NIS2-Bußgelder: Was Sie tatsächlich riskieren
Das BSIG sieht Bußgelder von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes vor. Dazu kommt die persönliche Haftung der Geschäftsführung nach §38 BSIG. Hier erfahren Sie, was das konkret für Ihr Unternehmen bedeutet.
Die Bußgeldstruktur im Überblick
Das NIS2-Bußgeldsystem des BSIG ist in §65 geregelt und orientiert sich an der Systematik der DSGVO: Es gibt Höchstgrenzen, die sich entweder als fester Betrag oder als Prozentsatz des weltweiten Jahresumsatzes berechnen – wobei der jeweils höhere Wert gilt. Das bedeutet: Für umsatzstarke Unternehmen kann der prozentuale Wert den Festbetrag deutlich übersteigen.
Zusätzlich zu den Unternehmensbußgeldern führt §38 BSIG eine persönliche Haftung der Geschäftsleitung ein, die in dieser Form im deutschen Cybersicherheitsrecht neu ist. Diese Haftung ist nicht auf die Fälle beschränkt, in denen ein Schaden eingetreten ist – bereits die Verletzung der Überwachungspflicht kann Haftung begründen.
Bis 10.000.000 EUR oder 2% des weltweiten Jahresumsatzes
Besonders wichtige Einrichtungen – Verstöße gegen Cybersicherheitsmaßnahmen
Gilt für Verstöße gegen Sicherheitsmaßnahmen (§30), Meldepflichten (§32) und BSI-Anordnungen. Es gilt der jeweils höhere Wert – bei einem Jahresumsatz von über 500 Mio. EUR übersteigt die 2%-Grenze den Festbetrag. Rechtsgrundlage: §65 Abs. 1 BSIG.
Bis 7.000.000 EUR oder 1,4% des weltweiten Jahresumsatzes
Wichtige Einrichtungen – Verstöße gegen Cybersicherheitsmaßnahmen
Gleiche Verstoßarten wie bei bwE, aber niedrigere Obergrenze. Bei einem Umsatz von über 500 Mio. EUR übersteigt die 1,4%-Grenze den Festbetrag. Rechtsgrundlage: §65 Abs. 2 BSIG.
Bis 500.000 EUR
Registrierungsverstöße
Gilt für die unterlassene oder verspätete Registrierung nach §33 BSIG, das Versäumnis, Änderungen der Registrierungsdaten mitzuteilen, und die fehlende Benennung einer Kontaktstelle. Dieses Bußgeld ist eigenständig – es wird neben eventuellen Bußgeldern für Verstöße gegen §30 oder §32 verhängt.
Analog zu bwE/wE-Obergrenzen
Meldeverstöße
Verstöße gegen die Meldepflicht nach §32 BSIG – also das Versäumnis, erhebliche Sicherheitsvorfälle fristgerecht zu melden – unterliegen den gleichen Bußgeldrahmen wie Verstöße gegen die Sicherheitsmaßnahmen. Eine nicht gemeldete Frühwarnung innerhalb von 24 Stunden kann also dasselbe Bußgeld nach sich ziehen wie fehlende Sicherheitsmaßnahmen.
| Unternehmenstyp | Jahresumsatz | Max. Bußgeld (bwE) | Max. Bußgeld (wE) |
|---|---|---|---|
| Kleiner Mittelstand | 15.000.000 € | 10.000.000 € (Festbetrag gilt – 2% wären nur 300.000 €) | 7.000.000 € (Festbetrag gilt – 1,4% wären nur 210.000 €) |
| Mittlerer Mittelstand | 50.000.000 € | 10.000.000 € (Festbetrag gilt – 2% wären nur 1.000.000 €) | 7.000.000 € (Festbetrag gilt – 1,4% wären nur 700.000 €) |
| Großunternehmen | 200.000.000 € | 10.000.000 € (Festbetrag gilt – 2% wären 4.000.000 €) | 7.000.000 € (Festbetrag gilt – 1,4% wären 2.800.000 €) |
4 Bußgeldszenarien
Was tatsächlich BSI-Durchsetzung auslöst und wie die Konsequenzen in der Praxis aussehen.
Verspätete oder fehlende BSI-Registrierung
Ihr Unternehmen hat sich nicht beim BSI registriert. Es gibt keinen Sicherheitsvorfall, aber das BSI stellt im Rahmen einer Sektorprüfung fest, dass Sie betroffen sind und sich nicht registriert haben.
Bußgeld bis 500.000 EUR für den Registrierungsverstoß. Zusätzlich: BSI-Anordnung zur Registrierung und Umsetzung der §30-Maßnahmen, ggf. mit Zwangsgeld.
Unterlassene Meldung eines erheblichen Vorfalls
Ihr Unternehmen wird Opfer eines Ransomware-Angriffs, der den Geschäftsbetrieb für 3 Tage stilllegt. Sie melden den Vorfall nicht an das BSI, weil Sie den Meldeprozess nicht etabliert haben.
Mehrfachverstoß: Bußgeld für fehlende Sicherheitsmaßnahmen (kein Incident-Response-Prozess) und Bußgeld für unterlassene Meldung. Beide Verstöße werden unabhängig geahndet. Die Geschäftsleitung haftet zudem persönlich nach §38 BSIG.
Kein Risikomanagement-Prozess vorhanden
Sie haben sich beim BSI registriert, aber keine der 10 Maßnahmenbereiche nach §30 BSIG umgesetzt. Bei einer BSI-Prüfung wird festgestellt, dass weder ein Risikomanagement noch Vorfallbehandlungsprozesse existieren.
Bußgeld bis 10 Mio. EUR (bwE) oder 7 Mio. EUR (wE) für den §30-Verstoß. Die Registrierung allein schützt nicht vor Bußgeldern – sie ist nur die erste von vielen Pflichten.
