Wie werden NIS2-Bußgelder berechnet?

Die Berechnung folgt dem höheren Wert aus einem festen Höchstbetrag und einem Prozentsatz des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres. Bei Konzernen ist damit regelmäßig nicht nur der deutsche Umsatz, sondern der globale Gruppenumsatz relevant.

NIS2 Bußgelder — Bis 10 Mio EUR bei Verstößen (2026)

Q: Können Geschäftsführer persönlich für NIS2-Verstöße haftbar gemacht werden?

Ja. Neben dem Unternehmensbußgeld kann die Geschäftsleitung persönlich in die Haftung geraten, wenn sie ihre Organisations-, Überwachungs- und Schulungspflichten verletzt. Maßgeblich sind in Deutschland insbesondere § 38 BSIG sowie die allgemeinen Organpflichten aus § 43 GmbHG und § 93 AktG.

Q: Kann ein Unternehmen gleichzeitig NIS2- und DSGVO-Bußgelder erhalten?

Ja. Wenn ein Sicherheitsvorfall sowohl NIS2-Pflichten als auch Datenschutzpflichten verletzt, sind parallele Verfahren möglich. Typisch ist der Fall eines Ransomware-Angriffs mit verspäteter NIS2-Meldung und gleichzeitig unzureichenden technischen Schutzmaßnahmen nach Art. 32 DSGVO.

Q: Welche Behörde verhängt NIS2-Bußgelder in Deutschland?

In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, die zentrale Aufsichtsbehörde für die NIS2-Umsetzung im BSIG. Das BSI kann Prüfungen durchführen, Anordnungen erlassen und bei Ordnungswidrigkeiten Bußgeldverfahren einleiten.

Q: Ab wann werden NIS2-Bußgelder in Deutschland verhängt?

Die deutsche NIS2-Umsetzung im BSIG gilt seit dem 6. Dezember 2025. Das BSI-Registrierungsportal öffnete am 6. Januar 2026, die erste Registrierungsfrist endete am 6. März 2026. Seit diesem Zeitpunkt besteht ein reales Bußgeld- und Aufsichtsrisiko; erste sichtbare Verfahren werden ab 2026 erwartet.

NIS2 Bußgelder und Strafen — Was droht bei Verstößen?

NIS2 Bußgelder betragen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für wesentliche Einrichtungen und bis zu 7 Millionen Euro oder 1,4 Prozent für wichtige Einrichtungen. Grundlage ist Art. 34 der Richtlinie (EU) 2022/2555; in Deutschland gilt die verschärfte Sanktionslogik seit dem 6. Dezember 2025 über das BSIG.

Letzte Aktualisierung: 23. März 2026

Ein NIS2 Bußgeld ist damit kein theoretisches Risiko mehr, sondern Teil eines realen Aufsichtsregimes mit Registrierungspflicht, Meldefristen, Auditbefugnissen und persönlicher Leitungsverantwortung. Besonders relevant ist das für Unternehmen, die ihre NIS2-Betroffenheit prüfen müssen, die Grundlagen in Was ist die NIS2-Richtlinie? nachlesen wollen oder die verschärfte Organperspektive im Beitrag zur NIS2-Haftung der Geschäftsführer vertiefen möchten.

NIS2 Bußgelder im Überblick — Was droht bei Verstößen?

NIS2 Bußgelder sind in Europa bewusst so ausgestaltet, dass größere Unternehmen nicht mit symbolischen Sanktionen davonkommen. Gemäß Art. 34 Abs. 4 und 5 der Richtlinie (EU) 2022/2555 liegt das Höchstmaß für wesentliche Einrichtungen bei 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, für wichtige Einrichtungen bei 7 Millionen Euro oder 1,4 Prozent. Maßgeblich ist jeweils der höhere Betrag. Genau dieser Mechanismus macht das Thema für Konzerne und große Mittelständler operativ relevant.

