NIS2-Bußgelder: Welche Verstöße kosten wie viel – und wer haftet persönlich?

Zehn Millionen Euro Bußgeld. Persönliche Haftung mit Privatvermögen. Regress des eigenen Unternehmens gegen den Geschäftsführer. NIS2 hat Zähne – und im Juni 2026 kündigen Aufsichtsbehörden erste Schwerpunktkontrollen an. Höchste Zeit, den Sanktionsrahmen ernst zu nehmen.

NIS2-Bußgelder: Der Rahmen, der es in sich hat

Plot Twist: Die meisten Geschäftsführer glauben noch immer, NIS2 sei ein IT-Thema. Das Bußgeldregime des Gesetzes sagt etwas anderes. Die rechtliche Basis ist die EU-Richtlinie 2022/2555, umgesetzt in Deutschland durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das das BSIG grundlegend neu strukturiert. Der maßgebliche Paragraph für Sanktionen: § 65 BSIG.

Der Sanktionsrahmen staffelt sich nach Einrichtungstyp. Besonders wichtige Einrichtungen – also Unternehmen in Sektoren wie Energie, Finanzen, Gesundheit oder digitale Infrastruktur – können mit bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes belegt werden. Für wichtige Einrichtungen liegt die Obergrenze bei 7 Millionen Euro oder 1,4 Prozent des weltweiten Umsatzes. § 65 BSIG sieht dabei – ähnlich wie die DSGVO, aber ohne die wortwörtliche Formel „immer der höhere Betrag“ – absolute Beträge und prozentuale Obergrenzen vor. Wichtig: Für die Umsatzbasis darf das BSI laut § 65 Abs. 8 BSIG den weltweiten Konzernumsatz zugrunde legen und diesen nötigenfalls schätzen.

Weniger schwere Verstöße landen in einer Staffelung mit insgesamt sieben Bußgeldstufen. Fehlende Dokumentation oder verspätete Registrierung können so „nur“ 100.000 Euro kosten. Nur. Bei einem mittelständischen Maschinenbauer mit 80 Millionen Euro Umsatz ist das schmerzhaft, aber überlebbar. Bei schwerwiegenden Verstößen gegen Risikomanagement- oder Meldepflichten sieht die Rechnung komplett anders aus.

Welche Verstöße konkret teuer werden

Das Pikante daran: § 65 BSIG listet bußgeldbewehrte Tatbestände recht präzise auf. Wer die typischen Risikoprofile kennt, kann konkrete Szenarien durchrechnen.

Szenario 1: Der verschlafene Sicherheitsvorfall

NIS2 schreibt eine dreistufige Meldekaskade vor. Erstmeldung an das BSI binnen 24 Stunden nach Kenntnisnahme eines erheblichen Vorfalls. Folgenbericht binnen 72 Stunden. Abschlussbericht binnen einem Monat. Wer diese Fristen versäumt – aus Unwissenheit, internem Chaos oder dem klassischen „Wir wollten erst alles verstehen, bevor wir melden“ – begeht einen eigenständigen Verstoß. Unabhängig davon, ob der zugrundeliegende Angriff selbst hätte verhindert werden können. Die Meldepflichtverletzung ist damit ein separates Bußgeldrisiko, das zum eigentlichen Sicherheitsvorfall noch obendrauf kommt.

Szenario 2: Kein funktionierendes Risikomanagement

Art. 21 NIS2, umgesetzt in § 30 BSIG, verpflichtet betroffene Einrichtungen zu einem dokumentierten Risikomanagement. Keine Risikoanalyse. Keine Richtlinien zur Informationssicherheit. Keine geregelten Zugriffskontrollen. Keine Backup-Strategie. Das sind keine theoretischen Verstöße – das ist der Alltag in vielen mittelständischen Unternehmen, die plötzlich in den Anwendungsbereich von NIS2 fallen. Für besonders wichtige Einrichtungen ist dieser Verstoß im obersten Bußgeldrahmen verortet. Bemessungskriterien wie Schwere, Dauer und – brisant – ob Vorsatz oder Fahrlässigkeit vorliegt, bestimmen, wo genau im Rahmen die Behörde landet.

Szenario 3: Missachtung behördlicher Anordnungen

Das BSI kann Anordnungen erlassen. Wer diese ignoriert, zahlt nicht nur das ursprüngliche Bußgeld, sondern schichtet ein weiteres darüber. Der Clou: Behörden orientieren sich bei der Bemessung an Kriterien, die stark an die DSGVO-Praxis erinnern – frühere Verstöße, Kooperationsbereitschaft, getroffene Abhilfemaßnahmen. Wer nach einem ersten Vorfall demonstrativ wegschaut, darf mit dem oberen Ende des Rahmens rechnen.

