NIS-2 Bußgelder: Bis 10 Mio. € und persönliche Haftung

Letzte Aktualisierung:

§ 65 BSIG: Bußgelder bis 10 Mio. € oder 2 % Jahresumsatz. Dazu persönliche Geschäftsführerhaftung nach § 38 BSIG – unwiderruflich.

Mit dem NIS-2-Umsetzungsgesetz, das am 6. Dezember 2025 in Kraft getreten ist, hat der Gesetzgeber nicht nur die Cybersicherheitsanforderungen verschärft – auch die Sanktionen bei Verstößen haben eine neue Dimension erreicht. Bußgelder bis zu 10 Millionen Euro und die persönliche Haftung von Geschäftsführern machen NIS-2 zu einem Thema, das auf die Vorstandsagenda gehört. In diesem Artikel erfahren Sie, welche Strafen drohen, wie die Geschäftsführerhaftung ausgestaltet ist und wie Sie Ihr Unternehmen und sich selbst schützen können.

Überblick: Das NIS-2-Sanktionsregime

Das NIS-2-Umsetzungsgesetz enthält in § 65 BSIG einen umfassenden Bußgeldkatalog. Die Sanktionen orientieren sich an der Systematik der DSGVO und unterscheiden zwischen zwei Kategorien betroffener Unternehmen.

Bußgelder nach Einrichtungskategorie

Kategorie Maximales Bußgeld Alternative
Besonders wichtige Einrichtungen 10 Mio. Euro 2% des weltweiten Jahresumsatzes
Wichtige Einrichtungen 7 Mio. Euro 1,4% des weltweiten Jahresumsatzes

Es gilt jeweils der höhere Betrag. Bei einem Konzern mit 500 Millionen Euro Umsatz kann das Bußgeld für besonders wichtige Einrichtungen also bis zu 10 Millionen Euro betragen.

Abstufung nach Schwere des Verstoßes

Nicht jeder Verstoß führt automatisch zum Maximalbußgeld. Die Behörden berücksichtigen bei der Bemessung:

  • Art, Schwere und Dauer des Verstoßes
  • Vorsatz oder Fahrlässigkeit
  • Getroffene Maßnahmen zur Schadensbegrenzung
  • Frühere Verstöße
  • Kooperationsbereitschaft mit den Behörden
  • Erlangte finanzielle Vorteile

Konkrete Bußgeldtatbestände

Verstöße gegen Mindestmaßnahmen (§ 30 BSIG)

Die Nichtumsetzung der zehn Mindestmaßnahmen nach § 30 BSIG kann mit den Höchststrafen geahndet werden. Dazu gehören:

  • Fehlendes Risikoanalysekonzept
  • Unzureichendes Incident Management
  • Mangelnde Business-Continuity-Maßnahmen
  • Vernachlässigte Lieferkettensicherheit
  • Fehlende Schulungsmaßnahmen
  • Unzureichende Kryptografie und Verschlüsselung

Verstöße gegen Meldepflichten

Besonders kritisch sind Verstöße gegen die Meldepflichten bei Sicherheitsvorfällen:

Pflicht Frist Bußgeld bei Verstoß
Erstmeldung 24 Stunden Bis 500.000 €
Folgemeldung 72 Stunden Bis 500.000 €
Abschlussbericht 1 Monat Bis 500.000 €

Die Fristen beginnen mit Kenntnisnahme des erheblichen Sicherheitsvorfalls. Mit unserem Cybervorfall-Meldefristen-Rechner behalten Sie alle Fristen im Blick.

Verstöße gegen Registrierungspflichten

Betroffene Unternehmen müssen sich innerhalb von drei Monaten nach Inkrafttreten des Gesetzes beim BSI registrieren. Die Nichtregistrierung kann mit Bußgeldern bis 500.000 Euro geahndet werden.

Weitere sanktionierte Verstöße

  • Behinderung von BSI-Kontrollen
  • Falsche oder unvollständige Angaben
  • Nichtbefolgung von Anordnungen
  • Verstoß gegen Nachweispflichten

Geschäftsführerhaftung nach § 38 BSIG

Was bedeutet § 38 BSIG für Geschäftsführer? Geschäftsführer müssen die NIS-2-Maßnahmen nicht nur umsetzen, sondern deren Umsetzung aktiv überwachen. Sie haften persönlich für Schäden aus Pflichtverletzungen – auch bei leichter Fahrlässigkeit. Der Haftungsverzicht ist gesetzlich ausgeschlossen, die Business Judgment Rule gilt nicht. Im Streitfall trägt der Geschäftsführer die Darlegungslast für pflichtgemäßes Handeln.