Für Deutschland ist entscheidend, dass die nationale Umsetzung über das neue BSIG seit dem 6. Dezember 2025 gilt. Seit dem 6. Januar 2026 steht das BSI-Registrierungsportal offen, und die erste gesetzliche Registrierungsfrist lief am 6. März 2026 ab. Unternehmen, die bis zu diesem Datum weder ihre Betroffenheit sauber geprüft noch ihre Registrierung vorgenommen haben, bewegen sich seitdem in einem deutlich schärferen Haftungs- und Aufsichtsfenster. Das betrifft nicht nur klassische KRITIS-Betreiber, sondern deutlich mehr Sektoren als vor NIS2.

Ein NIS2 Bußgeld steht außerdem nie isoliert. Das BSI kann zunächst Auflagen, Audits, Nachweise und verbindliche Umsetzungsanordnungen verlangen. Kommt das Unternehmen diesen Pflichten nicht oder nur verspätet nach, verschärft sich die Lage. In der Praxis ist deshalb nicht nur die maximale Geldbuße relevant, sondern die Kombination aus Bußgeldrisiko, Reputationsschaden, Managementhaftung, möglichen Auswirkungen auf Versicherbarkeit und zusätzlichem Datenschutzverfahren.

Für die Geschäftsleitung ist besonders wichtig: NIS2 sanktioniert nicht erst den großen Cybervorfall. Bereits Organisationsmängel wie fehlende Risikoanalysen, unklare Meldewege oder eine nicht erfolgte Registrierung können als eigenständige Pflichtverletzungen relevant werden. Wer das Regime noch nicht eingeordnet hat, sollte zuerst die Grundlagen in Was ist die NIS2-Richtlinie? klären und danach unmittelbar die operative Betroffenheit prüfen.

Bußgeldrahmen nach Unternehmenskategorie

Der Bußgeldrahmen nach NIS2 hängt direkt davon ab, ob Ihr Unternehmen als wesentliche oder wichtige Einrichtung eingestuft wird. Diese Unterscheidung ist keine Formalie, weil daran sowohl die Aufsichtsdichte als auch die Höhe möglicher Sanktionen anknüpfen. Für die Berechnung gilt nicht der niedrigere, sondern ausdrücklich der höhere Betrag aus Festbetrag und Umsatzprozentsatz.

Kategorie	Fester Höchstbetrag	Umsatzbezogener Höchstbetrag	Welche Obergrenze gilt?	Beispiel bei 50 Mio EUR Jahresumsatz
Wesentliche Einrichtung	10 Mio EUR	2 % des weltweiten Jahresumsatzes	Der höhere Betrag	10 Mio EUR, weil 2 % nur 1 Mio EUR wären
Wichtige Einrichtung	7 Mio EUR	1,4 % des weltweiten Jahresumsatzes	Der höhere Betrag	7 Mio EUR, weil 1,4 % nur 700.000 EUR wären

Bei einem Unternehmen mit 50 Millionen Euro Jahresumsatz zeigt sich die Logik sofort: Für eine wesentliche Einrichtung übersteigt der fixe Höchstbetrag von 10 Millionen Euro den Prozentwert von 1 Million Euro deutlich. Für eine wichtige Einrichtung ist es ähnlich; dort läge der Prozentwert nur bei 700.000 Euro, sodass der Rahmen von 7 Millionen Euro greift. Erst bei sehr großen globalen Umsätzen kippt die Rechnung zugunsten der prozentualen Obergrenze.

Besonders relevant ist dabei, dass sich die Richtlinie auf den weltweiten Jahresumsatz bezieht. Bei Unternehmensgruppen kann damit der Konzernumsatz entscheidend sein und nicht nur der Umsatz einer einzelnen deutschen Tochtergesellschaft. Genau deshalb ist die Kategorisierung keine rein juristische Frage, sondern eine finanzielle Risikofrage für CFO, Geschäftsführung und Aufsichtsorgane.

Wer unsicher ist, ob das eigene Unternehmen als wesentlich oder wichtig einzuordnen ist, sollte die Einstufung nicht aus Bauchgefühl treffen. Der sinnvollste erste Schritt ist eine strukturierte Prüfung über NIS2-Betroffenheit prüfen. Denn ein falsch eingeordnetes Unternehmen riskiert nicht nur einen fehlerhaften Compliance-Plan, sondern auch eine deutlich zu niedrige Risikovorsorge im Budget und in der Berichterstattung an die Geschäftsleitung.

