NIS 2 Bußgeld und Haftung: Welche Strafen drohen und warum Geschäftsführer persönlich haften
Alle Beiträge
NIS-2

NIS 2 Bußgeld und Haftung: Welche Strafen drohen und warum Geschäftsführer persönlich haften

Veröffentlicht am 19.03.2026·8 min. Lesedauer

Inhaltsverzeichnis

Die NIS-2-Richtlinie bringt nicht nur erweiterte Pflichten für die Cybersicherheit – sie bringt auch ein Sanktionsregime, das es in sich hat. Bußgelder von bis zu 10 Millionen Euro, Strafen auf Basis des weltweiten Jahresumsatzes und erstmals die explizite persönliche Haftung der Geschäftsführung. Für Unternehmensleiter ist NIS-2 damit nicht nur ein IT-Thema, sondern ein existenzielles Haftungsrisiko.

Dieser Artikel erklärt die NIS-2-Bußgelder und Sanktionen im Detail, zeigt die Unterschiede zwischen wesentlichen und wichtigen Einrichtungen und analysiert die persönliche Geschäftsführer-Haftung.

Das Wichtigste in Kürze:

  • Wesentliche Einrichtungen riskieren NIS-2-Bußgelder von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist).
  • Wichtige Einrichtungen riskieren NIS-2-Strafen von bis zu 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes.
  • NIS-2 führt die persönliche Haftung von Geschäftsführern ein – Leitungsorgane können für Pflichtverletzungen persönlich zur Verantwortung gezogen werden.
  • Aufsichtsbehörden erhalten weitreichende Durchsetzungsbefugnisse: Audits, Anweisungen, öffentliche Bekanntmachungen und im Extremfall das Verbot der Geschäftsführungstätigkeit.
  • Die NIS-2-Sanktionen orientieren sich am DSGVO-Bußgeldmodell, gehen bei der Geschäftsführer-Haftung aber deutlich weiter.

 

NIS 2 Bußgeld: Der Sanktionsrahmen im Detail

Die NIS-2-Richtlinie differenziert beim Bußgeldrahmen zwischen zwei Kategorien betroffener Unternehmen. Diese Unterscheidung ist entscheidend, denn sie bestimmt sowohl die Höhe möglicher Strafen als auch die Intensität der behördlichen Aufsicht.

Wesentliche Einrichtungen (Essential Entities)

Wesentliche Einrichtungen unterliegen dem strengeren Sanktionsregime:

Bußgeldrahmen:

  • Bis zu 10.000.000 Euro oder
  • Bis zu 2 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres
  • Es gilt der höhere der beiden Beträge

Sektoren (Auszug):

  • Energie (Strom, Öl, Gas, Wasserstoff, Fernwärme)
  • Verkehr (Luft, Schiene, Wasser, Straße)
  • Bankwesen und Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur (DNS, TLD, Cloud Computing, Rechenzentren, CDN)
  • Öffentliche Verwaltung
  • Weltraum

Wichtige Einrichtungen (Important Entities)

Wichtige Einrichtungen unterliegen einem etwas niedrigeren, aber immer noch empfindlichen Bußgeldrahmen:

Bußgeldrahmen:

  • Bis zu 7.000.000 Euro oder
  • Bis zu 1,4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres
  • Es gilt der höhere der beiden Beträge

Sektoren (Auszug):

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Chemie
  • Lebensmittel
  • Verarbeitendes Gewerbe (Medizinprodukte, Elektronik, Maschinenbau, Kfz)
  • Digitale Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Forschung

Rechenbeispiel: Was NIS-2-Bußgelder konkret bedeuten

Unternehmensgröße (Umsatz) Max. Bußgeld (wesentlich) Max. Bußgeld (wichtig)
50 Mio. € Umsatz 10 Mio. € (Mindestschwelle greift) 7 Mio. € (Mindestschwelle greift)
200 Mio. € Umsatz 10 Mio. € (Mindestschwelle greift) 7 Mio. € (Mindestschwelle greift)
600 Mio. € Umsatz 12 Mio. € (2 % vom Umsatz) 8,4 Mio. € (1,4 % vom Umsatz)
1 Mrd. € Umsatz 20 Mio. € (2 % vom Umsatz) 14 Mio. € (1,4 % vom Umsatz)
5 Mrd. € Umsatz 100 Mio. € (2 % vom Umsatz) 70 Mio. € (1,4 % vom Umsatz)

Für Großunternehmen können NIS-2-Bußgelder damit dreistellige Millionenbeträge erreichen.

 

NIS 2 Strafen: Welche Verstöße werden sanktioniert?

