NIS-2 Bußgelder: Sanktionen bei Verstößen bis 10 Millionen Euro

Bis zu 10 Millionen Euro. Oder 2 Prozent des weltweiten Jahresumsatzes. Je nachdem, was höher ist. Das sind die Bußgeldrahmen, mit denen NIS-2 arbeitet. Für ein Unternehmen mit 600 Millionen Euro Umsatz wären das 12 Millionen Euro potenzielle Strafe.

Diese Zahlen sind bewusst hoch angesetzt. Sie sollen abschrecken, und das tun sie auch. Aber sie sind nicht der einzige Grund, sich mit NIS-2 zu beschäftigen – und nicht mal der wichtigste.

Wer wie viel riskiert

Es gibt einen Unterschied zwischen “besonders wichtigen” und “wichtigen” Einrichtungen.

Besonders wichtige Einrichtungen – das sind die größeren Unternehmen in den kritischen Sektoren – riskieren bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Umsatzes. Bei einem globalen Konzern kann das schnell in die zweistelligen Millionen gehen.

Wichtige Einrichtungen – etwas kleiner, aber immer noch relevant – riskieren bis zu 7 Millionen Euro oder 1,4 Prozent des Umsatzes.

In beiden Fällen gilt: Der höhere Wert zählt. Das ist kein Versehen, das ist Absicht.

Wofür es Strafen gibt

Die offensichtlichen Fälle: Sie registrieren sich nicht beim BSI, obwohl Sie müssten. Sie melden einen Sicherheitsvorfall nicht oder zu spät. Sie ignorieren Anordnungen des BSI.

Aber es geht weiter. Fehlende oder unzureichende Sicherheitsmaßnahmen können sanktioniert werden. Keine dokumentierten Konzepte? Bußgeld. Mangelhaftes Risikomanagement? Bußgeld. Die Lieferkette nicht im Griff? Bußgeld.

Das BSI prüft nicht jeden Monat bei jedem Unternehmen. Aber wenn es prüft – bei besonders wichtigen Einrichtungen proaktiv, bei wichtigen anlassbezogen – und Mängel findet, wird es ernst.

Die Sache mit der persönlichen Haftung

Hier liegt der eigentliche Hebel. NIS-2 macht explizit klar: Die Geschäftsleitung ist verantwortlich. Nicht die IT-Abteilung, nicht der externe Dienstleister. Die Geschäftsführer und Vorstände persönlich.

Die müssen die Sicherheitsmaßnahmen genehmigen. Die müssen die Umsetzung überwachen. Die müssen selbst an Schulungen teilnehmen. Und wenn sie das nicht tun, können sie mit ihrem Privatvermögen haften.

Das ist keine leere Drohung. Stellen Sie sich vor: Ein Bußgeld von 5 Millionen Euro wird verhängt. Das Unternehmen nimmt die Geschäftsleitung in Regress, weil die ihre Pflichten verletzt hat. Plötzlich geht es nicht mehr nur um den Job, sondern um das Eigenheim.

Ich übertreibe? Fragen Sie mal einen Anwalt, wie realistisch dieses Szenario ist. Die Antwort wird Sie nicht beruhigen.

Wie das BSI vorgeht

Das BSI ist kein Papiertiger. Es hat echte Befugnisse: Informationen anfordern, vor Ort prüfen, Anordnungen erlassen, Bußgelder verhängen. Bei besonders schwerwiegenden Fällen kann es sogar Geschäftsführern die weitere Tätigkeit untersagen.

Bei besonders wichtigen Einrichtungen gibt es proaktive Aufsicht. Das heißt: Sie können auch dann eine Prüfung bekommen, wenn nichts vorgefallen ist. Bei wichtigen Einrichtungen ist die Aufsicht reaktiver – aber nach einem Vorfall oder einer Beschwerde wird trotzdem geprüft.

Die versteckten Kosten

Bußgelder sind das eine. Aber es gibt noch mehr.

Reputationsschäden. Das BSI kann Verstöße öffentlich machen. Stellen Sie sich die Schlagzeile vor: “Unternehmen X mit Millionenstrafe wegen mangelhafter Cybersicherheit.” Das schadet dem Vertrauen von Kunden und Partnern, und das lässt sich nicht mit Geld reparieren.

Versicherungsprobleme. Ihre Cyberversicherung könnte Leistungen verweigern, wenn Sie NIS-2-Anforderungen nicht erfüllt haben. Der Schaden aus dem Angriff plus keine Versicherungsleistung – das tut weh.

Zivilrechtliche Ansprüche. Wenn Kunden oder Partner durch einen Vorfall bei Ihnen geschädigt werden, können sie Schadensersatz fordern. Diese Ansprüche kommen obendrauf auf alles andere.

Geschäftsverlust. Große Kunden, insbesondere aus dem öffentlichen Sektor, prüfen zunehmend die Sicherheitslage ihrer Lieferanten. Wer NIS-2 nicht erfüllt, kann von Ausschreibungen ausgeschlossen werden.

Was die Höhe beeinflusst

Das BSI würfelt nicht. Bei der Bemessung von Bußgeldern gibt es Faktoren, die erhöhend oder mildernd wirken.

Schlecht für Sie: Schwere und Dauer des Verstoßes, vorsätzliches Handeln, Wiederholungstäter, fehlende Kooperation mit den Behörden, frühere Sanktionen.

Gut für Sie: Erstmaliger Verstoß, schnelle Behebung nach Entdeckung, aktive Kooperation mit dem BSI, selbst entdeckt und gemeldet, nachweisliche Investitionen in Sicherheit.

Der letzte Punkt ist wichtig. Wer zeigen kann, dass er sich ernsthaft um Cybersicherheit bemüht hat, wird anders behandelt als jemand, der das Thema komplett ignoriert hat. Auch wenn am Ende etwas schiefgegangen ist.

Der Vergleich zur DSGVO

Sie kennen die DSGVO-Bußgelder – bis zu 20 Millionen Euro oder 4 Prozent des Umsatzes. NIS-2 ist also etwas niedriger angesetzt, aber nicht dramatisch.

Der wichtige Punkt: Beide können parallel greifen. Bei einem Sicherheitsvorfall mit personenbezogenen Daten riskieren Sie Bußgelder nach beiden Regelwerken. Das kann sich summieren.

Was Sie tun sollten

Nicht wegen der Bußgelder handeln. Handeln, weil es richtig ist.

Ein Unternehmen, das seine Cybersicherheit ernst nimmt, erfüllt NIS-2 fast automatisch. Die Anforderungen – Risikomanagement, Incident Response, Business Continuity, Zugriffskontrollen – sind keine bürokratischen Schikanen. Sie sind das, was ein Unternehmen sowieso tun sollte, um sich vor Cyberangriffen zu schützen.

Der Unterschied ist: Jetzt ist es Pflicht. Und es gibt Konsequenzen, wenn Sie es nicht tun.

Die beste Strategie gegen Bußgelder ist proaktive Compliance. Dokumentieren Sie, was Sie tun. Schulen Sie Ihre Leute. Testen Sie Ihre Backups. Wenn dann doch mal etwas passiert, können Sie zeigen: “Wir haben alles Zumutbare getan.”

Das schützt Sie nicht vollständig. Aber es macht einen enormen Unterschied – bei der Höhe des Bußgelds, bei der Versicherungsleistung, bei der persönlichen Haftung.

Die 10 Millionen Euro sind die Obergrenze. Sie sind nicht das unvermeidliche Schicksal.