NIS2-Strafen, Bußgelder & Geschäftsführerhaftung

NIS2-Strafen im Überblick

Die NIS2-Richtlinie verschärft die Sanktionen für mangelhafte Cybersicherheit erheblich. Im Vergleich zur ursprünglichen NIS-Richtlinie steigen die maximalen Bußgelder um ein Vielfaches. Besonders brisant: NIS2 führt erstmals eine persönliche Haftung der Geschäftsleitung für Cybersicherheitsmängel ein. Damit rückt Cybersicherheit endgültig von der IT-Abteilung in die Vorstandsetage.

Das Ziel der Sanktionen ist klar: Sie sollen sicherstellen, dass Unternehmen die NIS2-Anforderungen ernst nehmen und angemessene Sicherheitsmaßnahmen implementieren. Die Höhe der Bußgelder orientiert sich am DSGVO-Modell und soll auch für große Konzerne eine spürbare Wirkung entfalten.

Rechtsgrundlage der Sanktionen

Die Sanktionsregeln basieren auf zwei Ebenen: der europäischen NIS2-Richtlinie (EU) 2022/2555 und dem deutschen NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das seit dem 06.12.2025 in Kraft ist.

Art. 34 und Art. 35 der NIS2-Richtlinie

Art. 34 regelt die Aufsichtsmaßnahmen und Durchsetzungsbefugnisse gegenüber besonders wichtigen Einrichtungen. Die Mitgliedstaaten müssen sicherstellen, dass Aufsichtsbehörden wirksame, verhältnismäßige und abschreckende Maßnahmen ergreifen können. Art. 35 überträgt diese Befugnisse in angepasster Form auf wichtige Einrichtungen, wobei der Aufsichtsansatz hier reaktiv (ex post) statt proaktiv (ex ante) ausgestaltet ist.

Art. 34 Abs. 2 ermächtigt die Behörden ausdrücklich, natürliche Personen in Leitungsfunktionen zur Verantwortung zu ziehen. Damit ist die persönliche Haftung nicht nur eine nationale Erfindung, sondern europarechtlich verankert. Beide Artikel verpflichten die Mitgliedstaaten außerdem, bei der Bemessung von Bußgeldern die Schwere des Verstoßes, die Dauer, frühere Verstöße, den verursachten Schaden und den Grad der Zusammenarbeit mit den Behörden zu berücksichtigen.

§§ 60 bis 65 NIS2UmsuCG: Die deutsche Umsetzung

Das NIS2UmsuCG konkretisiert die europäischen Vorgaben für Deutschland. Die §§ 60 bis 65 enthalten den Bußgeldkatalog, Regelungen zur Haftung der Geschäftsleitung und die Befugnisse des BSI im Durchsetzungsverfahren. § 60 definiert die Tatbestände, die mit Bußgeldern bedroht sind. Dazu gehören Verstöße gegen Risikomanagementpflichten (§ 30), Meldepflichten (§ 32) und Registrierungspflichten (§ 33).

§ 61 regelt die Bußgeldhöhen und unterscheidet nach Einrichtungstyp. § 62 enthält Bestimmungen zur persönlichen Haftung der Geschäftsleitung. §§ 63 bis 65 definieren die Durchsetzungsbefugnisse des BSI, einschließlich der Möglichkeit, Anweisungen zu erteilen, Fristen zu setzen und bei Nichtbefolgung Zwangsmaßnahmen anzuordnen. Wichtig: Ein Verzicht auf Schadensersatzansprüche gegen die Geschäftsleitung ist nach § 38 Abs. 3 NIS2UmsuCG unwirksam. Vergleiche zwischen Unternehmen und Geschäftsleitung über solche Ansprüche sind ebenfalls nichtig.

Bußgelder nach Einrichtungstyp

NIS2 unterscheidet bei den Bußgeldern zwischen besonders wichtigen und wichtigen Einrichtungen. In beiden Fällen gilt: Es wird der jeweils höhere Wert herangezogen, entweder der absolute Betrag oder der prozentuale Anteil am weltweiten Jahresumsatz.

Ein Rechenbeispiel: Ein Unternehmen mit 800 Mio. EUR Jahresumsatz, das als besonders wichtige Einrichtung eingestuft wird, riskiert ein Bußgeld von bis zu 16 Mio. EUR (2 % von 800 Mio. EUR), da dieser Betrag über dem absoluten Maximum von 10 Mio. EUR liegt.

Neben den Bußgeldern kann das BSI weitere Maßnahmen anordnen, die wirtschaftlich noch einschneidender sein können: die vorübergehende Untersagung der Geschäftstätigkeit, den Entzug von Genehmigungen oder die öffentliche Bekanntmachung von Verstößen (Naming and Shaming).

