektoren
Wichtige Einrichtungen
bis 7 Mio. €
oder 1,4 % des weltweiten Jahresumsatzes
z. B. viele mittelständische Unternehmen aus den erfassten Sektoren (Produktion, Chemie, Post, Lebensmittel, Abfall, digitale Dienste)
Bußgelder nach Verstoßart
§ 65 BSIG staffelt die Bußgelder nach Art des Verstoßes. Die höchsten Rahmen gelten für Verstöße gegen das Risikomanagement und die Meldepflicht, formale Versäumnisse liegen darunter.
| Verstoß | Bußgeldrahmen | Rechtsgrundlage |
|---|---|---|
| Kein oder unzureichendes Risikomanagement (fehlendes ISMS, fehlende technische und organisatorische Maßnahmen) | bis 10 Mio. € / 2 % bzw. 7 Mio. € / 1,4 % | § 65 i. V. m. § 30 BSIG |
| Verletzung der Meldepflicht (Frühwarnung 24 h, Meldung 72 h, Abschlussbericht 1 Monat) | bis 10 Mio. € / 2 % bzw. 7 Mio. € / 1,4 % | § 65 i. V. m. § 32 BSIG |
| Nichtbefolgung einer vollziehbaren BSI-Anordnung, Verstoß gegen Auskunfts- und Nachweispflichten | bis 2 Mio. € | § 65 i. V. m. §§ 11, 16, 17, 39 BSIG |
| Keine oder verspätete Registrierung beim BSI | bis 500.000 € | § 65 i. V. m. § 33 BSIG |
| Kontakt- und Meldestelle nicht dauerhaft erreichbar | bis 100.000 € | § 65 i. V. m. § 33 BSIG |
Bei den beiden obersten Kategorien gilt der Höchstrahmen abhängig vom Einrichtungstyp (10 Mio. € / 2 % für besonders wichtige, 7 Mio. € / 1,4 % für wichtige Einrichtungen). Die genannten Beträge sind gesetzliche Obergrenzen, nicht die im Einzelfall verhängte Summe.
Wie weit ist Ihr Unternehmen von diesen Pflichten entfernt?
Der kostenlose NIS2-Check zeigt Ihren Status in wenigen Minuten, ohne Anmeldung.
Persönliche Haftung der Geschäftsleitung
Der Kern der NIS2-Verschärfung liegt nicht allein in der Bußgeldhöhe, sondern in der persönlichen Verantwortung der Leitungsebene. § 38 BSIG macht Cybersicherheit zur Chefsache im rechtlichen Sinn.
Billigung und Überwachung sind Pflicht
Die Geschäftsleitung muss die Risikomanagementmaßnahmen nach § 30 BSIG billigen und ihre Umsetzung überwachen. Es genügt nicht, das Thema an die IT zu delegieren und Kenntnis zu nehmen, verlangt ist aktive Steuerung. Hinzu kommt die Pflicht, sich regelmäßig schulen zu lassen.
Haftung mit dem Privatvermögen
Verletzt die Leitung diese Pflichten, haftet sie dem eigenen Unternehmen gegenüber für den daraus entstehenden Schaden, im Grundsatz mit dem persönlichen Vermögen (Innenhaftung). Ein vertraglicher Verzicht der Gesellschafter auf diese Haftung ist gesetzlich ausgeschlossen.
Wichtig einzuordnen
Die Bußgelder von 10 bzw. 7 Mio. € richten sich gegen das Unternehmen, nicht als persönliches Bußgeld gegen einzelne Personen. Das persönliche Risiko der Geschäftsleitung ist die Innenhaftung, also der Regress durch die eigene Gesellschaft. Beide Ebenen bestehen nebeneinander.
Was das BSI prüft und wie Verfahren ablaufen
Zuständige Aufsichtsbehörde ist das Bundesamt für Sicherheit in der Informationstechnik (BSI). Die operative Prüf- und Sanktionsphase hat mit Ablauf der Registrierungsfrist im Frühjahr 2026 begonnen.
Proaktiv oder reaktiv, je nach Typ
Besonders wichtige Einrichtungen unterliegen einer proaktiven Aufsicht, das BSI darf also auch ohne konkreten Anlass prüfen. Wichtige Einrichtungen werden grundsätzlich reaktiv geprüft, das heißt bei Anhaltspunkten für einen Verstoß, etwa nach einem gemeldeten Vorfall oder einem Hinweis.
Typischer Ablauf
- 1Auslöser: ein gemeldeter Sicherheitsvorfall, ein Hinweis oder eine Stichprobe macht das BSI auf das Unternehmen aufmerksam.
