NIS-2 Bußgeld: Sanktionen und Vorstandshaftung 2026

Der Sanktionsrahmen der NIS-2-Richtlinie ist scharf. Vorstand und Geschäftsleitung haften persönlich. Dieser Beitrag beschreibt den Bußgeldrahmen, die Aufsichtspraxis des BSI und die operativen Schritte, mit denen ein Mittelstands- oder Konzernvorstand das Sanktionsrisiko innerhalb von 90 Tagen messbar reduziert.

NIS-2 Bußgeld: Sanktionsrahmen ab 2026

Die NIS-2-Richtlinie der EU setzt zwei Sanktionskategorien fest. Wesentliche Einrichtungen tragen ein Bußgeldrisiko von bis zu 10 Mio. Euro oder 2% des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres. Es gilt der höhere Betrag. Wichtige Einrichtungen kommen auf bis zu 7 Mio. Euro oder 1,4% des weltweiten Jahresumsatzes, ebenfalls je nachdem welcher Betrag höher ist.

Der Umsatzbezug richtet sich nach dem Konzernumsatz, nicht nach dem Umsatz der einzelnen Tochtergesellschaft. Eine deutsche GmbH mit 80 Mio. Euro Umsatz, die zu einem Konzern mit 4 Mrd. Euro Gesamtumsatz gehört, wird auf der Konzernzahl bemessen. Das Bußgeld kann damit deutlich über dem operativen Ergebnis der betroffenen Einheit liegen.

Zuständige Aufsichtsbehörde in Deutschland ist das BSI, mit Anordnungs-, Prüf- und Sanktionsbefugnis nach dem NIS-2-Umsetzungsgesetz. NIS-2-Bußgelder sind kumulierbar mit DSGVO-Sanktionen, wenn derselbe Vorfall sowohl personenbezogene Daten als auch die Netzwerksicherheit betrifft. Bei einem Ransomware-Vorfall mit Datenabfluss laufen beide Verfahren parallel.

Nächster Schritt: NIS-2 Compliance-Überblick.

Persönliche Vorstandshaftung nach NIS-2

Die Geschäftsleitung haftet persönlich für die Nichtumsetzung der Risikomanagementmaßnahmen nach Artikel 21 NIS-2. Die Billigung der Maßnahmen durch die Leitungsorgane ist gesetzlich verpflichtend. Eine Delegation an den CISO entlastet den Vorstand nicht. Das Gesetz fordert eine aktive Befassung und einen dokumentierten Beschluss.

Die Schulungspflicht für die Geschäftsleitung in Cybersicherheit ist ebenfalls nicht delegierbar. Vorstände müssen nachweisen, dass sie selbst geschult wurden, nicht nur ihre Mitarbeiter. Eine Teilnahmebestätigung gehört in die Personalakte und in das Audit-Dossier.

D&O-Versicherungen schließen vorsätzliche Pflichtverletzungen regelmäßig aus. Wer die NIS-2-Maßnahmen kennt und nicht umsetzt, riskiert den Verlust des Versicherungsschutzes. Der Aufsichtsrat trägt eine sekundäre Überwachungspflicht. Bei Untätigkeit kann der Aufsichtsrat mithaften, insbesondere wenn er Berichte über offene NIS-2-Defizite zur Kenntnis genommen, aber keine Korrektur eingefordert hat.

Nächster Schritt: Vorstandshaftung im Detail.

Welche Unternehmen sind betroffen

NIS-2 erfasst 18 Sektoren. 11 davon gelten als wesentlich (Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstleister, öffentliche Verwaltung, Weltraum). 7 weitere Sektoren gelten als wichtig (Post, Abfall, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Anbieter, Forschung).

Der Schwellenwert liegt bei 50 Mitarbeitern oder 10 Mio. Euro Jahresumsatz innerhalb dieser Sektoren. KRITIS-Betreiber fallen unabhängig von der Größe automatisch unter die wesentlichen Einrichtungen. Die BSI-KritisV definiert die Schwellenwerte für KRITIS-Anlagen sektorspezifisch.

Lieferanten und Dienstleister werden über die Supply-Chain-Klausel nach Artikel 21 Absatz 2 Buchstabe d mit erfasst. Wer als kritischer Dienstleister eines NIS-2-Pflichtigen agiert, muss die Anforderungen vertraglich übernehmen. Die Selbsteinstufung ist verpflichtend. Es gibt keine Bescheidpraxis wie bei der alten BSI-KritisV-Logik. Die Registrierungspflicht beim BSI besteht innerhalb der gesetzlichen Frist nach Inkrafttreten des nationalen Umsetzungsgesetzes.