Geschäftsführerhaftung nach Art. 20

Art. 20 der NIS2-Richtlinie begründet eine persönliche Verantwortung der Geschäftsleitung für die Cybersicherheit des Unternehmens. Diese Regelung ist in ihrer Reichweite beispiellos und hat weitreichende Konsequenzen für Geschäftsführer, Vorstände und Aufsichtsratsmitglieder.

Pflicht zur Billigung von Sicherheitsmaßnahmen

Die Geschäftsleitung muss die Risikomanagementmaßnahmen nach Art. 21 aktiv billigen und deren Umsetzung überwachen. Das bedeutet: Sicherheitsmaßnahmen dürfen nicht einfach an die IT-Abteilung delegiert werden. Die Geschäftsleitung muss nachweislich in die Entscheidungsfindung eingebunden sein und die getroffenen Maßnahmen formal freigeben.

Pflicht zur Teilnahme an Schulungen

Die Mitglieder der Leitungsorgane sind verpflichtet, an Cybersicherheitsschulungen teilzunehmen. Die Schulungen müssen ihnen ausreichende Kenntnisse und Fähigkeiten vermitteln, um Risiken zu erkennen, Risikomanagementpraktiken zu bewerten und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste einzuschätzen.

Persönliche Haftung für Schäden

Bei Pflichtverletzungen haftet die Geschäftsleitung persönlich für entstandene Schäden. Das umfasst sowohl Schäden, die dem Unternehmen durch Cyberangriffe entstehen, als auch Bußgelder, die aufgrund mangelhafter Compliance verhängt werden. Besonders kritisch: Die persönliche Haftung kann vertraglich nicht ausgeschlossen oder beschränkt werden. Eine D&O-Versicherung deckt NIS2-Verstöße möglicherweise nicht ab.

Für die Geschäftsleitung bedeutet das: Cybersicherheit ist Chefsache. Wer die NIS2-Pflichten ignoriert oder unzureichend umsetzt, riskiert sein Privatvermögen. Die vollständigen NIS2-Anforderungen nach Art. 21 findest du auf unserer Detailseite.

Umfang der Haftung: Was genau ist abgedeckt?

Die persönliche Haftung erstreckt sich auf alle Schäden, die dem Unternehmen durch eine Verletzung der NIS2-Pflichten entstehen. Dazu gehören direkte Schäden aus Cyberangriffen, die durch mangelhafte Sicherheitsmaßnahmen ermöglicht wurden, Bußgelder, die das BSI gegen das Unternehmen verhängt, Kosten für Incident Response und Wiederherstellung, Vertragsstrafen gegenüber Kunden und Partnern sowie Reputationsschäden, die sich in Umsatzrückgängen niederschlagen. Die Haftung greift bereits bei Fahrlässigkeit. Du musst also nicht vorsätzlich gegen die Pflichten verstoßen haben. Es genügt, dass du die Risikomanagementmaßnahmen nicht mit der gebotenen Sorgfalt gebilligt oder überwacht hast.

D&O-Versicherung: Greift sie bei NIS2-Verstößen?

Viele Geschäftsführer verlassen sich auf ihre D&O-Versicherung (Directors and Officers Liability Insurance). Bei NIS2-Verstößen ist diese Absicherung jedoch problematisch. Erstens schließen zahlreiche D&O-Policen Bußgelder und behördliche Sanktionen explizit aus. Zweitens greift bei vorsätzlichen Pflichtverletzungen generell kein Versicherungsschutz. Drittens ist unklar, ob Versicherer die neuen NIS2-Haftungsrisiken in bestehenden Policen als gedeckt ansehen oder als neue Risikokategorie behandeln, die eine Anpassung der Police erfordert.

Die Empfehlung ist klar: Prüfe deine D&O-Police auf explizite Ausschlüsse für Cybersecurity-Compliance-Verstöße. Sprich mit deinem Versicherungsmakler über eine Erweiterung des Deckungsumfangs. Und verlasse dich nicht auf die Versicherung als Ersatz für Compliance. Die sicherste Strategie bleibt die konsequente Umsetzung der NIS2-Anforderungen.

Vergleich zur DSGVO-Haftung

Die DSGVO kennt keine vergleichbare persönliche Haftung der Geschäftsleitung. DSGVO-Bußgelder richten sich an das Unternehmen als juristische Person. Zwar können Geschäftsführer nach allgemeinem Gesellschaftsrecht (z. B. § 43 GmbHG) für Organisationsverschulden haften, aber die DSGVO selbst regelt das nicht. NIS2 geht einen deutlichen Schritt weiter: Die persönliche Haftung ist explizit im Gesetz verankert, ein vertraglicher Ausschluss ist unwirksam, und die Geschäftsleitung muss aktiv nachweisen, dass sie ihre Pflichten erfüllt hat. Das verschiebt die Beweislast faktisch zugunsten des Unternehmens und zulasten der Geschäftsführung.