Persönliche Haftung der Geschäftsleitung

NIS2 verschiebt die Verantwortung ausdrücklich auf die Leitungsebene. Art. 20 der Richtlinie (EU) 2022/2555 verlangt, dass Leitungsorgane die Umsetzung der Cybersicherheitsmaßnahmen billigen, ihre Durchführung überwachen und für Verstöße verantwortlich gemacht werden können. In Deutschland wird diese Logik durch § 38 BSIG konkretisiert. Die Kernaussage ist klar: Geschäftsleiter können sich nicht damit entlasten, IT-Sicherheit vollständig an die Fachabteilung delegiert zu haben.

Für GmbH-Geschäftsführer kommt zusätzlich § 43 GmbHG ins Spiel, für Vorstände § 93 AktG. Beide Normen verpflichten zur Sorgfalt eines ordentlichen Geschäftsmanns beziehungsweise eines ordentlichen und gewissenhaften Geschäftsleiters. Praktisch heißt das: Wer erhebliche NIS2-Risiken kennt oder kennen müsste, muss für angemessene Organisation, Kontrolle, Auswahl geeigneter Verantwortlicher und belastbare Nachweise sorgen. Unterbleibt das, drohen nicht nur Bußgelder gegen das Unternehmen, sondern auch Regress- und Innenhaftungsrisiken gegen die Geschäftsleitung.

In der Haftungspraxis ist besonders unangenehm, dass die Geschäftsleitung ihre Entlastung aktiv darlegen muss. Genau hier wirkt die bekannte Beweislastumkehr aus Organhaftungsfällen: Nicht das Unternehmen muss lückenlos beweisen, dass der Geschäftsführer schlecht gearbeitet hat, sondern der Geschäftsführer muss regelmäßig zeigen, dass er mit der gebotenen Sorgfalt gehandelt, organisiert, überwacht und dokumentiert hat. Fehlen Protokolle, Schulungsnachweise, Risikoberichte oder Freigabeentscheidungen, wird diese Verteidigung deutlich schwerer.

Deshalb ist persönliche Haftung bei NIS2 kein Randthema für Juristen, sondern eine Führungsfrage. Die Geschäftsleitung sollte nachvollziehbar dokumentieren, dass Betroffenheit, Risikoanalyse, Maßnahmenplan, Meldeprozess und Schulung tatsächlich auf Organebene behandelt wurden. Die ausführliche Einordnung dazu finden Sie im Detailbeitrag zur NIS2-Haftung der Geschäftsführer sowie ergänzend zur Frage, wie sich eine NIS2 D&O-Versicherung und Cyberdeckung praktisch einordnen lässt. Versicherung kann Nebenkosten und Verteidigung abfedern, entbindet aber nicht von den eigenen Organisationspflichten.

Welche Verstöße werden bestraft?

NIS2 Bußgelder knüpfen nicht nur an eingetretene Schäden an, sondern bereits an Pflichtverletzungen im Sicherheitsmanagement. Maßgeblich sind in der Richtlinie vor allem Art. 20, Art. 21 und Art. 23 sowie in Deutschland die entsprechenden BSIG-Pflichten zu Registrierung, Risikomanagement, Meldung und Nachweis. In der Praxis lassen sich die wichtigsten Tatbestände in fünf Gruppen gliedern.

Nicht-Registrierung oder verspätete Registrierung beim BSI. Seit Öffnung des Portals am 6. Januar 2026 mussten betroffene Einrichtungen ihre Registrierung fristgerecht vornehmen; die erste Frist endete am 6. März 2026. Wer diese Pflicht ignoriert, signalisiert der Aufsicht bereits ein grundlegendes Organisationsdefizit.
Verspätete oder unvollständige Vorfallmeldung. Art. 23 der Richtlinie sieht ein mehrstufiges Meldesystem vor. Unternehmen müssen schwerwiegende Sicherheitsvorfälle fristgebunden eskalieren. Wer Meldeketten nicht vorbereitet hat, riskiert genau in der Krise den Pflichtverstoß. Die operative Logik dazu erläutert der Beitrag zur NIS2-Meldepflicht in 24 Stunden.
Fehlende oder unzureichende Risikoanalyse. Art. 21 verlangt ein Risikomanagement mit angemessenen technischen, operativen und organisatorischen Maßnahmen. Ohne dokumentierte Risikoanalyse fehlt die Grundlage, um Prioritäten, Budget und Verantwortlichkeiten nachvollziehbar zu begründen.
Mangelnde Schulung und fehlende Governance der Leitungsebene. Art. 20 verpflichtet Leitungsorgane ausdrücklich, Schulungen zu absolvieren und die Risiken zu verstehen. Wenn Geschäftsleitung oder Schlüsselrollen ohne belastbare Weiterbildung handeln, kann das als struktureller Organisationsmangel gewertet werden.
Fehlende Maßnahmen nach Art. 21. Dazu gehören unter anderem Incident Handling, Business Continuity, Backup-Management, Supply-Chain-Sicherheit, sichere Beschaffung, Zugriffskontrolle, Verschlüsselung, Schwachstellenmanagement und der angemessene Einsatz von Multifaktor-Authentifizierung.