Nächster Schritt: KRITIS-Anforderungen im Detail.

Operative Pflichten mit Bußgeldrelevanz

Die Meldepflicht ist gestaffelt. Bei einem erheblichen Sicherheitsvorfall ist eine Frühwarnung binnen 24 Stunden an das BSI zu senden. Eine qualifizierte Vorfallmeldung folgt binnen 72 Stunden. Ein Abschlussbericht ist binnen eines Monats vorzulegen. Verstöße gegen die Meldepflicht sind eigenständig sanktionsbewehrt.

Die Risikomanagementmaßnahmen nach Artikel 21 umfassen zehn Mindestbereiche: Risikoanalyse, Bewältigung von Sicherheitsvorfällen, Business Continuity und Krisenmanagement, Sicherheit der Lieferkette, Sicherheit bei Erwerb und Entwicklung, Bewertung der Wirksamkeit, grundlegende Cyber-Hygiene und Schulung, Kryptographie, Personalsicherheit und Zugangskontrolle, Multi-Faktor-Authentifizierung sowie Sicherheit der Räumlichkeiten und physische Zugangskontrolle.

Das Lieferketten-Risikomanagement verlangt eine dokumentierte Bewertung kritischer Dienstleister. Eine Liste reicht nicht. Es braucht eine Risikoeinstufung, vertragliche Sicherheitsklauseln und einen Eskalationspfad. Business Continuity und Backup-Management müssen mit Wiederherstellungstests nachgewiesen werden. Ein Backup, das nie wiederhergestellt wurde, gilt im Audit als nicht vorhanden. Die Nachweisführung über alle Maßnahmen muss prüffähig für das BSI vorliegen, in der Regel als zentrales Compliance-Dossier mit Versionsstand.

Physische Sicherheit als NIS-2 Anforderung

Artikel 21 Absatz 2 Buchstabe e der NIS-2-Richtlinie fordert ausdrücklich Maßnahmen zur Sicherheit der Räumlichkeiten und zur physischen Zugangskontrolle. Diese Vorgabe wird in der Diskussion um NIS-2 regelmäßig übersehen. Wer den Cyber-Teil mustergültig umsetzt, aber den Serverraum mit einem Schlüssel aus den 1990er Jahren sichert, erfüllt die Richtlinie nicht.

Perimeter, Serverraum und kritische Anlagen sind als geschützte Zonen zu definieren und zu überwachen. Die Definition gehört in das Sicherheitskonzept, die Überwachung in den operativen Betrieb. Lückenhafte 24/7-Bestreifung gilt im Vorfall-Audit als Schwachstelle und ist dokumentationspflichtig. Wenn ein Wachposten zwischen 02:00 und 06:00 Uhr keine dokumentierte Runde absolviert, wird diese Lücke nach einem Vorfall vom BSI als organisatorisches Versäumnis bewertet.

Autonome Patrouillenrobotik schließt die Bestreifungslücke und liefert gleichzeitig eine Audit-Spur via Sensor-Log. Jede Runde, jede Anomalie, jeder Wärmebildkontakt wird zeitgestempelt protokolliert. QR-2 für 24/7-Außenperimeter und QR-3 für KRITIS-Standorte liefern Bewegungs-, Wärmebild- und LiDAR-Daten als prüffähigen Nachweis. Im Gegensatz zu menschlichen Posten gibt es keine Schichtwechselpause und keine Pausenüberziehung.

BSI-Aufsicht: Prüfungen und Anordnungen

Die Aufsichtspraxis unterscheidet zwischen den beiden Kategorien. Wesentliche Einrichtungen unterliegen proaktiver Aufsicht. Das BSI kann ohne Anlass Vor-Ort-Prüfungen, Audits und Dokumenteneinsichten anordnen. Wichtige Einrichtungen werden reaktiv geprüft, ausgelöst durch Vorfälle, Hinweise oder Beschwerden Dritter.