Szenario 4: Lieferkette als unterschätzter Bußgeldtreiber

Was viele Compliance-Verantwortliche noch nicht auf dem Schirm haben: NIS2 greift nicht nur für die eigene Organisation, sondern erstreckt sich ausdrücklich auf das Management von Lieferkettensicherheit. § 30 Abs. 2 BSIG nennt die Sicherheit in der Lieferkette explizit als Bestandteil der Risikomanagementpflicht. Das bedeutet: Wer kritische IT-Dienstleister, Cloud-Anbieter oder Softwarezulieferer einsetzt, ohne deren Sicherheitsniveau zu prüfen und vertraglich abzusichern, begeht einen eigenständigen Verstoß – auch wenn kein Sicherheitsvorfall eingetreten ist.

Praktisch lässt sich das an einem konkreten Beispiel verdeutlichen: Ein Krankenhausbetreiber als besonders wichtige Einrichtung setzt einen externen Dienstleister für Patientendatenmanagement ein, ohne eine belastbare Risikoanalyse des Anbieters durchgeführt zu haben. Kommt es beim Dienstleister zu einem Sicherheitsvorfall, haftet der Krankenhausbetreiber nicht nur als Auftraggeber zivilrechtlich – er riskiert auch ein NIS2-Bußgeld wegen mangelhaften Lieferkettenmanagements. Die Verantwortung lässt sich durch Outsourcing nicht auslagern, sie bleibt beim NIS2-pflichtigen Unternehmen verankert.

Geschäftsführer-Haftung: Privatvermögen im Visier

Hier wird es persönlich. Und das meine ich wortwörtlich. NIS2 verlangt auf EU-Ebene ausdrücklich, dass die obere Führungsebene Verantwortung für Cybersicherheit trägt. Das deutsche NIS2UmsuCG konkretisiert das in § 38 BSIG: Leitungsorgane – also Geschäftsführer, Vorstände, teils auch Aufsichtsräte – sind verpflichtet, Risikomanagement- und Sicherheitsmaßnahmen einzuführen und zu überwachen.

Verletzen sie diese Pflichten, droht persönliche zivilrechtliche Haftung mit dem Privatvermögen. Das NIS2UmsuCG sieht vor, dass das Unternehmen Regress gegen die Geschäftsleitung nehmen kann, wenn deren Pflichtverletzung kausal für den entstandenen Schaden war. Das Unternehmen kann die Geschäftsleitung dabei nicht einfach freistellen – die persönliche Haftung lässt sich vertraglich nicht wegdefinieren.

Wenig überraschend: Die Reaktionen in Geschäftsführerkreisen auf diesen Punkt sind gemischt. Die einen nehmen das Thema endlich ernst. Die anderen schieben es auf die IT-Abteilung und hoffen auf das Beste. Letzteres ist eine kostspielige Strategie. Ich halte die persönliche Haftungskomponente für den eigentlichen Game-Changer von NIS2 – nicht die Bußgeldobergrenzen für das Unternehmen, sondern die direkte Durchgriffsmöglichkeit auf das Privatvermögen der Verantwortlichen.

Wer noch im Visier ist: CISO und DSB

Die Haftungsfrage beschränkt sich nicht auf den Geschäftsführer. Chief Information Security Officers und Datenschutzbeauftragte geraten in den Fokus, wenn ihre Berichte an die Geschäftsleitung unvollständig waren, Warnungen ignoriert wurden oder Governance-Lücken nicht eskaliert wurden. Die zivilrechtliche Haftungskette kann also mehrere Positionen gleichzeitig treffen. Wer als CISO formell Risiken gemeldet hat, hat zumindest Dokumentation auf seiner Seite. Wer das nicht hat, steht vor einem ernsthaften Problem.

Das Versicherungsproblem: D&O ist kein Freifahrtschein

Die naheliegende Reaktion auf persönliche Haftungsrisiken: D&O-Versicherung abschließen und entspannt zurücklehnen. Das funktioniert so nicht. D&O-Policen knüpfen an die Einhaltung von Sorgfaltspflichten. Wer als Geschäftsführer nachweislich keine Risikomanagementmaßnahmen eingeführt, keine Berichte abgefordert und keine Schulungen absolviert hat, riskiert, dass die Versicherung im Schadensfall die Deckung verweigert – wegen grober Fahrlässigkeit oder bewusster Pflichtverletzung. Laut einer Erhebung des Versicherungsmagazins haben bisher nur rund 11.500 Unternehmen ihre NIS2-Pflichten erfüllt – was den Kreis der potenziell ungedeckten Haftungsfälle erheblich groß macht.