BSI-Befugnisse und Aufsichtsmaßnahmen

Das BSI verfügt seit Inkrafttreten des NIS2UmsuCG über ein umfangreiches Instrumentarium, das weit über die bloße Verhängung von Bußgeldern hinausgeht. Die folgenden Maßnahmen kann das BSI ergreifen:

Anordnung von Sicherheitsaudits

Das BSI kann jederzeit Sicherheitsaudits anordnen oder selbst durchführen. Bei besonders wichtigen Einrichtungen geschieht das proaktiv und regelmäßig, ohne konkreten Anlass. Das BSI kann qualifizierte Dritte mit der Durchführung beauftragen. Die Kosten trägt das geprüfte Unternehmen. Die Ergebnisse müssen dem BSI vollständig vorgelegt werden, und das BSI kann auf Basis der Ergebnisse verbindliche Maßnahmen anordnen.

Verbindliche Anweisungen und Fristsetzung

Stellt das BSI Mängel fest, kann es verbindliche Anweisungen erteilen und eine Frist zur Behebung setzen. Diese Anweisungen sind keine Empfehlungen, sondern rechtsverbindliche Verwaltungsakte. Kommt das Unternehmen den Anweisungen nicht fristgerecht nach, drohen Zwangsgelder und weitere Eskalationsschritte. Das BSI kann auch anordnen, dass das Unternehmen seine Kunden oder die Öffentlichkeit über bestimmte Risiken oder Vorfälle informiert.

Vorübergehendes Tätigkeitsverbot für Leitungspersonen

In schwerwiegenden Fällen kann das BSI bei besonders wichtigen Einrichtungen beantragen, dass einer Leitungsperson vorübergehend untersagt wird, ihre Leitungsaufgaben wahrzunehmen. Das ist die schärfste personenbezogene Sanktion und in der deutschen Regulierungslandschaft beispiellos. Sie greift, wenn eine Leitungsperson trotz verbindlicher Anweisungen keine ausreichenden Maßnahmen ergreift und eine erhebliche Gefahr für die Netz- und Informationssicherheit besteht.

Bestellung eines Überwachungsbeauftragten

Das BSI kann einen unabhängigen Überwachungsbeauftragten bestellen, der die Umsetzung angeordneter Maßnahmen vor Ort kontrolliert. Der Beauftragte hat Zugangsrechte zu allen relevanten Systemen und Dokumenten. Die Kosten trägt das betroffene Unternehmen. Diese Maßnahme ist besonders einschneidend, weil sie faktisch eine externe Kontrolle über die IT-Sicherheit des Unternehmens etabliert.

BSI als Aufsichtsbehörde

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird durch NIS2 erheblich gestärkt. Als nationale Aufsichtsbehörde erhält das BSI weitreichende Befugnisse zur Überwachung und Durchsetzung der NIS2-Anforderungen.

Befugnisse des BSI

• •Vor-Ort-Inspektionen und Sicherheitsaudits durchführen oder anordnen
• •Gezielte Sicherheitsüberprüfungen auf Basis von Risikoanalysen oder verfügbaren Informationen veranlassen
• •Informationen und Nachweise zur Bewertung der Sicherheitsmaßnahmen anfordern
• •Verbindliche Anweisungen zur Behebung festgestellter Mängel erteilen
• •Bußgelder verhängen bei Verstößen gegen Sicherheitsanforderungen oder Meldepflichten
• •Öffentliche Bekanntmachung von Verstößen anordnen

Proaktive vs. reaktive Aufsicht

Die Aufsichtsintensität unterscheidet sich je nach Einrichtungstyp erheblich:

Eskalationsprozess

Das BSI folgt in der Regel einem abgestuften Vorgehen: Zunächst werden Empfehlungen ausgesprochen, dann verbindliche Anweisungen mit Fristsetzung erteilt. Bei Nichtbeachtung folgen Bußgelder. In schwerwiegenden Fällen kann das BSI die vorübergehende Untersagung der Geschäftstätigkeit anordnen oder Leitungspersonen vorübergehend die Wahrnehmung ihrer Aufgaben untersagen.

Für besonders wichtige Einrichtungen kommt ein weiteres Instrument hinzu: Das BSI kann einen Überwachungsbeauftragten bestellen, der die Umsetzung der angeordneten Maßnahmen vor Ort überwacht. Die Kosten trägt das betroffene Unternehmen.

Vergleich: NIS2 vs. DSGVO Strafen

Die NIS2-Sanktionen sind bewusst an das DSGVO-Modell angelehnt. Ein Vergleich zeigt die Parallelen und Unterschiede:

Bemerkenswert ist, dass NIS2 in einem Punkt sogar über die DSGVO hinausgeht: die persönliche Haftung der Geschäftsleitung. Während die DSGVO primär das Unternehmen in die Pflicht nimmt, adressiert NIS2 ausdrücklich die natürlichen Personen in der Geschäftsleitung. Zudem kann NIS2 im Extremfall die vorübergehende Untersagung der Geschäftstätigkeit anordnen, ein Instrument, das die DSGVO nicht kennt.