Das BSI kann verbindliche Anweisungen erteilen. Dazu gehört im Extremfall die zeitweise Untersagung der Tätigkeit von Leitungspersonen. Diese Sanktion zielt auf Vorstände und Geschäftsführer, die nach Aufforderung weiterhin keine Maßnahmen umsetzen. Zertifizierungen nach BSI-Vorgaben können verpflichtend angeordnet werden, etwa eine ISO 27001-Zertifizierung mit BSI-Branchenerweiterung.

Die Veröffentlichung von Verstößen ist als zusätzliche Sanktion vorgesehen. Das BSI darf den Namen des Unternehmens, die Art des Verstoßes und die verhängte Geldbuße öffentlich bekannt machen. Der Reputationsschaden trifft B2B-Anbieter in Ausschreibungen, B2C-Anbieter im Kundenvertrauen.

Bußgeld vermeiden: 90-Tage-Maßnahmenplan

Tag 1 bis 14: Selbsteinstufung anhand der Sektor- und Schwellenwertkriterien. Registrierung beim BSI über das Meldeportal. Schriftliche Fixierung der NIS-2-Verantwortlichkeit in der Geschäftsleitung, idealerweise als Vorstands- oder Geschäftsführerbeschluss mit Protokoll.

Tag 15 bis 45: Gap-Analyse zu den zehn Risikomanagementbereichen nach Artikel 21. Bewertung jedes Bereichs in einer Ampel-Logik. Priorisierung der roten Felder nach Bußgeldrisiko und Umsetzungsaufwand. Lieferkette und physische Sicherheit sind erfahrungsgemäß die schwächsten Bereiche.

Tag 46 bis 75: Umsetzung der physischen Sicherheitsmaßnahmen. Perimeterschutz, Zugangskontrolle, Videoüberwachung mit Aufzeichnung, 24/7-Bestreifung. Hier kommt die Robotik ins Spiel, wenn Personalkosten die Wirtschaftlichkeit kippen.

Tag 76 bis 90: Meldeprozesse mit einer Übung testen, etwa einer Tabletop-Simulation eines Ransomware-Vorfalls. Schulung der Leitungsorgane in Cybersicherheit durchführen und dokumentieren. Lieferantenverträge mit Sicherheitsklauseln nachziehen, beginnend mit den fünf umsatzstärksten Dienstleistern.

Begleitend zu allen Phasen: Audit-Trail aufbauen. Jede Maßnahme, jede Schulung, jeder Test wird im zentralen Compliance-Dossier abgelegt. Bei einer BSI-Prüfung entscheidet die Dokumentation, nicht die mündliche Auskunft.

Kostenvergleich: Compliance versus Sanktion

Ein 24/7-Wachposten kostet nach den Branchenzahlen des BDSW zwischen 15.000 und 25.000 Euro monatlich, abhängig von Tarifgebiet, Qualifikation und Schichtzulagen. Der Wachposten deckt eine Position ab. Ein Standort mit zwei Posten und einem Springer liegt bei 50.000 bis 75.000 Euro pro Monat.

Ein QR-2 Patrouillenroboter im RaaS-Modell kostet 3.500 Euro monatlich, ein QR-3 für KRITIS-Außenperimeter liegt höher, je nach Sensorausstattung und Geländeprofil. Robotics-as-a-Service eliminiert CapEx, der Betreiber zahlt eine monatliche Gebühr und erhält Sensor-Log und Wartung im Paket. Die Audit-Spur fällt als Nebenprodukt an.

Ein einmaliges NIS-2-Bußgeld für einen Mittelständler-Konzern mit 500 Mio. Euro Konzernumsatz: bis zu 10 Mio. Euro. Die Jahreskosten für eine vollständige NIS-2-konforme physische Sicherheit liegen typisch zwischen 60.000 und 120.000 Euro, abhängig von Standortzahl und Risikoeinstufung. Das Verhältnis ist eindeutig.

Der Reputationsschaden durch die Veröffentlichung des Verstoßes übersteigt den Geldwert regelmäßig. Ein veröffentlichter Verstoß bleibt jahrelang im Index, taucht in Due-Diligence-Prüfungen auf und verteuert die nächste Kreditverhandlung. Details zur Kostenstruktur finden sich im Kostenvergleich Wachschutz und im Robotics-as-a-Service Modell.

Wer den Sanktionsrahmen ernst nimmt, beginnt mit der Selbsteinstufung und einer Gap-Analyse. Der Einstieg in die strukturierte NIS-2-Umsetzung findet sich unter NIS-2 Compliance-Überblick.