Cyberversicherungen decken typischerweise operative Schäden durch Angriffe – Forensikkosten, Betriebsunterbrechung, Benachrichtigungskosten. Regulatorische Bußgelder gegen das Unternehmen und persönliche Haftungsansprüche gegen die Geschäftsleitung fallen in andere Kategorien. Wer seinen Versicherungsschutz nicht konkret auf NIS2-Szenarien hin überprüft hat, tappt im Dunkeln.

Was Versicherungsnehmer jetzt konkret prüfen sollten

Sinnvoll ist eine gezielte Prüfung bestehender Policen in drei Richtungen: Erstens, ob die D&O-Police Pflichtverletzungen im Bereich Cybersecurity-Governance ausdrücklich einschließt oder ausschließt. Zweitens, ob eine bestehende Cyberpolice explizit regulatorische Bußgelder abdeckt – viele tun das nicht oder nur bis zu einer Sublimite. Drittens, ob eine sogenannte Managerhaftungsklausel für NIS2-spezifische Szenarien Anwendung findet. Diese Prüfung ist kein einmaliger Akt: Da sich Behördenpraxis und Versicherungsmarkt parallel entwickeln, sollten Policen jährlich auf NIS2-Relevanz hin bewertet werden. Versicherungsmakler mit Spezialisierung auf Cyber- und Management-Haftpflicht können hier gezielt beraten – wobei der Abschluss einer Police die interne Compliance-Arbeit nicht ersetzt, sondern nur ergänzt.

Governance-Lücken als unterschätztes Bußgeldrisiko

Brisant ist, was viele Unternehmen übersehen: Nicht der spektakuläre Ransomware-Angriff ist der wahrscheinlichste Auslöser für NIS2-Bußgelder, sondern strukturelle Governance-Lücken. Fehlende Schulungsnachweise für die Leitungsebene. Keine dokumentierten Verantwortlichkeiten für Cybersicherheit. Kein nachweisbares Incident-Response-Verfahren. Keine regelmäßigen Risikoberichte an den Vorstand.

Das BSI und andere Aufsichtsbehörden werden bei Prüfungen genau diese Dokumentation verlangen. Wer sie nicht vorlegen kann, hat ein Problem – unabhängig davon, ob tatsächlich ein Sicherheitsvorfall stattgefunden hat. Der VDE weist in seiner NIS2-Analyse ausdrücklich darauf hin, dass die Nachweispflicht für Sicherheitsmaßnahmen ein eigenständiger Compliance-Aspekt ist – und kein Nebenaspekt.

Praktisch bedeutet das: Ein Unternehmen, das technisch ordentlich aufgestellt ist, aber keine Dokumentation hat, kann trotzdem ein Bußgeld kassieren. Und umgekehrt schützt sorgfältige Dokumentation zumindest davor, im obersten Bußgeldrahmen zu landen – Kooperationsbereitschaft und nachgewiesene Präventionsmaßnahmen sind explizite Bemessungskriterien.

Compliance-Strategien, die tatsächlich schützen

Der Instinkt vieler Unternehmen ist, NIS2-Compliance als Projekt zu behandeln: einmalige Bewertung, Maßnahmenplan, Abschluss. Das greift zu kurz. NIS2 fordert einen kontinuierlichen Prozess, der in die Governance des Unternehmens eingebettet ist.

Was Geschäftsführer konkret tun müssen

Erstens: Die Einordnung klären. Bin ich besonders wichtige oder wichtige Einrichtung nach §§ 28 ff. BSIG? Das hängt von Branche, Mitarbeiterzahl und Umsatz ab. Viele mittelständische Unternehmen fallen erstmals unter NIS2 – auch außerhalb der klassischen KRITIS-Sektoren wie Energie oder Wasser. Cloud-Dienste, Rechenzentren, digitale Infrastruktur, Post- und Kurierdienste, Hersteller kritischer Produkte: Der Anwendungsbereich ist deutlich weiter als die alte NIS-Richtlinie.

Zweitens: Registrierung beim BSI. Das ist keine Option, sondern Pflicht – und eine Pflichtverletzung mit eigenem Bußgeldtatbestand. Fristen gibt es kaum: Das NIS2UmsuCG sieht keine langen Übergangsfristen für Kernpflichten vor.

Drittens: Risikomanagement nach § 30 BSIG aufbauen und dokumentieren. Das schließt Risikoanalysen, Sicherheitsrichtlinien, Zugriffskonzepte, Backup-Strategien, Business-Continuity-Pläne und regelmäßige Überprüfungen ein. Frameworks wie ISO 27001 oder BSI IT-Grundschutz liefern dafür eine bewährte Struktur.