Wichtig ist, dass diese Verstöße häufig zusammen auftreten. Ein Unternehmen, das seine Betroffenheit nicht prüft, registriert sich typischerweise auch nicht rechtzeitig. Wer nicht registriert ist, hat häufig keinen belastbaren Incident-Prozess. Wer keinen Incident-Prozess hat, meldet Vorfälle zu spät. Und wer all das nicht dokumentiert, kann der Geschäftsleitung später kaum einen Entlastungsbeweis liefern.

Ein NIS2 Bußgeld entsteht daher selten durch einen einzelnen isolierten Fehler. Häufig baut die Behörde eine Kette aus Versäumnissen auf: fehlende Governance, fehlende Risikoanalyse, verspätete Meldung, unzureichende technische Maßnahmen und schwache Managementaufsicht. Genau das macht frühzeitige Umsetzung wirtschaftlicher als spätere Verteidigung. Wenn Sie die Grundlagen noch nicht sauber verankert haben, sollten Sie erst die NIS2-Betroffenheit prüfen, dann die NIS2-Meldepflicht in 24 Stunden operationalisieren und anschließend die Schulungs- und Leitungsseite verbindlich festziehen.

NIS2 Bußgelder vs. DSGVO Bußgelder — Ein Vergleich

NIS2 und DSGVO verfolgen unterschiedliche Schutzrichtungen, können aber im selben Vorfall nebeneinander greifen. NIS2 adressiert Cybersicherheits- und Resilienzpflichten betroffener Einrichtungen; die DSGVO sanktioniert Datenschutzverstöße, insbesondere unzureichende technische und organisatorische Maßnahmen nach Art. 32 DSGVO. Für Unternehmen ist entscheidend, dass ein Sicherheitsvorfall deshalb zwei Verfahren und zwei Bußgeldrisiken auslösen kann.

Vergleichspunkt	NIS2 / BSIG	DSGVO
Rechtsgrundlage	Richtlinie (EU) 2022/2555, in Deutschland BSIG	Art. 83 DSGVO
Behörde	BSI	BfDI oder Landesdatenschutzbehörden
Höchstbetrag	10 Mio EUR oder 2 % / 7 Mio EUR oder 1,4 %	Bis 20 Mio EUR oder 4 % des weltweiten Jahresumsatzes
Schutzrichtung	Cybersicherheit, Resilienz, Betriebskontinuität	Schutz personenbezogener Daten
Typischer Auslöser	fehlende Registrierung, Meldepflichtverstoß, mangelnde Maßnahmen	unzureichende TOMs, Datenschutzverletzung, verspätete Meldung

Ein praxisnahes Beispiel ist ein Ransomware-Angriff mit Datenabfluss. Wenn ein betroffenes NIS2-Unternehmen seine Systeme nicht ausreichend abgesichert, die Risikoanalyse vernachlässigt und den Vorfall zu spät an das BSI meldet, steht ein NIS2-Verfahren im Raum. Werden zugleich personenbezogene Daten kompromittiert und zeigen sich Defizite bei Zugriffsschutz, Authentifizierung oder Incident Response, kann zusätzlich ein DSGVO-Verfahren folgen. Die Verfahren sind rechtlich getrennt; eine Kumulation ist daher möglich.