Nicht nur fehlende Sicherheitsmaßnahmen werden bestraft. Die NIS-2-Richtlinie sieht Sanktionen für eine Vielzahl von Pflichtverletzungen vor:

Sanktionierte Verstöße

Risikomanagement (Art. 21):

  • Fehlende oder unzureichende technische und organisatorische Sicherheitsmaßnahmen
  • Kein strukturiertes Risikomanagement
  • Mangelnde Lieferkettensicherheit
  • Fehlende Incident-Response-Kapazitäten
  • Unzureichende Cybersicherheitshygiene (Patches, Updates, Zugangskontrollen)

Meldepflichten (Art. 23):

  • Verspätete Meldung von Sicherheitsvorfällen (Frühwarnung > 24h, Bericht > 72h)
  • Unterlassene Meldung meldepflichtiger Vorfälle
  • Unvollständige oder fehlerhafte Meldungen

Aufsichtspflichten (Art. 32/33):

  • Verweigerung der Kooperation mit Aufsichtsbehörden
  • Nichtbefolgung von Anweisungen der Behörden
  • Behinderung von Audits und Inspektionen

Governance (Art. 20):

  • Fehlende Genehmigung und Überwachung der Sicherheitsmaßnahmen durch die Geschäftsführung
  • Unterlassene Cybersicherheitsschulungen für die Leitungsebene

 

TrustSpace Profi-Tipp: Die häufigsten Sanktionsrisiken liegen nicht in spektakulären Sicherheitslücken, sondern in organisatorischen Versäumnissen: fehlende Dokumentation, verspätete Meldungen, ungeschulte Geschäftsführung. Diese Lücken lassen sich mit vergleichsweise geringem Aufwand schließen – am effizientesten mit einem strukturierten ISMS, das die NIS-2-Anforderungen systematisch abbildet.

 

 

Persönliche Geschäftsführer-Haftung: Das Novum der NIS-2

Die vielleicht einschneidendste Neuerung der NIS-2-Richtlinie betrifft die persönliche Haftung der Geschäftsführung. Artikel 20 stellt klar:

Die Mitgliedstaaten stellen sicher, dass die Leitungsorgane wesentlicher und wichtiger Einrichtungen die von diesen Einrichtungen zur Einhaltung von Artikel 21 ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit billigen, ihre Umsetzung überwachen und für Verstöße gegen diesen Artikel verantwortlich gemacht werden können.

Was bedeutet das konkret?

1. Genehmigungspflicht:
Die Geschäftsführung muss die Cybersicherheitsmaßnahmen aktiv genehmigen – nicht nur zur Kenntnis nehmen. Eine bloße Delegation an die IT-Abteilung reicht nicht aus.

2. Überwachungspflicht:
Die Geschäftsführung muss die Umsetzung der Maßnahmen aktiv überwachen. Das erfordert regelmäßiges Reporting und nachweisbare Kontrollen.

3. Schulungspflicht:
Mitglieder der Leitungsorgane müssen an Cybersicherheitsschulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken zu erwerben.

4. Persönliche Verantwortung:
Bei Verstößen gegen die Risikomanagementpflichten können Leitungspersonen persönlich haftbar gemacht werden. Die Haftung trifft nicht nur das Unternehmen, sondern die handelnden Personen.

Haftungsszenarien für Geschäftsführer

Szenario Mögliche Konsequenz
Geschäftsführer genehmigt kein Sicherheitskonzept Persönliche Haftung bei Vorfall
Keine Überwachung der Maßnahmenumsetzung Persönliche Haftung + Bußgeld
Keine Teilnahme an Cybersicherheitsschulungen Pflichtverletzung, Bußgeld möglich
Ignorieren bekannter Sicherheitslücken Persönliche Haftung + mögliches Tätigkeitsverbot
Delegation ohne Kontrolle an IT-Abteilung Kein Haftungsausschluss

Besonders drastisch: Temporäres Tätigkeitsverbot

Die NIS-2-Richtlinie ermächtigt die Aufsichtsbehörden, bei wesentlichen Einrichtungen als letzte Eskalationsstufe ein vorübergehendes Verbot der Wahrnehmung von Leitungsaufgaben auszusprechen. Das bedeutet: Ein Geschäftsführer kann faktisch seines Amtes enthoben werden, wenn die Behörde feststellt, dass er seine Cybersicherheitspflichten wiederholt und schwerwiegend verletzt hat.

Dieses Instrument existiert bei der DSGVO nicht – es zeigt, wie ernst der EU-Gesetzgeber die Cybersicherheitsverantwortung der Unternehmensleitung nimmt.

