NIS2-Bußgelder und Sanktionen: Der vollständige Leitfaden 2025

TL;DR

NIS2-Bußgelder können 10 Mio. € (Wesentliche Einrichtungen) oder 7 Mio. € (Wichtige Einrichtungen) erreichen, jeweils der höhere Wert im Vergleich zum prozentualen Umsatzanteil. Darüber hinaus können Manager persönlich haftbar gemacht werden. Deutschland, Belgien und die Niederlande haben bereits aktive Durchsetzungsregime.

Die NIS2-Richtlinie führt die schärfsten Cybersicherheitssanktionen in der Geschichte der EU ein. Für Compliance-Verantwortliche und Führungskräfte ist ein genaues Verständnis des Bußgeldrahmens wichtig, nicht zuletzt, weil Manager nun persönlich haftbar gemacht werden können.

Dieser Leitfaden erklärt die Bußgeldstruktur, die Faktoren, die Behörden bei der Berechnung berücksichtigen, reale Durchsetzungsbeispiele und konkrete Schritte zur Vermeidung von Sanktionen.

Die NIS2-Bußgeldstruktur auf einen Blick

Wesentliche Einrichtungen

€10M

oder 2 % des weltweiten Jahresumsatzes (jeweils der höhere Betrag)

• Proaktive Behördenaufsicht (ex-ante)
• Regelmäßige Audits, auch unangekündigt
• Anhang-I-Sektoren: Energie, Gesundheit, Wasser, Transport, Banken, digitale Infrastruktur

Wichtige Einrichtungen

€7M

oder 1,4 % des weltweiten Jahresumsatzes (jeweils der höhere Betrag)

• Reaktive Behördenaufsicht (ex-post)
• Prüfung bei konkretem Anlass
• Anhang-II-Sektoren: Post, Abfall, Chemikalien, Lebensmittel, Fertigung, digitale Dienste, Forschung

Ein wichtiger Punkt, den viele Unternehmen übersehen: Die Obergrenze ist nicht nur 10 Mio. €, sondern 10 Mio. € ODER 2 % des weltweiten Jahresumsatzes, jeweils der höhere Betrag. Ein Unternehmen mit einem weltweiten Jahresumsatz von 2 Mrd. € könnte theoretisch mit bis zu 40 Mio. € bestraft werden.

Persönliche Haftung der Geschäftsführung

Dies ist die bedeutendste Neuerung von NIS2 gegenüber seinem Vorgänger: Artikel 20 macht die Leitungsorgane persönlich verantwortlich für Cybersicherheitsverstöße.

👤

Wer ist betroffen?

Vorstände, Geschäftsführer, CEOs und gleichwertige Leitungsorgane aller NIS2-betroffenen Einrichtungen. Auch leitende Angestellte können betroffen sein, wenn ihnen konkrete Aufgaben übertragen wurden.

📚

Schulungspflicht

Artikel 20 verlangt, dass Leitungsorgane an Cybersicherheitsschulungen teilnehmen und ihr Wissen auf dem neuesten Stand halten. Die Teilnahme muss dokumentiert werden.

⚖️

Suspendierung möglich

Behörden können verlangen, dass Führungskräfte vorübergehend von ihren Funktionen suspendiert werden, wenn die Einrichtung ihre Pflichten grob vernachlässigt hat. Diese Sanktion ist temporär, kann aber öffentlich bekannt gemacht werden.

Was löst eine NIS2-Durchsetzungsmaßnahme aus?

Behörden können Bußgelder für verschiedene Verstöße verhängen. Die häufigsten Auslöser sind:

Verstoß	Rechtsgrundlage	Schwere
Keine Behördenregistrierung	Art. 3	Hoch
Keine 24h/72h Vorfallsmeldung	Art. 23	Sehr hoch
Unzureichende Risikomanagement-Maßnahmen	Art. 21	Hoch
Keine Management-Schulungen	Art. 20	Mittel
Fehlendes Lieferketten-Risikomanagement	Art. 21(2)(d)	Hoch
Behinderung von Behördenprüfungen	Art. 32/33	Sehr hoch
Keine Kryptographie-/Verschlüsselungsrichtlinie	Art. 21(2)(h)	Mittel
Keine MFA für kritische Systeme	Art. 21(2)(j)	Hoch

📊 Quick Test

Find out if your company is in scope

Does your organisation fall under Annex I (Essential) or Annex II (Important) entities?

Check NIS2 Scope →

Wie werden Bußgelder berechnet?

NIS2 gibt Behörden erhebliche Ermessensspielräume bei der Bußgeldbemessung. Folgende Faktoren fließen in die Berechnung ein:

▸Schwere und Dauer des Verstoßes

▸Vorsatz oder grobe Fahrlässigkeit

▸Maßnahmen zur Minderung des Schadens

▸Frühere Verstöße desselben Unternehmens

▸Kooperationsbereitschaft mit der Behörde

▸Betroffene Personen und Dienste

▸Finanzieller Schaden für Dritte

▸Unternehmensgröße und Marktanteil

Durchsetzung in der Praxis: Was bisher passiert ist

Die NIS2-Richtlinie trat am 17. Oktober 2024 in Kraft. Länder, die die Richtlinie früh umgesetzt haben, haben bereits erste Maßnahmen ergriffen oder angekündigt. Hier sind die wichtigsten Entwicklungen:

🇩🇪 DeutschlandAktiv

Das BSI hat seine Meldeplattform aktiviert. Das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) ist seit März 2025 vollständig in Kraft. Erste Registrierungspflichten für betroffene Einrichtungen sind aktiv. Das BSI hat 2024 betont, dass Unternehmen, die sich nicht registrieren, mit Konsequenzen rechnen müssen.

