NIS2-Bußgelder: Welche Strafen drohen bei Verstößen? | NIS2Compass Blog | NIS2Compass
Leitfaden
NIS2-Bußgelder: Welche Strafen drohen bei Verstößen?
9 Min. LesezeitNIS2Compass Team
NIS2-Verstöße können Unternehmen bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes kosten. Welche Bußgelder bei welchen Verstößen drohen, wie die Geschäftsführerhaftung greift und was zwei Praxisszenarien zeigen.
NIS2-Verstöße können Unternehmen bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes kosten. Seit Dezember 2025 ist das NIS2UmsuCG in Kraft — das BSI kann prüfen und sanktionieren. Eine NIS2Compass-Auswertung der BSI-Registrierungsdaten zeigt: Von den rund 29.500 betroffenen Unternehmen in Deutschland sind bisher nur 38,5 % registriert (Stand März 2026). Der kostenlose Vor-Check von NIS2Compass zeigt in wenigen Minuten, wo Ihr Unternehmen steht.
Dieser Artikel erläutert die konkreten Bußgeldrahmen des NIS2UmsuCG, ordnet sie nach Einrichtungstyp und Verstoßart ein und zeigt, welche Pflichten die höchsten finanziellen Risiken bergen. Ziel ist kein Alarmismus, sondern eine sachliche Grundlage für Ihre Priorisierung.
Das NIS2UmsuCG staffelt Bußgelder nach Einrichtungstyp und Verstoßart in § 65 BSIG. Besonders wichtige Einrichtungen riskieren bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes, wichtige Einrichtungen bis zu 7 Mio. EUR oder 1,4 %. Vor dem Hintergrund von 202,4 Mrd. EUR Cyberschaden in Deutschland (Bitkom Wirtschaftsschutz 2025) sind diese Summen als regulatorische Untergrenze zu verstehen.
Nicht jeder Verstoß wiegt gleich schwer. § 65 BSIG differenziert nach Art der Pflichtverletzung:
Melde- und Registrierungsverstöße: bis 5 Mio. EUR
Nichtbefolgung von BSI-Anordnungen: bis 2 Mio. EUR
Fehlende Nachweise: bis 1 Mio. EUR
Sonstige Verstöße: bis 500.000 EUR
Behinderung der Aufsicht: bis 100.000 EUR
Die Abstufung zeigt: Bereits die Nichtregistrierung beim BSI kann empfindliche Konsequenzen haben — und genau hier bestehen aktuell die größten Lücken.
Ein konkretes Beispiel: Ein Fertigungsunternehmen mit 160 Mitarbeitenden und 25 Mio. EUR Jahresumsatz fällt als „wichtige Einrichtung" unter die 7-Mio.-EUR-Grenze. Da der Umsatz unter 500 Mio. EUR liegt, greift die feste Obergrenze — nicht der Prozentsatz. Das Bußgeldrisiko beträgt damit potenziell mehr als ein Viertel des Jahresumsatzes.
Der NIS2Compass-Guide führt Schritt für Schritt durch die konkreten Umsetzungsmaßnahmen für jede dieser Pflichten.
Nach § 38 BSIG haftet die Geschäftsleitung persönlich mit ihrem Privatvermögen für die Umsetzung der Cybersicherheitspflichten. Diese Verantwortung ist nicht delegierbar — weder an einen CISO noch an externe Dienstleister. Laut BSI-Lagebericht 2025 verfügen 48 % der KRITIS-Betreiber noch immer über keine ausreichende Angriffserkennung. Die gesetzliche Haftung setzt genau hier an.
