Die NIS2-Richtlinie und das deutsche Umsetzungsgesetz NIS2UmsuCG etablieren ein zweistufiges Sanktionsregime. Die Obergrenzen lehnen sich an die DSGVO an, die persönliche Haftung der Leitungsebene ist jedoch eigenständig und geht in einzelnen Punkten darüber hinaus. Dieser Katalog ordnet die Tatbestände nach Schweregrad.
Sortiert nach Schweregrad. Die Paragraphen beziehen sich auf den Entwurf des deutschen NIS2UmsuCG in der am 10.04.2026 vom Bundestag beschlossenen Fassung. In Klammern der zugehörige Artikel der NIS2-Richtlinie (EU) 2022/2555.
Wesentliche und wichtige Einrichtungen müssen sich binnen drei Monaten nach Inkrafttreten beim BSI registrieren. Fehlende Registrierung blockiert alle weiteren Nachweisprozesse und wird als Wurzelverstoß gewertet.
Kein dokumentiertes ISMS, keine Lieferkettenanalyse, keine Kryptographie-Policy, kein Business-Continuity-Plan. Das BSI prüft die zehn Mindestmaßnahmen aus Art. 21 Abs. 2 Buchstabe a–j stichprobenartig.
Frühwarnung binnen 24 Stunden, Vorfallsmeldung binnen 72 Stunden, Abschlussbericht binnen eines Monats. Jede versäumte Frist wird eigenständig geahndet, auch wenn sich alle auf denselben Vorfall beziehen.
Geschäftsleitungsmitglieder müssen regelmäßig an Cybersecurity-Schulungen teilnehmen. Fehlt der Nachweis, wird dies als Verletzung der Sorgfaltspflicht gewertet — mit direkter Brücke zur persönlichen Haftung aus § 38 Abs. 2.
Verbindliche Anordnungen (z.B. Audit-Anordnung, Schwachstellen-Remediation, Vorfallsunterstützung) müssen innerhalb der gesetzten Frist umgesetzt werden. Fristversäumung kann mit Zwangsgeldern und Bußgeldern gleichzeitig belegt werden.
Dienstleister-/Vendor-Liste mit Risikoklassifizierung ist Pflichtbestandteil des ISMS. Wer keine nachvollziehbare Abhängigkeitsanalyse führt, riskiert ein Bußgeld im mittleren Bereich — auch ohne dass ein Vorfall eingetreten ist.
Ein formalisiertes Incident-Response-Handbuch mit Rollen, Eskalationspfaden und Kontaktlisten muss vorliegen. Das BSI wertet improvisierte Krisenstäbe ohne Dokumentation als eigenständigen Verstoß.
Multi-Faktor-Authentifizierung für privilegierte Zugänge, Verschlüsselung sensibler Daten im Transit und at rest, Schlüsselmanagement-Prozess — fehlt eines davon, zählt das als separater Einzelverstoß.
Änderungen an Kontaktdaten, IP-Bereichen oder Dienstleister-Informationen müssen binnen zwei Wochen nachgepflegt werden. Niedrigschwelliger Verstoß, wird aber regelmäßig im Zuge anderer Prüfungen mitgeahndet.
Bei erheblichen Sicherheitsvorfällen, die Dienstleistungen beeinträchtigen, müssen Nutzer unverzüglich informiert werden. Unterbliebene oder irreführende Information zieht zusätzlich zu den Meldepflichten ein eigenes Bußgeld.
Beispielhafter Vergleich typischer Verstöße bei 150 Mio € Konzernumsatz. Bars zeigen die Höchstsanktion im jeweiligen Szenario. Bei Einrichtungen mit kleinerer Bemessungsgrundlage zählt der absolute Obergrenzenwert (10 Mio € bzw. 7 Mio €).
§ 38 NIS2UmsuCG verlagert die Verantwortung für Cybersecurity ausdrücklich auf die Leitungsebene. Geschäftsführer, Vorstände und vergleichbare Organe haften nicht nur gesellschaftsrechtlich, sondern auch eigenständig nach Ordnungswidrigkeitenrecht.
Geldbuße gegen Einzelpersonen nach § 30 OWiG in Verbindung mit § 65 NIS2UmsuCG, wenn vorsätzliche Pflichtverletzung nachgewiesen wird.
Bei wesentlichen Einrichtungen kann das BSI Leitungsmitgliedern die Ausübung der Tätigkeit vorübergehend untersagen, bis Mängel behoben sind.