Lücken in der Lieferkettensicherheit
Ihr Unternehmen hat den IT-Betrieb an einen Managed Service Provider ausgelagert. Der Anbieter erleidet einen Datenschutzvorfall, der Ihre Kundendaten offenlegt. Das BSI stellt fest, dass keine Lieferantensicherheitsbewertung, keine vertraglichen Cybersicherheitsanforderungen und keine Überwachung der Sicherheitslage des Anbieters vorhanden sind.
Sie sind gemäß §30(2)(4) BSIG für Ihre Lieferkettensicherheit verantwortlich, unabhängig davon, wo der Vorfall aufgetreten ist. Das Fehlen einer Lieferanten-Due-Diligence bedeutet, dass Sie erforderliche Maßnahmen nicht umgesetzt haben. Dies kann Bußgelder im Rahmen der Cybersicherheitsmaßnahmen auslösen (bis zu 10 Mio. €/7 Mio. € je nach Einrichtungstyp), und der Vorfall selbst löst zusätzlich Meldepflichten aus. Wenn Sie auch die Meldung unterlassen, kumulieren sich die Bußgelder.
§38 BSIG schafft einen persönlichen Haftungsmechanismus für die Geschäftsführung, der von den Unternehmensbußgeldern getrennt ist. Die Geschäftsleitung muss die Cybersicherheits-Risikomanagementmaßnahmen genehmigen, deren Umsetzung überwachen und Cybersicherheitsschulungen absolvieren. Werden diese Pflichten vernachlässigt und erleidet das Unternehmen daraus Schäden, kann die Geschäftsleitung persönlich für diese Schäden haftbar gemacht werden. Dies ist eine Innenhaftung – der Schadensersatzanspruch kommt vom Unternehmen (oder seinem Insolvenzverwalter) gegen die einzelnen Geschäftsführer.
Entscheidend: §38 BSIG stellt klar, dass diese Haftung nicht durch Gesellschafterbeschluss abbedungen werden kann. Selbst in einer inhabergeführten GmbH, in der der Geschäftsführer auch alleiniger Gesellschafter ist, besteht die Haftung. D&O-Versicherungspolicen schließen in der Regel regulatorische Bußgelder und Strafen aus, und die Deckung für NIS2-spezifische Haftung ist ein sich entwickelnder Bereich – prüfen Sie Ihre spezifische Police, anstatt Deckung vorauszusetzen. Die praktische Konsequenz: NIS2-Compliance ist jetzt ein persönliches Risikomanagement-Thema für jeden Geschäftsführer, nicht nur ein Corporate-Governance-Kontrollkästchen.
Häufige Fragen
Kann das BSI sofort ein Bußgeld verhängen, oder gibt es zunächst eine Verwarnung?
Das BSI hat Ermessen. In der Praxis ist zu erwarten, dass das BSI zunächst auf Compliance drängt – durch Anordnungen, Fristsetzungen und ggf. Zwangsgeld. Bei offensichtlichen und schwerwiegenden Verstößen (etwa kompletter Untätigkeit über Monate) kann das BSI aber auch direkt ein Bußgeld verhängen. Eine gesetzliche Pflicht zur Vorwarnung besteht nicht.
Werden Bußgelder pro Verstoß oder pro Unternehmen verhängt?
Pro Verstoß. Das bedeutet: Fehlende Registrierung (§33), fehlende Sicherheitsmaßnahmen (§30) und unterlassene Meldung (§32) sind drei separate Ordnungswidrigkeiten mit jeweils eigenen Bußgeldrahmen. Die Bußgelder können kumuliert werden.
Haftet der Geschäftsführer auch, wenn es gar keinen Cyberangriff gab?
Ja. Die Haftung nach §38 BSIG knüpft an die Verletzung der Billigung-, Überwachungs- und Schulungspflicht an – nicht an den Eintritt eines Schadens. Ein Geschäftsführer, der keine Maßnahmen genehmigt und keine Schulung absolviert hat, verletzt seine Pflichten unabhängig davon, ob ein Angriff stattfindet. Der Schaden kann auch ein Bußgeld sein, das das Unternehmen zahlen muss.
Welchen Umsatz legt das BSI bei Konzernstrukturen zugrunde?
Den weltweiten Jahresumsatz der Unternehmensgruppe (Konzernumsatz) des vorangegangenen Geschäftsjahres. Das ist die gleiche Systematik wie bei der DSGVO. Für ein deutsches Tochterunternehmen eines internationalen Konzerns kann der Bemessungsumsatz daher wesentlich höher sein als der eigene Umsatz der Tochtergesellschaft.
Kann ich mich als Geschäftsführer durch eine Cyber-Versicherung absichern?
Eine Cyber-Versicherung schützt das Unternehmen vor den finanziellen Folgen von Cyberangriffen – sie schützt nicht die Geschäftsleitung vor der persönlichen Haftung nach §38 BSIG. Dafür ist eine D&O-Versicherung relevant, die aber regulatorische Bußgelder oft ausschließt. Prüfen Sie beide Policen mit einem Fachanwalt.
- BSIG – §38 (Billigung, Überwachung und Schulung), §65 (Bußgeldvorschriften)
- NIS2-Richtlinie (EU) 2022/2555 – Artikel 34 und 36 (Durchsetzung und Sanktionen)
- BMI – Gesetzentwurf NIS2UmsuCG, Begründung zu §38 und §65
- GDV (Gesamtverband der Deutschen Versicherungswirtschaft) – Hinweise zu D&O-Deckung und Cyber-Regulierungsrisiken
- Noerr LLP – NIS2 Management Liability: §38 BSIG Analysis (2025)