„Die persönliche Haftung der Geschäftsführung ist der stärkste Hebel des NIS2UmsuCG. Wer Cybersicherheit weiterhin als reines IT-Thema behandelt, riskiert nicht nur Bußgelder, sondern die eigene berufliche Existenz." — Dr. Markus Hartmann, Senior Compliance-Berater bei NIS2Compass
Die Geschäftsleitung muss das Risikomanagement nach § 30 BSIG aktiv billigen und dessen Umsetzung überwachen. Das bedeutet konkret: Sicherheitsstrategien gehören auf die Tagesordnung der Geschäftsführung. Ein CISO kann die operative Umsetzung verantworten. Die strategische Gesamtverantwortung verbleibt jedoch zwingend bei der Geschäftsleitung.
Die Haftung greift als Innenhaftung mit dem Privatvermögen. Das Unternehmen selbst kann die Geschäftsführung in Regress nehmen, wenn Pflichtverletzungen zu Schäden führen. Besonders relevant: Ein Haftungsverzicht ist gesetzlich ausgeschlossen.
§ 38 Abs. 2 BSIG verbietet ausdrücklich, dass Gesellschaftervereinbarungen die Geschäftsführung von dieser Verantwortung befreien. Auch eine D&O-Versicherung schützt nicht vor allen Konsequenzen.
Darüber hinaus besteht eine Schulungspflicht. Die Geschäftsleitung muss regelmäßig, mindestens alle drei Jahre, an Cybersicherheitsschulungen teilnehmen. Das BSI bietet hierzu eine spezielle Geschäftsleitungsschulung an, die etwa vier Stunden umfasst.
Diese Pflicht gilt gleichermaßen für besonders wichtige und wichtige Einrichtungen. Unwissenheit schützt nicht vor Haftung — der Gesetzgeber erwartet nachweisbare Kompetenz auf Leitungsebene.
Die Konsequenz ist eindeutig: Cybersicherheit ist Chefsache, nicht IT-Aufgabe. Geschäftsführerinnen und Geschäftsführer müssen die Anforderungen aus § 30 BSIG kennen und deren Umsetzung aktiv steuern. Der NIS2Compass-Guide führt in 8 Kapiteln durch die konkreten Risikomanagement-Maßnahmen, die § 30 BSIG verlangt.
Bußgelder drohen bei fünf Kerntatbeständen — von fehlenden Sicherheitsmaßnahmen bis zur verspäteten Meldung eines Vorfalls. Die BSI-Registrierungsfrist (6. März 2026) ist bereits abgelaufen. Laut BSI-Statistik haben sich nur 38,5 % der betroffenen Einrichtungen rechtzeitig registriert. Wer noch nicht registriert ist, begeht bereits eine Ordnungswidrigkeit nach § 65 BSIG.
Fehlende Risikomanagement-Maßnahmen (§ 30 BSIG) — die zentrale Pflicht. Unternehmen müssen technische und organisatorische Maßnahmen nachweisen.
Meldepflicht-Verstoß (§ 32 BSIG) — die Fristen von 24 Stunden, 72 Stunden und einem Monat werden nicht eingehalten. Details dazu finden Sie im Artikel NIS2-Meldepflichten: Wann, was und an wen melden?.
Keine Registrierung beim BSI (§ 33/34 BSIG) — die Frist vom 6. März 2026 ist bereits verstrichen.
Fehlende Dokumentation und Nachweise (§ 39, § 61 BSIG) — auf Anforderung des BSI müssen Unterlagen vorgelegt werden.
Behinderung einer BSI-Prüfung — wer Kontrollen erschwert oder verweigert, riskiert zusätzliche Sanktionen.
Besonders der erste Tatbestand wiegt schwer. § 30 Abs. 2 BSIG definiert zehn konkrete Bereiche, in denen Einrichtungen angemessene Maßnahmen umsetzen müssen:
Risikoanalyse und Sicherheitskonzepte
Bewältigung von Sicherheitsvorfällen
Business Continuity und Krisenmanagement
Sicherheit der Lieferkette
Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen
Bewertung der Wirksamkeit der Maßnahmen
Cyberhygiene und Schulungen
Kryptografie und Verschlüsselung
Personalsicherheit, Zugangskontrollen und Asset Management
Multi-Faktor-Authentifizierung und gesicherte Kommunikation
Fehlt auch nur ein Bereich, liegt ein Verstoß vor. Das BSI kann bei Prüfungen gezielt nach jedem einzelnen Punkt fragen.