🇧🇪 BelgienAktiv

Das CCB (Centre for Cybersecurity Belgium) hat eine der frühesten NIS2-Umsetzungen in der EU vollzogen. Das CyberFundamentals Framework ist als Nachweis anerkannt. Das CCB hat mehrere Sektoraudits angekündigt und ein öffentliches Register betroffener Einrichtungen aufgebaut.

🇳🇱 NiederlandeAktiv

Die Niederlande haben NIS2 über mehrere sektorspezifische Regulatoren umgesetzt. Das NCSC-NL koordiniert übergreifend. Mehrere Sektorbehörden (Energie, Wasser, Gesundheit) haben 2025 begonnen, Compliance-Anforderungen aktiv durchzusetzen.

🇫🇷 FrankreichAktiv

ANSSI hat die NIS2-Umsetzung über das 'loi de programmation militaire' und spezifische Cybersicherheitsgesetze vollzogen. ANSSI ist bekannt für strenge Durchsetzung und hat bereits unter NIS1 erhebliche Bußgelder verhängt.

Bußgeldberechnung: Ein konkretes Beispiel

Stellen Sie sich ein mittleres deutsches Pharmaunternehmen (Wesentliche Einrichtung, Sektor Gesundheit) mit einem weltweiten Jahresumsatz von 500 Mio. € vor. Das Unternehmen wurde Opfer eines Ransomware-Angriffs und hat die 72h-Meldepflicht um 3 Tage versäumt.

Bußgeldrahmen

Fixbetrag (Obergrenze): €10.000.000

Umsatz-Prozentsatz (2 %): €10.000.000

(500 Mio. × 2 % = 10 Mio., also beide gleich)

Mildernde Umstände

+Kooperation mit BSI nach dem Versäumnis
+Keine vorherigen Verstöße
-Mehrfaches Versäumnis (3 Tage)
-Patienten waren betroffen

In vergleichbaren Fällen aus der DSGVO-Praxis (die ähnliche Berechnungsfaktoren verwendet) werden Meldepflichtverstöße mit 10-30 % der Maximalstrafe geahndet, wenn Kooperation vorliegt. Das würde hier einem Bußgeld zwischen 1-3 Mio. € entsprechen. Bei bewusstem Ignorieren der Pflicht oder bei Vertuschung können Behörden deutlich höher gehen.

So vermeiden Sie NIS2-Bußgelder

Prüfen Sie, ob NIS2 für Ihr Unternehmen gilt: Sektor, Größe und Sonderregeln beachten
Registrieren Sie sich fristgerecht bei der zuständigen nationalen Behörde
Implementieren Sie alle 10 Artikel-21-Sicherheitsmaßnahmen mit schriftlicher Dokumentation
Richten Sie einen 24h/72h-Vorfallsmeldeprozess ein und testen Sie ihn regelmäßig mit Tabletop-Übungen
Schulen Sie Ihr Leitungsorgan und dokumentieren Sie die Teilnahme mit Zertifikaten
Führen Sie jährliche Lieferketten-Risikobewertungen durch und halten Sie diese schriftlich fest
Bereiten Sie sich aktiv auf Behördenprüfungen vor: Dokumentation und Nachweisfähigkeit sind entscheidend
Kooperieren Sie mit Behörden bei Prüfungen und Vorfällen, das reduziert Bußgelder nachweisbar

Wie gut ist Ihr NIS2-Compliance-Status?

Nutzen Sie unsere kostenlose Lückenanalyse, um Ihre Artikel-21-Maßnahmen zu prüfen, bevor es die Behörde tut.

📊 Lückenanalyse starten 🎯 Betroffenheit prüfen

FAQ

Können NIS2-Bußgelder höher als 10 Mio. € sein?▾

Ja. Die Obergrenze ist 10 Mio. € ODER 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für große multinationale Konzerne kann der Umsatzprozentsatz weit über 10 Mio. € liegen.

Wann beginnt die NIS2-Durchsetzung?▾

Die Richtlinie trat am 17. Oktober 2024 in Kraft. Die nationale Durchsetzung begann in Ländern mit vollständiger Umsetzung unmittelbar danach. Deutschland, Belgien und die Niederlande hatten bereits Ende 2024 aktive Durchsetzungsregime.

Können Bußgelder reduziert werden, wenn wir kooperieren?▾

Ja. NIS2 verlangt von Behörden, die Kooperationsbereitschaft bei der Bußgeldbemessung zu berücksichtigen. Frühe freiwillige Offenlegung von Vorfällen und proaktive Zusammenarbeit können zu erheblichen Minderungen führen.

Können DSGVO-Bußgelder und NIS2-Bußgelder gleichzeitig verhängt werden?▾

Ja. Wenn ein Vorfall sowohl eine NIS2-Verletzung als auch eine DSGVO-Datenpanne darstellt, können theoretisch beide Behörden Bußgelder verhängen. In der Praxis koordinieren viele Länder die Zuständigkeiten, um Doppelbestrafung zu vermeiden, aber eine gesetzliche Pflicht dazu besteht nicht.

Gilt die Management-Haftung auch für Aufsichtsratsmitglieder?▾

Das hängt von der nationalen Umsetzung ab. In vielen EU-Ländern sind Aufsichtsräte dann von Artikel 20 erfasst, wenn sie aktive Überwachungsfunktionen haben und in die Cybersicherheitsentscheidungen eingebunden sind. Lassen Sie Ihre spezifische Governance-Struktur rechtlich prüfen.