Das Unternehmen kann die verhängte Geldbuße im Innenverhältnis gegen das Leitungsorgan durchsetzen (§ 93 AktG / § 43 GmbHG analog).
Das deutsche Bundesamt für Sicherheit in der Informationstechnik verfügt über ein abgestuftes Instrumentarium. Die folgenden sechs Befugnisse werden am häufigsten ausgeübt — in absteigender Eingriffsintensität.
Temporäre Untersagung der Leitungstätigkeit bei schweren und fortgesetzten Pflichtverletzungen wesentlicher Einrichtungen.
Zur Durchsetzung behördlicher Anordnungen, in der Höhe wiederholbar bis zur Pflichterfüllung.
Betreten von Geschäftsräumen, Einsicht in Unterlagen, Vernehmung von Mitarbeitenden — nach Voranmeldung, im Verdachtsfall auch unangekündigt.
Vorlage von Prüfberichten akkreditierter Stellen (z.B. ISO 27001-Zertifikat, unabhängiges Penetrationstest-Gutachten).
Schriftliche Abfrage zu Sicherheitsmaßnahmen, Vorfällen, Dienstleisterbeziehungen. Nicht-Beantwortung ist selbst sanktionsfähig.
Niedrigschwelliges Instrument: Best-Practice-Empfehlungen, Warnungen, öffentlich bekannt gemachte Schwachstellen.
Einstufung als wesentliche Einrichtung (z.B. Gesundheits-IT-Dienstleister). Ein Sicherheitsvorfall im Dezember 2026 offenbart, dass weder Risikomanagement-Dokumentation noch Meldeprozess noch Schulungsnachweise vorliegen. Das BSI verhängt für jeden Einzelverstoß separat — hier bei gemittelter Auslastung des Rahmens.
| Fehlendes Risikomanagement (§ 30 NIS2UmsuCG) | 1.800.000 € |
| Meldefrist 72 h versäumt (§ 32 NIS2UmsuCG) | 1.200.000 € |
| Schulungsnachweis Leitung fehlt (§ 38 NIS2UmsuCG) | 600.000 € |
| Persönliche Geldbuße CEO (§ 30 OWiG) | 150.000 € |
| Gesamtbelastung | 3.750.000 € |
Für wesentliche Einrichtungen bis zu 10 Mio € oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist). Für wichtige Einrichtungen bis zu 7 Mio € oder 1,4 % des weltweiten Jahresumsatzes. Als Bemessungsgrundlage zählt stets der Konzernumsatz, nicht der Einzelgesellschaftsumsatz.
Ja. Der deutsche Gesetzgeber sieht im NIS2UmsuCG eine persönliche Haftung der Leitungsebene vor, wenn Risikomanagement-Maßnahmen nicht umgesetzt wurden. Zusätzlich können nach Ordnungswidrigkeitenrecht (§ 30 OWiG) Geldbußen bis 10 Mio € gegen Einzelpersonen verhängt werden. Das Unternehmen kann diese Summen im Innenverhältnis zurückfordern.
Das BSI kann Auskünfte verlangen, Vor-Ort-Prüfungen anordnen, Nachweise akkreditierter Zertifizierungsstellen einfordern, verbindliche Anordnungen mit Zwangsgeld erlassen und bei wesentlichen Einrichtungen Geschäftsleitungsmitgliedern die Ausübung ihrer Tätigkeit vorübergehend untersagen (§§ 63–65 NIS2UmsuCG).
Aus der ENISA-Auswertung der ersten vollen Berichtsperiode unter NIS1 und den bisherigen NIS2-Bescheiden in Irland und Belgien zeichnen sich vier Schwerpunkte ab: fehlende Registrierung, unvollständige Risikomanagement-Dokumentation, versäumte Meldefristen und nicht absolvierte Leitungsschulungen. Alle vier sind im Threat Register oben als kritisch oder hoch eingestuft.
Jeder Einzelverstoß kann separat geahndet werden. Werden mehrere Pflichten gleichzeitig verletzt — z.B. keine Registrierung UND keine Vorfallsmeldung UND keine Schulung — summieren sich die Bußgelder wie im Rechenbeispiel oben. Fortlaufende Verstöße können zusätzlich Zwangsgelder nach § 65 Abs. 3 auslösen.
Nein. Nach § 4 Abs. 5 Nr. 8 EStG sind Geldbußen wegen Rechtsverletzungen nicht als Betriebsausgaben abzugsfähig. Die volle Bußgeldsumme belastet das Ergebnis nach Steuern — ein Aspekt, der in der Risikobewertung oft unterschätzt wird.