Dass Datenschutzbehörden hohe Bußgelder wegen Sicherheitsmängeln tatsächlich verhängen, zeigt in Deutschland etwa die Vodafone-Entscheidung des BfDI aus dem Juni 2025 mit insgesamt 45 Millionen Euro wegen Defiziten bei Authentifizierung und Drittparteienkontrolle. Für NIS2 ist die öffentliche Fallpraxis Anfang 2026 noch jung, aber die Richtung ist dieselbe: Wer technische und organisatorische Mindeststandards nicht steuert, riskiert erhebliche Sanktionen. Unternehmen sollten daher Cyber-Compliance und Datenschutz-Compliance nicht als getrennte Silos behandeln.

Wie das BSI Bußgelder verhängt — Aufsicht und Durchsetzung

Das BSI ist in Deutschland die zentrale Aufsichtsbehörde für die NIS2-Umsetzung im BSIG. Seine Rolle erschöpft sich nicht darin, Bußgelder zu verteilen. Das Regime ist stufenförmig aufgebaut: Zunächst stehen Registrierung, Informationsanforderungen, Prüfungen, Audits und verbindliche Anordnungen im Vordergrund. Erst wenn Verstöße fortbestehen oder besonders gravierend sind, wird das Bußgeldverfahren zur nächsten Eskalationsstufe.

Für Unternehmen ist wichtig zu verstehen, welche Instrumente das BSI nutzen kann. Die Behörde darf Nachweise anfordern, Audits anordnen, Sicherheitsdokumentationen prüfen, Abhilfemaßnahmen verlangen und Fristen setzen. Bei wesentlichen Einrichtungen ist die Aufsicht regelmäßig intensiver als bei wichtigen Einrichtungen. Wer auf Anfragen nicht reagiert oder nur unvollständig reagiert, verschärft die eigene Lage oft schneller als durch den ursprünglichen Mangel selbst.

Nach dem Research-Stand vom 23. März 2026 ist die sichtbare NIS2-Bußgeldpraxis in Deutschland noch im Aufbau, weil die zentrale Registrierungsfrist erst am 6. März 2026 abgelaufen ist. Erwartet werden zunächst verstärkte Prüfungen und Audits ab dem zweiten und dritten Quartal 2026, anschließend verbindliche Maßnahmen und erst danach die ersten öffentlich wahrnehmbaren Bußgeldfälle. Das bedeutet aber nicht, dass bis dahin kein Risiko besteht. Seit Inkrafttreten des BSIG am 6. Dezember 2025 und spätestens seit Ablauf der Registrierungsfrist ist das Aufsichtsregime aktiv.

Praktisch sollten Unternehmen deshalb nicht auf den ersten großen Präzedenzfall warten. Wer erst reagiert, wenn das BSI anfragt, ist regelmäßig zu spät. Sinnvoller ist ein interner Vorlauf mit klarer Zuständigkeit, dokumentiertem Sicherheitsprogramm, sauberem Meldeweg und Schulung der Geschäftsleitung. Genau dafür ist der Schritt von Analyse zu Umsetzung entscheidend. Wenn Sie diesen Management-Teil strukturiert angehen wollen, ist die NIS2-Schulung der schnellste nächste Baustein.

So vermeiden Sie NIS2-Bußgelder — 5 Sofortmaßnahmen

NIS2 Bußgelder lassen sich am zuverlässigsten vermeiden, wenn Unternehmen die offensichtlichen Organisationslücken sofort schließen. Die fünf wichtigsten Sofortmaßnahmen sind überschaubar, aber sie müssen verbindlich umgesetzt und dokumentiert werden.