- 2Auskunft und Nachweise: das BSI fordert Unterlagen zum Sicherheitskonzept, zu Maßnahmen und zur Umsetzung an.
- 3Prüfung: bei Bedarf folgen ein Sicherheitsaudit oder eine Vor-Ort-Prüfung.
- 4Anordnung mit Frist: werden Mängel festgestellt, ordnet das BSI die Beseitigung innerhalb einer Frist an.
- 5Sanktion: erst die Nichtbefolgung von Anordnungen oder schwere Verstöße führen zum Bußgeld, bei besonders wichtigen Einrichtungen sind zudem weitergehende Maßnahmen bis hin zu Tätigkeitsverboten für Leitungspersonen möglich.
Bußgeld, Anordnung oder Registrierungsverstoß
In der Diskussion werden drei Dinge oft vermischt, die rechtlich verschieden sind. Die Unterscheidung hilft, das eigene Risiko realistisch einzuschätzen.
Bußgeld
§ 65 BSIG
Ahndet einen bereits begangenen Pflichtverstoß mit einer Geldbuße. Es ist die schärfste, rückblickende Sanktion und in der Praxis meist die letzte Stufe.
Aufsichtliche Anordnung
§ 39 BSIG
Ist in die Zukunft gerichtet: das BSI verlangt die Beseitigung von Mängeln innerhalb einer Frist. Erst die Nichtbefolgung der Anordnung ist selbst bußgeldbewehrt.
Registrierungsverstoß
§ 33 BSIG
Eine rein formale Pflicht: wer sich nicht oder zu spät beim BSI registriert, kann mit bis zu 500.000 € belegt werden, unabhängig vom Stand der technischen Sicherheit.
So senken Sie das Bußgeldrisiko
Bußgelder setzen an Pflichtverletzungen an. Wer die folgenden fünf Punkte belegbar erfüllt, entzieht den häufigsten Vorwürfen die Grundlage.
Registrierung und Fristen nachhalten
Die Registrierung beim BSI und die Meldefristen (24 h / 72 h / 1 Monat) sind eigenständige, bußgeldbewehrte Pflichten. Wer sie in einem Fristenkalender mit Erinnerungen führt, verpasst sie nicht versehentlich.
In CompliantDesk: Kalender- und Fristen-Modul mit automatischen Erinnerungen.
Risikomanagement nachweisbar dokumentieren
Der häufigste Vorwurf ist nicht der fehlende, sondern der nicht belegbare Schutz. Gap-Analyse, Risikoregister und Maßnahmenverfolgung machen den Stand der § 30-Maßnahmen jederzeit nachweisbar.
In CompliantDesk: Gap-Tracker, Risiko-Register und Kontrollen mit Nachweisverknüpfung.
Meldeprozess vorab einüben
Im Ernstfall bleiben für die Erstmeldung nur 24 Stunden. Ein vorbereiteter Vorfallprozess mit hinterlegten Fristen und Zuständigkeiten verhindert, dass die Meldung zum zweiten Verstoß wird.
In CompliantDesk: Vorfall-Management mit gesetzlichen Meldefristen.
Geschäftsleitung nachweislich einbinden
§ 38 BSIG verlangt Billigung und Überwachung durch die Leitung sowie regelmäßige Schulung. Beschlüsse, Freigaben und Schulungsnachweise sollten dokumentiert vorliegen, nicht nur mündlich erfolgen.
In CompliantDesk: Board-Report, Awareness-Modul und Freigabe-Nachweise.
Nachweise revisionssicher sammeln
Bei einer Prüfung zählt, was belegbar ist. Richtlinien, Nachweise und Prüfprotokolle an einem Ort mit Versionsstand und Verantwortlichen erspart die hektische Beweissuche unter Aufsicht.
In CompliantDesk: Nachweise-, Dokumenten- und Richtlinien-Module.
Häufig gestellte Fragen
Wie hoch sind die Bußgelder bei NIS2?
Der Rahmen richtet sich nach dem Einrichtungstyp. Besonders wichtige Einrichtungen können mit bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes belegt werden, wichtige Einrichtungen mit bis zu 7 Mio. € oder 1,4 %. Maßgeblich ist jeweils der höhere der beiden Beträge. Formale Verstöße wie eine fehlende Registrierung (bis 500.000 €) oder eine nicht erreichbare Meldestelle (bis 100.000 €) liegen darunter. Rechtsgrundlage ist § 65 BSIG.
Wer haftet bei NIS2, das Unternehmen oder die Geschäftsführung?
