In einem Satz. Das deutsche NIS2UmsuCG führt ein dreigeteiltes Sanktionsregime ein — wesentliche Einrichtungen bis €10 Mio. oder 2% Weltumsatz, wichtige Einrichtungen bis €7 Mio. oder 1,4% Weltumsatz, dazu spezifische Bußgelder für Registrierungs- und Meldepflichtverstöße — durchgesetzt durch das BSI als nationaler Aufsichts- und Sanktionsbehörde, ergänzt durch persönliche Haftungsregeln gegen Geschäftsleitung und Untersagungsmöglichkeiten.
Die NIS2-Sanktionsschwere ist neu für Deutschland: bisheriges BSIG sah max. €100.000 vor, jetzt zweistellige Millionenbeträge. Geschäftsleitung haftet persönlich — das ist der eigentliche Wendepunkt. DSGVO-Bußgelder zeigen, wie schnell Aufsicht aggressiv wird (Deutsche Wohnen €14,5 Mio., Notebooksbilliger €10,4 Mio.); NIS2 wird vergleichbar werden. Siehe DSGVO Bußgelder.
Wichtige Punkte
- Wesentliche Einrichtungen: bis €10 Mio. oder 2% Weltumsatz (höherer Wert).
- Wichtige Einrichtungen: bis €7 Mio. oder 1,4% Weltumsatz.
- BSI als Sanktionsbehörde, BfDI/Länder-DPAs bleiben für DSGVO.
- Persönliche Geschäftsleiter-Haftung mit Untersagungsmöglichkeit.
- Spezielle Bußgelder für Registrierung (bis €100.000) und Meldepflichten.
1. Sanktionsstruktur
| Verstoß-Kategorie | Wesentlich | Wichtig |
|---|---|---|
| TOMs fehlend / unzureichend | bis €10M / 2% | bis €7M / 1,4% |
| Meldepflichtverstoß | bis €10M / 2% | bis €7M / 1,4% |
| Registrierungspflichtverstoß | bis €100.000 | bis €100.000 |
| Auflagen-Nichterfüllung | abgestuft | abgestuft |
“Höherer Wert” Prinzip: Bei großen Konzernen kann 2% Umsatz deutlich über €10 Mio. liegen.
2. BSI als Sanktionsbehörde
Bundesamt für Sicherheit in der Informationstechnik führt Aufsicht und Sanktionen:
- Prüfungen vor Ort (bei wesentlichen Einrichtungen proaktiv)
- Anhörungsverfahren
- Bußgeldbescheide
- Anordnungen von Maßnahmen
- Bei wiederholten oder schweren Verstößen: Anregung Untersagung der Geschäftsleitung
3. Bußgeldzumessung
Faktoren (analog DSGVO Art. 83):
- Schwere und Dauer des Verstoßes
- Vorsatz vs. Fahrlässigkeit
- Maßnahmen zur Schadensbegrenzung
- Verhalten bei Aufklärung (Kooperation)
- Frühere Verstöße
- Wirtschaftliche Größe
Erstverstoß bei kooperativer Aufklärung typisch im fünf- bis sechsstelligen Bereich, bei Vorsatz und Wiederholung Millionen.
4. Persönliche Geschäftsleiter-Haftung
Neuheit gegenüber bisherigem BSIG:
- Geschäftsleitung muss Sicherheitsmaßnahmen genehmigen
- Überwachungspflicht für Umsetzung
- Pflichtschulung zu Cybersicherheit
- Bei Pflichtverletzung: Innenhaftung gegenüber Gesellschaft (Schadensersatz)
- BSI kann temporäre Untersagung der Geschäftsleitung beantragen
Implikation: D&O-Versicherungen müssen NIS2-Compliance-Pflichten abdecken.
5. Meldepflichten als Bußgeldquelle
Mehrstufige Meldepflicht:
| Frist | Inhalt | Bei Verstoß |
|---|---|---|
| 24h | Frühwarnung an BSI | Bußgeld droht |
| 72h | Vorfallsmeldung mit Einstufung | Bußgeld droht |
| 1 Monat | Abschlussbericht | Bußgeld droht |
Erfahrung aus DSGVO: Aufsichten sind beim 72h-Verstoß besonders streng — entsprechend zu erwarten bei NIS2.