Betroffenheit prüfen. Klären Sie anhand von Sektor, Unternehmensgröße, Rolle und Konzernstruktur, ob Ihr Unternehmen als wesentliche oder wichtige Einrichtung einzustufen ist. Ohne diese Einordnung bleibt jeder weitere Schritt unscharf.
BSI-Registrierung absichern. Wenn Ihr Unternehmen betroffen ist, müssen Registrierungsdaten aktuell und vollständig vorliegen. Nach dem 6. März 2026 ist eine unterlassene Registrierung ein unnötiges Einfallstor für Aufsicht.
Risikomanagement dokumentieren. Führen Sie eine belastbare Risikoanalyse mit priorisierten Maßnahmen durch. Art. 21 verlangt keinen bloßen Maßnahmenkatalog, sondern ein angemessenes, nachvollziehbares Sicherheitsmanagement.
Meldeprozesse testen. Definieren Sie Eskalationswege, Ansprechpartner, Entscheidungsrechte und Fristen. Ein Vorfall ist der schlechteste Zeitpunkt, um Meldelogik erst zu erfinden.
Geschäftsleitung schulen. Organverantwortung lässt sich nicht wegdelegieren. Die Leitungsebene muss Pflichten, Risiken und Eskalationslogik verstehen und nachweisbar behandelt haben.

Der Nutzen dieser fünf Schritte ist unmittelbar: Sie reduzieren nicht nur das Bußgeldrisiko, sondern verbessern auch Verteidigungsfähigkeit, Versicherbarkeit und Managemententlastung. Wenn Sie statt Einzelmaßnahmen einen sauberen Einstieg suchen, Jetzt NIS2-Schulung starten. Sie schafft ein gemeinsames Verständnis in Geschäftsleitung, Compliance und operativen Teams und ist der pragmatischste Weg, um aus NIS2-Anspannung ein belastbares Programm zu machen.

FAQ (Schema-relevant)

Wie hoch sind die Bußgelder bei NIS2-Verstößen?

Gemäß Art. 34 Abs. 4 und 5 der Richtlinie (EU) 2022/2555 liegen die Höchstbußgelder für wesentliche Einrichtungen bei 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Für wichtige Einrichtungen gelten bis zu 7 Millionen Euro oder 1,4 Prozent. Maßgeblich ist jeweils der höhere Betrag.

Können Geschäftsführer persönlich für NIS2-Verstöße haftbar gemacht werden?

Ja. Neben dem Unternehmensbußgeld bleibt die persönliche Organhaftung relevant. Art. 20 NIS2 und § 38 BSIG verankern Leitungsverantwortung ausdrücklich; hinzu kommen § 43 GmbHG und § 93 AktG. Wer keine angemessene Organisation, Kontrolle und Dokumentation sicherstellt, kann intern und in bestimmten Konstellationen auch persönlich in Anspruch genommen werden.

Kann ein Unternehmen gleichzeitig NIS2- und DSGVO-Bußgelder erhalten?

Ja. Bei einem Cybervorfall mit personenbezogenen Daten sind parallele Verfahren möglich. Das gilt etwa, wenn ein Unternehmen einerseits NIS2-Melde- oder Sicherheitsanforderungen verletzt und andererseits gegen Art. 32 oder Art. 33 DSGVO verstößt. NIS2 und DSGVO schützen unterschiedliche Rechtsgüter, daher schließen sich Sanktionen nicht aus.

Welche Behörde verhängt NIS2-Bußgelder in Deutschland?

Das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, ist die zentrale Behörde für Aufsicht und Durchsetzung im deutschen NIS2-Regime. Das BSI kann Informationen anfordern, Prüfungen durchführen, Anordnungen erlassen und auf dieser Grundlage Bußgeldverfahren betreiben.

Ab wann werden NIS2-Bußgelder in Deutschland verhängt?

Die deutsche Umsetzung im BSIG gilt seit dem 6. Dezember 2025. Das Registrierungsportal des BSI startete am 6. Januar 2026, die erste Frist endete am 6. März 2026. Vor diesem Inkrafttreten gab es in Deutschland kein NIS2-Bußgeldregime; seit diesen Daten besteht jedoch ein reales Aufsichts- und Sanktionsrisiko.

Was passiert, wenn man NIS2 nicht umsetzt?

Wer NIS2 nicht umsetzt, riskiert nicht nur ein Bußgeld. Typisch sind zunächst Auflagen, Prüfungen, Nachforderungen, Auditdruck und Eskalation durch das BSI. Kommen Datenschutzverstöße, Vertragsverletzungen oder Ausfälle hinzu, steigen Schaden, Haftung und Reputationsdruck regelmäßig deutlich über das eigentliche Bußgeld hinaus.

NIS2 Bußgelder und Strafen — Was droht bei Verstößen? [2026]