 

NIS-2-Sanktionen im Vergleich mit DSGVO-Bußgeldern

Die NIS-2-Richtlinie orientiert sich beim Bußgeldrahmen am DSGVO-Modell, geht in einigen Punkten aber deutlich weiter:

Kriterium NIS-2 DSGVO
Max. Bußgeld (absolut) 10 Mio. € (wesentlich) / 7 Mio. € (wichtig) 20 Mio. €
Max. Bußgeld (umsatzbasiert) 2 % (wesentlich) / 1,4 % (wichtig) 4 %
Persönliche Geschäftsführer-Haftung Ja, explizit geregelt Nein, nicht explizit
Tätigkeitsverbot für Leitungspersonen Ja (bei wesentlichen Einrichtungen) Nein
Schulungspflicht der Geschäftsführung Ja, verpflichtend Nein
Aufsichtsintensität Proaktiv (wesentliche) / reaktiv (wichtige) Anlassbezogen
Öffentliche Bekanntmachung Ja, als Sanktionsinstrument Teilweise

Fazit des Vergleichs: Während die DSGVO-Bußgelder absolut betrachtet höher sein können, geht NIS-2 bei der persönlichen Verantwortlichkeit der Geschäftsführung und den operativen Sanktionen (Tätigkeitsverbot, proaktive Aufsicht) deutlich weiter. Für Geschäftsführer ist das NIS-2-Sanktionsregime in der Praxis bedrohlicher als die DSGVO.

 

Durchsetzungsbefugnisse der Aufsichtsbehörden

Die NIS-2-Richtlinie stattet die nationalen Aufsichtsbehörden mit weitreichenden Befugnissen aus. In Deutschland wird das BSI voraussichtlich folgende Instrumente nutzen können:

Für wesentliche Einrichtungen (proaktive Aufsicht)

Die Aufsicht ist proaktiv – das BSI kann auch ohne konkreten Anlass tätig werden:

  • Vor-Ort-Inspektionen und Sicherheitsaudits (auch unangekündigt)
  • Gezielte Sicherheitsprüfungen durch unabhängige Stellen
  • Ad-hoc-Audits bei begründetem Verdacht
  • Verbindliche Anweisungen zur Mängelbeseitigung (mit Fristsetzung)
  • Anordnung der Umsetzung von Audit-Empfehlungen
  • Verhängung von Bußgeldern
  • Öffentliche Bekanntmachung von Verstößen (Naming and Shaming)
  • Vorübergehendes Tätigkeitsverbot für Leitungspersonen

Für wichtige Einrichtungen (reaktive Aufsicht)

Die Aufsicht erfolgt reaktiv – also bei konkretem Anlass (z. B. nach Hinweisen oder Sicherheitsvorfällen):

  • Vor-Ort-Inspektionen und Audits (nach Anlass)
  • Gezielte Sicherheitsprüfungen
  • Verbindliche Anweisungen
  • Verhängung von Bußgeldern

Der wesentliche Unterschied: Bei wichtigen Einrichtungen wird das BSI nicht routinemäßig prüfen, sondern erst bei konkretem Verdacht oder nach einem Vorfall aktiv. Das Sanktionspotenzial ist jedoch ähnlich hoch.

 

TrustSpace Profi-Tipp: Warten Sie nicht auf den ersten Audit-Besuch des BSI. Führen Sie interne Audits nach NIS-2-Kriterien durch, um Schwachstellen frühzeitig zu identifizieren und zu beheben. TrustSpace unterstützt Sie mit strukturierten Gap-Analysen und internen Audit-Simulationen, die auf die NIS-2-Anforderungen zugeschnitten sind – so sind Sie vorbereitet, bevor die Behörde kommt.

 

 

Faktoren bei der Bußgeldbemessung

Die Höhe eines konkreten Bußgelds hängt von mehreren Faktoren ab, die die Aufsichtsbehörde bei der Bemessung berücksichtigt:

  • Schwere des Verstoßes: Wie gravierend war die Pflichtverletzung? Wie groß der potenzielle oder tatsächliche Schaden?
  • Dauer des Verstoßes: Wie lange bestand die Pflichtverletzung? War es ein einmaliges Versäumnis oder ein systematisches Defizit?
  • Vorsatz oder Fahrlässigkeit: Wurde der Verstoß wissentlich begangen oder handelt es sich um ein Versehen?
  • Frühere Verstöße: Hat das Unternehmen bereits in der Vergangenheit gegen Cybersicherheitspflichten verstoßen?
  • Kooperationsbereitschaft: Hat das Unternehmen mit der Aufsichtsbehörde kooperiert oder die Zusammenarbeit erschwert?
  • Ergriffene Gegenmaßnahmen: Welche Maßnahmen hat das Unternehmen ergriffen, um den Schaden zu begrenzen und künftige Verstöße zu verhindern?
  • Einhaltung von Verhaltensregeln: Wurden genehmigte Verhaltensregeln oder Zertifizierungsverfahren eingehalten?