Für Unternehmen, die sowohl unter NIS2 als auch unter die DSGVO fallen (was für die meisten der Fall sein wird), bedeutet das: zwei parallele Compliance-Anforderungen mit jeweils eigenem Sanktionsrahmen. Eine integrierte Umsetzung spart Aufwand und reduziert Compliance-Risiken.

Praxisbeispiele: So können Sanktionen aussehen

Die folgenden Szenarien sind fiktiv, basieren aber auf den realen Bußgeldrahmen und Durchsetzungsbefugnissen des NIS2UmsuCG. Sie verdeutlichen, wie sich Pflichtverletzungen in der Praxis auswirken können.

Szenario 1: Versäumte Meldepflicht bei einem Ransomware-Angriff

Ein mittelständischer Energieversorger (besonders wichtige Einrichtung, 450 Mio. EUR Jahresumsatz) wird Opfer eines Ransomware-Angriffs. Die IT-Abteilung erkennt den Angriff am Montagmorgen, informiert aber zunächst nur die Geschäftsleitung. Die BSI-Meldung erfolgt erst nach 96 Stunden statt der geforderten 24-Stunden-Frühwarnung. Das BSI verhängt ein Bußgeld von 500.000 EUR wegen Verstoßes gegen die Meldepflicht. Zusätzlich ordnet es eine Sicherheitsüberprüfung an, deren Kosten von 120.000 EUR das Unternehmen trägt. Der Geschäftsführer haftet persönlich, weil er keinen Incident-Response-Prozess mit klaren Eskalationswegen etabliert hatte.

Szenario 2: Fehlende Risikomanagementmaßnahmen

Ein IT-Dienstleister (wichtige Einrichtung, 80 Mio. EUR Jahresumsatz) betreibt Cloud-Infrastruktur für mehrere Krankenhäuser. Bei einer proaktiven Prüfung stellt das BSI fest, dass keine dokumentierte Risikoanalyse existiert, die Lieferkettensicherheit nicht bewertet wurde und kein Business-Continuity-Plan vorliegt. Das BSI erteilt verbindliche Anweisungen mit einer Frist von 3 Monaten. Das Unternehmen setzt die Maßnahmen nicht fristgerecht um. Es folgt ein Bußgeld von 1,12 Mio. EUR (1,4 % des Jahresumsatzes) und die Bestellung eines Überwachungsbeauftragten auf Kosten des Unternehmens.

Szenario 3: Geschäftsführer ohne Cybersicherheits-Schulung

Ein Logistikunternehmen (besonders wichtige Einrichtung, 1,2 Mrd. EUR Konzernumsatz) hat ein ISMS implementiert, aber die drei Geschäftsführer haben keine NIS2-konforme Cybersicherheitsschulung absolviert. Die Risikomanagementmaßnahmen wurden nicht formal durch die Geschäftsleitung gebilligt, sondern ausschließlich vom CISO verantwortet. Nach einem Sicherheitsvorfall stellt das BSI diese Governance-Mängel fest. Das Bußgeld beträgt 2 Mio. EUR. Zusätzlich haftet der CEO persönlich für den entstandenen Schaden, da er seine Überwachungspflicht nachweislich verletzt hat. Die D&O-Versicherung lehnt die Deckung ab, weil der Verstoß als wissentliche Pflichtverletzung gewertet wird.

Szenario 4: Mangelnde Lieferkettensicherheit

Ein Softwarehersteller (wichtige Einrichtung, 200 Mio. EUR Jahresumsatz) setzt Open-Source-Komponenten in seiner Kernplattform ein, ohne eine systematische Bewertung der Software-Lieferkettensicherheit durchzuführen. Eine Schwachstelle in einer nicht gepatchten Bibliothek wird von Angreifern ausgenutzt und betrifft 50 Kunden, darunter mehrere KRITIS-Betreiber. Das BSI verhängt ein Bußgeld von 2,8 Mio. EUR (1,4 % des Jahresumsatzes) wegen unzureichender Lieferkettenbewertung nach Art. 21 Abs. 2 lit. d. Zusätzlich ordnet das BSI die öffentliche Bekanntmachung des Verstoßes an, was zu erheblichen Reputationsschäden und Kundenverlust führt.

Diese Szenarien zeigen: NIS2-Sanktionen sind nicht abstrakt. Sie treffen konkrete Unternehmen und konkrete Personen. Der effektivste Schutz ist die frühzeitige und systematische Umsetzung der NIS2-Anforderungen. Ein strukturierter Umsetzungsplan hilft dir, alle Pflichten termingerecht zu erfüllen.