Die Realität zeigt deutlichen Handlungsbedarf: Laut einer Studie von G DATA haben nur 12,1 % der betroffenen Unternehmen NIS2 vollständig umgesetzt. Ob Ihr Unternehmen betroffen ist, zeigt der Artikel Bin ich von NIS2 betroffen?. Passende Vorlagen für Risikoanalysen, Sicherheitskonzepte und Incident-Response-Pläne finden Sie in der NIS2Compass Template Library.
Der entscheidende Unterschied zwischen den Einrichtungstypen liegt nicht in den Pflichten, sondern in der Aufsichtsintensität. Besonders wichtige Einrichtungen unterliegen einer proaktiven BSI-Aufsicht — auch ohne konkreten Anlass. Wichtige Einrichtungen werden dagegen nur anlassbezogen geprüft. Laut BSI waren zum 31.12.2025 bereits 1.179 KRITIS-Betreiber mit 2.136 Anlagen registriert.
Die folgende Tabelle zeigt die Unterschiede im Detail:
Aspekt: Aufsichtstyp · Besonders wichtig: Proaktiv (ex ante) · Wichtig: Anlassbezogen
Aspekt: BSI-Audits ohne Anlass · Besonders wichtig: Ja (frühestens ab Dez. 2028 für Nicht-KRITIS) · Wichtig: Nein
Aspekt: Vor-Ort-Prüfungen · Besonders wichtig: Ja · Wichtig: Nur bei konkretem Anlass
Die Pflichten sind also für beide Typen inhaltlich gleich. Was sich unterscheidet, sind Aufsichtsintensität, Sanktionshöhe und die Möglichkeit der Management-Suspendierung nach § 61 BSIG.
Für den Mittelstand bedeutet das: Ein Fertigungsunternehmen mit 160 Mitarbeitern fällt typischerweise als „wichtige Einrichtung" ein. Es unterliegt damit einer anlassbezogenen Aufsicht — muss aber dieselben inhaltlichen Anforderungen an Risikomanagement und Meldepflichten erfüllen.
Wer einen erheblichen Sicherheitsvorfall nicht innerhalb von 24 Stunden meldet, begeht eine Ordnungswidrigkeit mit Bußgeldern bis zu 5 Mio. EUR. Das BSI betont den Grundsatz: „Schnelligkeit vor Vollständigkeit" — die gesetzlichen Fristen sind Obergrenzen, keine Zielwerte. Laut BSI-Lagebericht 2025 sind 80 Prozent der Ransomware-Opfer KMU.
Viele Unternehmen wollen erst intern alles klären und dann melden. Genau das führt zum Fristverstoß. Die 24-Stunden-Erstmeldung erfordert keine vollständige Analyse. Eine erste Einschätzung reicht aus — etwa welche Systeme betroffen sind und ob der Vorfall andauert. Warten Sie nicht auf den fertigen Forensik-Bericht. Melden Sie zuerst, analysieren Sie parallel.
NIS2-Verstöße treten selten isoliert auf — in der Praxis verstärken sich Meldepflicht-Verstoß, fehlendes Risikomanagement und Geschäftsführerhaftung gegenseitig. Laut Bitkom (2025) waren 34 Prozent der Unternehmen von Ransomware betroffen. Die folgenden anonymisierten Szenarien zeigen typische Konstellationen.
Ein mittelständischer Hersteller mit 160 Mitarbeitern und 25 Millionen Euro Jahresumsatz wird Opfer eines Ransomware-Angriffs. Die Produktion steht still. Als wichtige Einrichtung unterliegt das Unternehmen den NIS2-Pflichten.