Die neue Dimension der Verantwortung

§ 38 BSIG begründet eine persönliche Haftung von Geschäftsführern, Vorständen und vergleichbaren Leitungsorganen für die Cybersicherheit ihres Unternehmens. Dies ist ein Paradigmenwechsel: Informationssicherheit ist nicht mehr nur IT-Thema, sondern Chefsache – mit persönlichen Konsequenzen.

Pflichten der Geschäftsleitung

Nach § 38 Abs. 1 BSIG müssen Geschäftsleitungen:

  1. Risikomanagementmaßnahmen umsetzen: Die Geschäftsführung ist verantwortlich für die Implementierung der Maßnahmen nach § 30 BSIG.

  2. Umsetzung überwachen: Es reicht nicht, Aufgaben zu delegieren – die Geschäftsführung muss die Umsetzung aktiv kontrollieren.

  3. Regelmäßige Schulungen absolvieren: Das Gesetz fordert „regelmäßige" Schulungen zu Cyberrisiken. Die Gesetzesbegründung geht von einem Drei-Jahres-Rhythmus aus.

Haftungsmaßstab

Die Haftung nach § 38 Abs. 2 BSIG ist verschuldensabhängig und umfasst:

  • Vorsatz: Bewusste Inkaufnahme von Sicherheitslücken
  • Fahrlässigkeit: Sorgfaltspflichtverletzung, auch leichte Fahrlässigkeit

Besonders kritisch: Nach allgemeinen gesellschaftsrechtlichen Grundsätzen trägt der Geschäftsführer die Darlegungslast für pflichtgemäßes Handeln. Im Streitfall muss er nachweisen, dass er seinen Überwachungspflichten nachgekommen ist – das Unternehmen muss lediglich den Schaden und die Kausalität darlegen.

Umfang der Haftung

Der Schadensbegriff nach § 38 BSIG umfasst laut Gesetzesbegründung:

  • Direkte Schäden durch Cyberangriffe (z.B. Betriebsunterbrechung)
  • Regressansprüche Dritter (z.B. Kunden, deren Daten betroffen sind)
  • Bußgelder nach § 65 BSIG (umstritten, aber in der Gesetzesbegründung genannt)
  • Wiederherstellungskosten für Systeme und Daten
  • Reputationsschäden (soweit bezifferbar)

Kein Haftungsverzicht möglich

§ 38 Abs. 2 S. 3 BSIG schließt einen vertraglichen Verzicht auf die Haftung ausdrücklich aus. Weder Gesellschaftsvertrag noch Entlastungsbeschlüsse können die Geschäftsführung von dieser Haftung befreien.

Dies unterscheidet die NIS-2-Haftung von anderen Geschäftsführerpflichten, bei denen ein Verzicht unter bestimmten Voraussetzungen möglich ist.

Business Judgment Rule gilt nicht

Bei unternehmerischen Ermessensentscheidungen schützt die Business Judgment Rule Geschäftsführer vor Haftung, wenn sie auf Basis angemessener Informationen im besten Interesse des Unternehmens entschieden haben.

Für NIS-2-Pflichten gilt dieser Schutz nicht: Es handelt sich um gesetzliche Legalitätspflichten, nicht um unternehmerische Ermessensentscheidungen. Die Umsetzung der Mindestmaßnahmen ist keine Option, sondern Pflicht.

Vergleich mit DSGVO-Sanktionen

Aspekt DSGVO NIS-2
Maximales Bußgeld 20 Mio. € / 4% Umsatz 10 Mio. € / 2% Umsatz
Persönliche Haftung Nein (nur Unternehmen) Ja (Geschäftsführung)
Haftungsverzicht N/A Gesetzlich ausgeschlossen
Schulungspflicht Nicht explizit Ja, alle 3 Jahre
Beweislastumkehr Teilweise Ja

Die NIS-2-Haftung geht in einem entscheidenden Punkt über die DSGVO hinaus: der persönlichen Verantwortlichkeit der Geschäftsführung.

Schutzmaßnahmen für Geschäftsführer

1. Compliance sicherstellen

Der beste Schutz vor Haftung ist die vollständige Erfüllung der NIS-2-Anforderungen:

  • Gap-Analyse durchführen
  • Maßnahmenplan mit Priorisierung erstellen
  • Ressourcen für die Umsetzung bereitstellen
  • Regelmäßige Fortschrittskontrolle etablieren

2. Dokumentation

Dokumentieren Sie alle Maßnahmen zur Informationssicherheit:

  • Beschlüsse der Geschäftsführung
  • Budgetfreigaben für Sicherheitsmaßnahmen
  • Berichte des ISB oder CISO
  • Schulungsnachweise
  • Audit-Ergebnisse

Bei einer Beweislastumkehr ist lückenlose Dokumentation entscheidend.