Diese Kriterien zeigen: Unternehmen, die proaktiv in Cybersicherheit investieren, kooperativ mit Behörden umgehen und Verstöße schnell beheben, können das Bußgeldrisiko erheblich reduzieren.

 

So minimieren Sie Ihr Bußgeld- und Haftungsrisiko

Für die Geschäftsführung

  • Cybersicherheitsschulungen absolvieren und dokumentieren
  • ☐ Sicherheitsmaßnahmen aktiv genehmigen (nicht nur delegieren)
  • ☐ Regelmäßiges Reporting zur Cybersicherheitslage einfordern und dokumentiert zur Kenntnis nehmen
  • Budget für Cybersicherheit bereitstellen und Investitionsentscheidungen dokumentieren
  • Verantwortlichkeiten klar zuweisen (CISO, ISB, Incident-Response-Team)

Für das Unternehmen

  • ISMS aufbauen oder optimieren (idealerweise nach ISO 27001)
  • Gap-Analyse gegen NIS-2-Anforderungen durchführen
  • Incident-Response-Plan erstellen, testen und regelmäßig aktualisieren
  • Meldeprozesse für Sicherheitsvorfälle etablieren (24h/72h/1 Monat)
  • Lieferkettensicherheit systematisch bewerten und vertraglich absichern
  • Schulungsprogramm für alle Mitarbeiter implementieren
  • ☐ Regelmäßige interne Audits und Sicherheitstests durchführen
  • Dokumentation aller Maßnahmen audit-fest führen

 

Fazit: NIS-2-Sanktionen ernst nehmen – aber nicht in Panik verfallen

Die NIS-2-Bußgelder und die persönliche Geschäftsführer-Haftung sind ernst zu nehmen. Sie signalisieren unmissverständlich, dass der EU-Gesetzgeber Cybersicherheit als Chefsache versteht – nicht als optionales IT-Projekt.

Gleichzeitig gilt: Unternehmen, die systematisch und nachweisbar in ihre Cybersicherheit investieren, ein funktionierendes ISMS betreiben und im Ernstfall kooperativ mit den Behörden zusammenarbeiten, minimieren ihr Sanktionsrisiko erheblich. Die NIS-2-Richtlinie bestraft nicht Perfektion, die nicht erreicht wurde – sie bestraft Nachlässigkeit und Untätigkeit.

Der erste Schritt ist immer derselbe: Klarheit schaffen. Ist Ihr Unternehmen von NIS-2 betroffen? Welche Lücken bestehen? Welche Maßnahmen sind prioritär? Eine strukturierte Betroffenheitsanalyse und Gap-Analyse liefert die Antworten.

 

Sie möchten Ihr NIS-2-Bußgeld- und Haftungsrisiko minimieren? TrustSpace bietet eine kostenlose Erstberatung zur NIS-2-Betroffenheit an. Unsere InfoSec-Experten analysieren Ihre Situation, identifizieren Handlungsbedarf und zeigen Ihnen den effizientesten Weg zur NIS-2-Compliance – unterstützt durch TrustSpaceOS für die systematische Umsetzung und Dokumentation.

Jetzt kostenlose Erstberatung vereinbaren →

Autor

Stefania Vetere
Stefania Vetere

Informationssicherheitsberaterin

Das könnte Sie auch interessieren...

Mit TrustSpace automatisieren Sie das Management Ihrer Informationssicherheit. Ihre All-in-One Lösung für IT Compliance.

ISO 27001 Lieferantenmanagement: Anforderungen, Bewertung und Praxis-Checkliste - Blog Artikel Bild
Informationssicherheit

ISO 27001 Lieferantenmanagement: Anforderungen, Bewertung und Praxis-Checkliste

Felix Mosler
ISO 27001 Zertifizierungsprozess: Ablauf & Dauer für den Mittelstand - Blog Artikel Bild
ISO 27001

ISO 27001 Zertifizierungsprozess: Ablauf & Dauer für den Mittelstand

Felix Mosler
Aufbau ISMS nach ISO 27001: Der Praxis-Guide für den Mittelstand - Blog Artikel Bild
Informationssicherheit

Aufbau ISMS nach ISO 27001: Der Praxis-Guide für den Mittelstand

Stefania Vetere

Ihre Sicherheit beginnt hier

Automatisieren Sie Ihre IT-Compliance