Der Geschäftsführer entscheidet: "Erst intern klären, was passiert ist — dann melden." Damit verstreicht die 24-Stunden-Frist für die Erstmeldung. Das allein begründet einen Verstoß gegen § 32 NIS2UmsuCG. Das mögliche Bußgeld: bis zu 5 Millionen Euro.
Die anschließende Untersuchung fördert weitere Mängel zutage. Es existiert kein dokumentierter Incident-Response-Prozess. Der letzte Backup-Test liegt 18 Monate zurück. Beides verstößt gegen die Risikomanagementpflichten nach § 30.
Besonders gravierend: Der Geschäftsführer hatte die Sicherheitsmaßnahmen nie formal gebilligt und deren Umsetzung nie überwacht. Damit greift die persönliche Haftung nach § 38. Das Unternehmen kann ihn auf Schadensersatz in Regress nehmen. Ein Haftungsverzicht durch die Gesellschafter ist gesetzlich ausgeschlossen.
Ein Managed-Service-Provider mit 80 Mitarbeitern fällt als besonders wichtige Einrichtung unter die strengere Aufsicht. Das BSI führt ein proaktives Audit nach § 61 durch — ohne konkreten Anlass.
Die Prüfer stellen fest: Kein dokumentiertes Risikomanagement, keine regelmäßige Risikoanalyse, kein Asset-Inventar. Das sind grundlegende Verstöße gegen § 30. Der Bußgeldrahmen liegt hier bei bis zu 10 Millionen Euro.
Das BSI ordnet einen Sanierungsplan mit konkreter Frist an. Das Unternehmen reagiert nicht fristgerecht. Daraufhin nutzt das BSI seine schärfste Befugnis: die vorübergehende Untersagung der Geschäftsführungstätigkeit nach § 61 Abs. 5. Die Suspendierung wird erst aufgehoben, wenn alle Anordnungen vollständig erfüllt sind.
Die Bußgeldhöhe richtet sich nach der Einstufung Ihres Unternehmens. Für besonders wichtige Einrichtungen drohen bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist. Wichtige Einrichtungen müssen mit bis zu 7 Mio. EUR oder 1,4 % des Jahresumsatzes rechnen. Die genaue Höhe richtet sich nach Art und Schwere des Verstoßes gemäß § 65 BSIG.
Ja. Nach § 38 BSIG haften Geschäftsführer und Vorstände persönlich gegenüber dem eigenen Unternehmen (sogenannte Innenhaftung). Ein Verzicht auf diese Ansprüche durch Gesellschaftervereinbarung ist gesetzlich ausgeschlossen. Auch die Delegation operativer Aufgaben an einen CISO entbindet die Geschäftsleitung nicht von ihrer Überwachungspflicht — sie bleibt letztverantwortlich.
Nein. Das NIS2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft. Eine allgemeine Übergangsfrist existiert nicht. Auch die BSI-Registrierungsfrist zum 6. März 2026 ist bereits abgelaufen. Unternehmen müssen die Anforderungen jetzt erfüllen.
Die unterlassene oder verspätete Meldung eines Sicherheitsvorfalls ist eine Ordnungswidrigkeit nach § 65 BSIG und kann mit Bußgeldern von bis zu 5 Mio. EUR geahndet werden. Die Erstmeldung an das BSI muss innerhalb von 24 Stunden nach Kenntnis erfolgen. Es gilt der Grundsatz: Schnelligkeit vor Vollständigkeit — eine erste Einschätzung genügt zunächst.
Sehr wahrscheinlich ja. Das verarbeitende Gewerbe fällt unter Anhang II der NIS2-Richtlinie. Unternehmen ab 50 Mitarbeitenden oder 10 Mio. EUR Jahresumsatz gelten als wichtige Einrichtung und unterliegen den vollen NIS2-Pflichten. Mit dem kostenlosen Vor-Check von NIS2Compass können Sie in wenigen Minuten prüfen, ob Ihr Unternehmen betroffen ist.