3. Verantwortlichkeiten definieren

Auch wenn die Letztverantwortung bei der Geschäftsführung verbleibt, können operative Aufgaben delegiert werden:

4. Schulungspflicht erfüllen

Die Schulungspflicht für Geschäftsführer ist nicht nur Compliance-Anforderung, sondern auch Haftungsschutz: Wer nachweislich über Cyberrisiken informiert ist, kann sich nicht auf Unkenntnis berufen – aber auch nicht auf mangelnde Schulung verklagt werden.

5. D&O-Versicherung prüfen

Eine Directors & Officers (D&O)-Versicherung kann einen Teil des Haftungsrisikos abdecken:

Typischerweise versichert:

  • Fahrlässig verursachte Vermögensschäden
  • Rechtsverteidigungskosten
  • Regressansprüche

Typischerweise nicht versichert:

  • Vorsätzliche Verstöße
  • Bußgelder (je nach Versicherungsbedingungen)
  • Strafverfahren

Prüfen Sie Ihre bestehende D&O-Police auf NIS-2-Deckung und passen Sie diese gegebenenfalls an.

6. Incident Response vorbereiten

Für den Fall eines Sicherheitsvorfalls sollten klare Prozesse existieren:

  • Incident-Response-Plan mit definierten Rollen
  • Kommunikationswege für die 24-Stunden-Erstmeldung
  • Juristische Beratung für Krisensituationen
  • Krisenkommunikationsstrategie

Aufsicht und Durchsetzung

Zuständige Behörde

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist zentrale Aufsichtsbehörde für NIS-2. Es kann:

  • Nachweise und Dokumentation anfordern
  • Vor-Ort-Kontrollen durchführen
  • Anordnungen zur Mängelbeseitigung erlassen
  • Bußgelder verhängen
  • Im Extremfall die Tätigkeit untersagen

Kontrolldichte

Das BSI hat angekündigt, stichprobenartige Kontrollen durchzuführen. Priorität haben:

  • Besonders wichtige Einrichtungen
  • KRITIS-Betreiber
  • Unternehmen mit bekannten Sicherheitsvorfällen
  • Anlassbezogene Prüfungen nach Beschwerden oder Hinweisen

Praktische Handlungsempfehlungen

Sofortmaßnahmen

  1. Betroffenheit prüfen: Sind Sie wesentliche oder wichtige Einrichtung? Mit unserer NIS-2-Betroffenheitsanalyse können Sie dies in wenigen Minuten klären.
  2. Registrierung sicherstellen: Frist beachten (3 Monate nach Inkrafttreten)
  3. Schulung der Geschäftsführung: Nachweisbare Teilnahme dokumentieren
  4. Gap-Analyse beauftragen: Aktuellen Stand ermitteln

Mittelfristige Maßnahmen

  1. Maßnahmenplan erstellen: Priorisiert nach Risiko und Aufwand
  2. Budget bereitstellen: Ressourcen für die Umsetzung
  3. ISB benennen: Interne oder externe Lösung
  4. Dokumentationssystem aufbauen: Alle Maßnahmen nachweisbar

Langfristige Maßnahmen

  1. ISMS implementieren: ISO 27001 oder BSI IT-Grundschutz – wir unterstützen Sie bei der NIS-2-Beratung
  2. Kontinuierliche Verbesserung: Regelmäßige Audits und Anpassungen
  3. Versicherungsschutz optimieren: D&O-Police anpassen
  4. Kultur entwickeln: Sicherheitsbewusstsein in der Organisation verankern

Fazit: Persönliche Verantwortung ernst nehmen

Das NIS-2-Sanktionsregime markiert einen Wendepunkt in der Cybersicherheitsregulierung. Mit Bußgeldern bis 10 Millionen Euro und persönlicher Geschäftsführerhaftung hat der Gesetzgeber deutlich gemacht, dass Informationssicherheit Chefsache ist.

Die Botschaft ist klar: Wer die Cybersicherheit seines Unternehmens vernachlässigt, riskiert nicht nur das Unternehmen, sondern auch sein persönliches Vermögen. Ein Haftungsverzicht ist ausgeschlossen, die Business Judgment Rule schützt nicht.

Der einzige wirksame Schutz besteht in der konsequenten Umsetzung der NIS-2-Anforderungen: Maßnahmen implementieren, Umsetzung überwachen, Schulungen absolvieren – und alles dokumentieren.

Ihr nächster Schritt: Prüfen Sie Ihre NIS-2-Betroffenheit und lassen Sie eine Gap-Analyse durchführen. Je früher Sie handeln, desto geringer das Risiko – für Ihr Unternehmen und für Sie persönlich.

Haben Sie Fragen zu diesem Thema?

In einem kostenfreien Erstgespräch klären wir Ihre individuellen Anforderungen und zeigen Ihnen, wie wir Sie unterstützen können.

Kostenloses Erstgespräch vereinbaren