Viertens: Incident-Response-Prozesse etablieren, die die Meldefristen einhalten können. 24 Stunden für die Erstmeldung ist sportlich – wenn intern erst drei Eskalationsstufen durchlaufen werden müssen, bevor jemand ans BSI denkt, ist die Frist bereits gerissen.

Fünftens, und das ist der Punkt, den die meisten unterschätzen: Schulungsnachweise für die Leitungsebene. NIS2 schreibt ausdrücklich vor, dass sich Führungskräfte in Cybersicherheitsthemen fortbilden. Wer das nicht dokumentiert, fehlt ein Beweisstück bei der Frage, ob die Sorgfaltspflicht erfüllt wurde.

Gegenargument: Ist NIS2-Compliance für KMU realistisch?

An dieser Stelle ist ein Gegenargument berechtigt: Viele mittelständische Unternehmen verfügen weder über interne IT-Security-Teams noch über die finanziellen Mittel, die eine vollständige NIS2-Compliance auf Anhieb erfordert. Ressourcenknappheit ist real. Dennoch greift das Argument als Abwehrreflex zu kurz, weil das Gesetz Verhältnismäßigkeit durchaus kennt: Behörden berücksichtigen bei der Bemessung die Größe und wirtschaftliche Leistungsfähigkeit der betroffenen Einrichtung. Ein Unternehmen mit 60 Mitarbeitern wird nicht an denselben absoluten Maßstäben gemessen wie ein Konzern mit 5.000 Beschäftigten.

Was Behörden dagegen nicht tolerieren werden, ist nachweisliche Untätigkeit. Der Unterschied liegt im Nachweis des guten Willens: Wer beginnt, ein Risikomanagement aufzubauen, erste Schulungen dokumentiert und sich beim BSI registriert, steht bei einer Prüfung deutlich besser da als ein Unternehmen, das schlicht gar nichts unternommen hat. Für KMU empfiehlt sich ein pragmatischer Einstieg: Zunächst die Einordnung als wichtige oder besonders wichtige Einrichtung klären, dann Registrierung durchführen, und anschließend schrittweise ein nachweisbares Risikomanagement aufbauen – auch wenn es zunächst nur ein Rahmenwerk ist, das fortlaufend verfeinert wird. Die Digitalisierung von Compliance-Prozessen, wie sie etwa öffentliche Investitionen in digitale Infrastruktur antreiben, kann auch für Unternehmen neue Wege zu kostengünstigeren Compliance-Lösungen eröffnen.

Erste Schwerpunktkontrollen: Was im Juni 2026 auf dem Tisch liegt

Die Diskussionen in der Fachpresse und Verbandskommunikation im Juni 2026 kreisen um ein Thema: Behörden kündigen an, die NIS2-Umsetzung gezielt zu prüfen. Das bedeutet nicht, dass morgen Bußgeldbescheide flattern. Es bedeutet, dass die Phase des „irgendwie wird schon nichts passieren“ vorbei ist. Erste exemplarische Verfahren – analog zur frühen DSGVO-Praxis – sind das wahrscheinliche Szenario. Und exemplarische Verfahren wählen Behörden gerne dort aus, wo der Signalwert hoch ist: systematische Verstöße, klare Nachweislage, branchenweite Strahlkraft.

Das Risiko sitzt nicht bei Unternehmen, die nachweislich investiert haben und dokumentieren. Es sitzt bei denen, die NIS2 als Bürokratieproblem ihrer IT-Abteilung behandeln – und bei Geschäftsführern, die glauben, dass persönliche Haftung schon irgendwie nicht sie treffen wird. Laut VDE-Einschätzung ist die Governance-Verantwortung der Leitungsebene dabei keine interpretierbare Grauzone, sondern expliziter Gesetzesinhalt.

Ich sage es direkt: Die Kombination aus 10-Millionen-Bußgeld für das Unternehmen, persönlicher Haftung für den Geschäftsführer und einer D&O-Versicherung, die im Zweifelsfall nicht zahlt, ist kein theoretisches Gedankenspiel. Das ist der Worst Case, der bei konsequenter Behördenpraxis eintreten kann – und der sich durch nachweisbare Governance konkret reduzieren lässt.

Was bleibt?

NIS2-Bußgelder sind Obergrenzen. Erste Verfahren werden zeigen, wo sich die tatsächliche Behördenpraxis einpendelt. Aber persönliche Haftung von Geschäftsführern ist kein Ermessensspielraum – sie ist im Gesetz verankert. Die entscheidende Frage, die jede Führungskraft jetzt beantworten sollte: Könnten Sie heute einem BSI-Prüfer Ihre Risikomanagementmaßnahmen, Ihre Meldeprozesskette und Ihre Schulungsnachweise auf den Tisch legen – oder würden Sie in der Schublade wühlen und nichts finden?