Beides, aber auf unterschiedliche Weise. Das Bußgeld nach § 65 BSIG trifft das Unternehmen als Verband. Zusätzlich verpflichtet § 38 BSIG die Geschäftsleitung persönlich, die Risikomanagementmaßnahmen zu billigen und ihre Umsetzung zu überwachen. Verletzt sie diese Pflicht, kann sie dem eigenen Unternehmen gegenüber mit dem Privatvermögen für den entstandenen Schaden haften (Innenhaftung).
Kann die Geschäftsführung persönlich belangt werden?
Ja. Nach § 38 BSIG ist die Leitungsebene verpflichtet, die Maßnahmen nach § 30 BSIG zu genehmigen und zu überwachen, und muss sich regelmäßig schulen lassen. Bei Pflichtverletzung droht die persönliche Innenhaftung gegenüber der Gesellschaft. Ein vertraglicher Verzicht auf diese Haftung ist gesetzlich ausgeschlossen. Ein separates Millionen-Bußgeld gegen die Person selbst sieht das Gesetz dagegen nicht vor, die 10- bzw. 7-Millionen-Grenzen beziehen sich auf das Unternehmen.
Was kostet ein NIS2-Verstoß konkret?
Das hängt von Art und Schwere des Verstoßes, dem Einrichtungstyp und dem Verhalten des Unternehmens ab. Bußgelder sind Höchstgrenzen, keine Automatik: Die Aufsicht bemisst die konkrete Höhe unter anderem nach Vorsatz oder Fahrlässigkeit, Dauer, wirtschaftlichem Vorteil und Kooperationsbereitschaft. Ein einmaliges formales Versäumnis wird anders bewertet als ein dauerhaft fehlendes Sicherheitskonzept nach einem Vorfall.
Ab wann drohen NIS2-Bußgelder in Deutschland?
Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) wurde im Dezember 2025 im Bundesgesetzblatt verkündet und ist am 6. Dezember 2025 in Kraft getreten. Seitdem sind die Pflichten und die Bußgeldvorschriften des BSIG unmittelbar anwendbar, es gibt keine allgemeine Übergangsfrist für die Sicherheitspflichten. Die Registrierungsfrist beim BSI ist am 6. März 2026 abgelaufen.
Was passiert, wenn ich die Registrierung beim BSI verpasst habe?
Die fehlende oder verspätete Registrierung ist ein eigener bußgeldbewehrter Tatbestand (bis 500.000 €) und zugleich das Signal, das die Aufsicht auf ein Unternehmen aufmerksam macht. Eine Nachregistrierung ist weiterhin möglich und in jedem Fall der richtige Schritt, entbindet aber nicht rückwirkend von den bereits ab Inkrafttreten geltenden Sicherheits- und Meldepflichten.
Gibt es schon verhängte NIS2-Bußgelder in Deutschland?
Öffentlich bekannt geworden sind bislang keine konkreten, bezifferten NIS2-Bußgeldverfahren gegen einzelne Unternehmen. Das entspricht der frühen Phase: Das BSI hat die operative Prüf- und Sanktionsphase erst nach Ablauf der Registrierungsfrist im Frühjahr 2026 aufgenommen, und Verfahren werden in der Regel nicht namentlich veröffentlicht. Aus dem Fehlen bekannter Fälle lässt sich also nicht ableiten, dass nicht durchgesetzt wird.
Worin unterscheiden sich wichtige und besonders wichtige Einrichtungen beim Bußgeld?
Der Einrichtungstyp bestimmt die Obergrenze und die Aufsichtsintensität. Besonders wichtige Einrichtungen haften bis 10 Mio. € oder 2 % Umsatz und unterliegen einer proaktiven Aufsicht, die auch ohne konkreten Anlass prüfen darf. Wichtige Einrichtungen haften bis 7 Mio. € oder 1,4 % und werden grundsätzlich reaktiv geprüft, also bei Anhaltspunkten für einen Verstoß.
NIS2-Bußgeldrisiko mit CompliantDesk reduzieren
CompliantDesk führt Registrierung, Risikomanagement, Meldefristen und Nachweise an einem Ort zusammen und macht die Umsetzung für die Geschäftsleitung nachweisbar. Starten Sie mit dem kostenlosen NIS2-Check.
Rechtlicher Hinweis: Dieser Beitrag gibt den Stand von Juli 2026 wieder und dient der allgemeinen Information. Er ersetzt keine Rechtsberatung im Einzelfall. Maßgeblich sind der Gesetzestext des BSIG in seiner jeweils geltenden Fassung sowie die konkrete Einordnung Ihres Unternehmens. Für verbindliche Auskünfte wenden Sie sich bitte an eine fachkundige Rechtsberatung.