6. Vergleich Sanktionsregime
| Regelwerk | Max. Sanktion |
|---|---|
| DSGVO | €20M oder 4% Weltumsatz |
| NIS2 (wesentlich) | €10M oder 2% Weltumsatz |
| DORA (Finanz) | bis 1% Weltumsatz Tageshöchst |
| MaRisk/BAIT | unterschiedlich, oft 7-stellig |
| KRITIS-Verordnung | bis €2M |
DSGVO bleibt höchste Sanktionsstufe — aber NIS2 ist nicht weit entfernt.
7. Verfahrensablauf
Typisches Verfahren bei BSI:
- Anlassgebende Information (Vorfallsmeldung, Beschwerde, Audit-Finding)
- Anhörung mit Frist
- Sachverhaltsaufklärung
- Vorläufige Bewertung
- Bußgeldbescheid oder Verfahrenseinstellung
- Einspruchsmöglichkeit (Verwaltungsgericht)
8. Doppelmeldung NIS2 + DSGVO
Bei Sicherheitsvorfall mit Personenbezug:
- DSGVO Art. 33: 72h an BfDI/LDA
- NIS2: 24h Frühwarnung + 72h Vorfallsmeldung an BSI
Inhaltliche Koordination möglich, aber zwei separate Meldungen.
9. Kooperation der Aufsichten
BSI und BfDI/LDA arbeiten zusammen:
- Informationsaustausch
- Gemeinsame Verfahren bei Doppelsanktionen
- Bußgeld nicht “doppelt” — aber je Verstoß je Regelwerk möglich
10. Praktische Risikoreduktion
Bußgeld-Mitigation:
- Risikomanagement nach BSI 200-2/200-3 dokumentieren
- BCMS nach BSI 200-4 implementieren
- ISO 27001 oder IT-Grundschutz-Zertifizierung
- C5-Testate für Cloud-Auslagerungen
- Kooperative Aufklärung bei Vorfällen
- Frühe Maßnahmen zur Schadensbegrenzung
Siehe BSI-Grundschutz.
11. Erwartete erste NIS2-Bußgelder
Prognose 2026-2027:
- Erste Verfahren werden Pilotcharakter haben
- Schwerpunkte: nicht-registrierte Einrichtungen, fehlende TOMs bei Ransomware-Opfern
- Höhe initial sechs- bis siebenstellig
- Großverfahren (Millionenbereich) ab 2027/2028
12. Tool-Unterstützung
Legiscope dokumentiert NIS2-Compliance, Meldewege, Geschäftsleiter-Schulungen und Risikomanagement — auditfähig gegenüber BSI.
Fazit
NIS2-Bußgelder sind die nächste Welle der deutschen Cyber-Regulierung. Wer aus DSGVO-Erfahrungen nichts gelernt hat (nämlich: Aufsichten meinen es ernst, Behebung kommt zu spät), wird teuer überrascht. Die persönliche Geschäftsleiter-Haftung ist der eigentliche Game Changer.
FAQ
Wie hoch sind NIS2-Bußgelder?
Bis €10 Mio. oder 2% Weltumsatz für wesentliche Einrichtungen. Bis €7 Mio. oder 1,4% für wichtige Einrichtungen.
Wer verhängt NIS2-Bußgelder?
Das BSI als nationale NIS2-Aufsicht. Verfahren analog DSGVO-Bußgeldverfahren.
Haftet die Geschäftsführung persönlich?
Ja, neue Innenhaftung gegenüber Gesellschaft plus mögliche temporäre Untersagung der Geschäftsleitung durch BSI.
Kann ich Bußgeld vermeiden durch ISO 27001?
ISO 27001 oder IT-Grundschutz reduzieren Risiko erheblich, garantieren aber kein Verschulden-Free. NIS2 verlangt darüber hinaus spezifische Pflichten (Lieferketten, Schulung, Meldung).
Was passiert bei nicht-rechtzeitiger Meldung?
Eigenständiger Bußgeldtatbestand. Erfahrung aus DSGVO: Aufsicht bestraft 72h-Verstöße konsequent.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial