NIS2 Strafen Deutschland — Bußgelder bis 10 Mio €

Q: Wie hoch sind die NIS2-Bußgelder in Deutschland?

Für wesentliche Einrichtungen sieht der deutsche Bußgeldrahmen nach §65 BSIG-E bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes vor. Für wichtige Einrichtungen liegen die Obergrenzen bei bis zu 7 Mio. EUR oder 1,4 % Umsatz. Bei weniger schweren Verstößen greifen niedrigere Stufen mit 500.000 EUR oder 100.000 EUR.

Q: Haftet der Geschäftsführer persönlich bei NIS2-Verstößen?

Ja, §38 BSIG-E ordnet ausdrücklich Leitungs- und Überwachungspflichten der Geschäftsleitung an. Wer Sicherheitsmaßnahmen nicht billigt, deren Umsetzung nicht überwacht oder erkennbare Mängel ignoriert, verschlechtert seine persönliche Haftungsposition erheblich und riskiert Organhaftung nach allgemeinen gesellschaftsrechtlichen Maßstäben.

Q: Was passiert, wenn ich NIS2 nicht umsetze?

Typischerweise folgt nicht sofort nur ein Bußgeld. Das BSI kann zunächst Auskünfte verlangen, Prüfungen durchführen, Mängelberichte anfordern, verbindliche Anordnungen erlassen und Fristen setzen. Werden diese Pflichten missachtet oder bleiben erhebliche Mängel bestehen, steigt das Risiko von Bußgeldern, öffentlicher Benennung und weiterer Aufsicht deutlich an.

Q: Gibt es Beispiele für NIS2-Bußgelder?

Konkrete deutsche NIS2-Bußgeldentscheidungen sind 2026 noch kaum veröffentlicht. Realistisch lassen sich die Größenordnungen aber mit dem gesetzlichen Rahmen berechnen: Ein Unternehmen mit 600 Mio. EUR Umsatz als wesentliche Einrichtung läge bei einer Obergrenze von 12 Mio. EUR, weil 2 % Umsatz höher sind als 10 Mio. EUR. Bei einer wichtigen Einrichtung mit 300 Mio. EUR Umsatz läge die Umsatzgrenze bei 4,2 Mio. EUR und damit unterhalb der festen 7 Mio. EUR.

Q: Kann die Geschäftsleitung bei NIS2 abberufen werden?

NIS2 selbst formuliert in Art. 34 harte Aufsichtsmaßnahmen gegen Leitungsorgane. Der deutsche Vollzug richtet sich nach dem Umsetzungsgesetz und dem Gesellschaftsrecht. Praktisch kann massives Organisationsversagen jedenfalls zu Abberufung, internen Regressansprüchen, D&O-Streit und persönlicher Haftung führen, auch wenn dies nicht automatisch bei jedem Verstoß geschieht.

Q: Sind NIS2-Bußgelder höher als DSGVO-Bußgelder?

Nein, der formale Höchstrahmen der DSGVO ist höher. Art. 83 DSGVO reicht bis 20 Mio. EUR oder 4 % Umsatz. NIS2 liegt mit 10 Mio. EUR oder 2 % bei wesentlichen Einrichtungen darunter. In der Praxis kann NIS2 aber für viele Unternehmen trotzdem gefährlicher sein, weil es direkt an Betriebsresilienz, Meldepflichten und Leitungsverantwortung anknüpft.

NIS2 Strafen in Deutschland: konkrete Bußgelder und Beispiele

Die NIS2-Richtlinie sieht Bußgelder bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes vor, wobei erstmals auch eine persönliche Haftung der Geschäftsleitung für Cybersicherheitsversäumnisse geregelt wird. Für das Keyword NIS2 Strafen Deutschland heißt das konkret: Wesentliche Einrichtungen tragen den höchsten Bußgeldrahmen, wichtige Einrichtungen folgen mit bis zu 7 Mio. EUR oder 1,4 % Umsatz, und zusätzlich verschärft §38 BSIG-E die Verantwortung der Geschäftsführung.

Letzte Aktualisierung: 22. März 2026

Für die operative Einordnung sollten Sie parallel die Beiträge zur Geschäftsführerhaftung unter NIS2, zur NIS2-Checkliste für Unternehmen und zum Status der NIS2-Umsetzung in Deutschland 2026 lesen. Wenn Sie Pflichten nicht nur juristisch verstehen, sondern intern belastbar umsetzen wollen, ist die NIS2-Schulung der passende nächste Schritt.

Der entscheidende Punkt wird in der Debatte häufig verkürzt dargestellt. NIS2 kennt nicht einfach einen pauschalen Bußgeldkatalog für jeden Cybervorfall. Die Höhe der Sanktion hängt davon ab, ob Ihr Unternehmen als wesentliche oder wichtige Einrichtung eingestuft ist, welche konkrete Pflicht verletzt wurde, ob Anordnungen des BSI ignoriert wurden und ob die Geschäftsleitung ihre Billigungs- und Überwachungspflichten nachvollziehbar erfüllt hat. Genau deshalb ist der Blick auf §65 BSIG-E und §38 BSIG-E wichtiger als allgemeine Schlagzeilen über "10 Millionen Euro Bußgeld".

Welche Bußgelder drohen unter NIS2 in Deutschland?

Unter NIS2 drohen in Deutschland Bußgelder in drei Stufen, wobei die höchste Stufe für schwere Verstöße wesentlicher und wichtiger Einrichtungen gilt. Rechtsgrundlage ist im deutschen Umsetzungsrahmen vor allem §65 BSIG-E; auf europäischer Ebene bilden Art. 34 und Art. 36 der Richtlinie (EU) 2022/2555 den Aufsichts- und Sanktionsrahmen.

Für wesentliche Einrichtungen liegt die maximale Obergrenze bei 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen sind es 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes. Diese Logik ist für große Unternehmensgruppen besonders relevant, weil nicht nur der deutsche Einzelumsatz, sondern regelmäßig der weltweite Konzernumsatz als Referenzgröße zählt.

Wichtig ist außerdem, dass NIS2 nicht nur fehlende technische Maßnahmen sanktioniert. Bußgeldrelevant werden zum Beispiel auch:

fehlende oder unzureichende Risikomanagementmaßnahmen,
mangelhafte Incident-Handling- und Meldeprozesse,
Verstöße gegen behördliche Auskunfts-, Nachweis- oder Prüfpflichten,
das Ignorieren verbindlicher Anordnungen der Aufsicht,
Organisationsmängel auf Leitungsebene.

Damit unterscheidet sich NIS2 in der praktischen Risikologik von vielen Unternehmenserwartungen. Nicht erst der große Ransomware-Fall ist gefährlich. Schon ein fehlender Meldeweg, eine nicht dokumentierte Risikoanalyse oder die verspätete Reaktion auf BSI-Anfragen kann in ein aufsichtsrechtliches Verfahren führen. Wer zusätzlich wissen möchte, wie diese Leitungsverantwortung persönlich wirkt, sollte die Seite zur NIS2-Geschäftsführerhaftung mitlesen.

Bußgeldtabelle — die drei Stufen nach §65 BSIG-E

Die drei Stufen nach §65 BSIG-E strukturieren die NIS2-Sanktionen in Deutschland nach Schwere und Pflichtverletzung. Für die Praxis ist die folgende Tabelle der schnellste Überblick:

Bußgeld-Stufe	Typische Verstöße	Wesentliche Einrichtungen	Wichtige Einrichtungen
Stufe 1	Schwere Verstöße gegen zentrale NIS2-Pflichten, insbesondere Risikomanagement, Meldepflichten oder Missachtung wesentlicher Aufsichtsmaßnahmen	bis 10 Mio. EUR oder 2 % weltweiter Jahresumsatz	bis 7 Mio. EUR oder 1,4 % weltweiter Jahresumsatz
Stufe 2	Erhebliche Pflichtverletzungen mit geringerer Schwere, etwa bei Nachweis-, Mitwirkungs- oder Organisationspflichten	bis 500.000 EUR	bis 500.000 EUR
Stufe 3	Sonstige Ordnungswidrigkeiten, formale Verstöße oder weniger gravierende Pflichtverletzungen	bis 100.000 EUR	bis 100.000 EUR

Die Tabelle zeigt den zentralen Unterschied zwischen medienwirksamer Obergrenze und tatsächlicher Bußgeldlogik. Nicht jeder Verstoß landet automatisch in Stufe 1. Die Höchstbeträge sind der äußerste Rahmen für schwere Fälle. In vielen Konstellationen wird sich die Aufsicht zuerst mit Maßnahmen, Fristsetzungen, Nachforderungen und Anordnungen befassen. Wer diese ignoriert, bewegt sich allerdings schnell von einer formal kleineren Pflichtverletzung in Richtung eines schweren Aufsichtsverstoßes.

Für Management und Compliance ist daraus eine einfache Schlussfolgerung abzuleiten: Die größte Gefahr liegt oft nicht im Erstfehler, sondern im schlecht dokumentierten Umgang damit. Wenn Ihr Unternehmen einen Mangel erkennt, ihn nicht sauber priorisiert, nicht eskaliert und gegenüber dem BSI nicht belastbar belegen kann, warum Maßnahmen angemessen waren, steigt das Sanktionsrisiko deutlich.

Die Obergrenze "je nachdem, welcher Betrag höher ist" ist ebenfalls kein Detail, sondern der Kern des finanziellen Risikos. Bei umsatzstarken Gruppen übertrifft der Prozentwert die feste Millionengrenze oft deutlich. Genau deshalb reicht es nicht, intern nur mit "10 Millionen" zu planen. Für einige Unternehmen liegt die reale Maximalexposition spürbar darüber.

Persönliche Haftung der Geschäftsführung (§38 BSIG-E)

§38 BSIG-E macht die NIS2-Compliance ausdrücklich zur Leitungsaufgabe. Die Geschäftsführung muss Sicherheitsmaßnahmen billigen, deren Umsetzung überwachen und sich regelmäßig über die Wirksamkeit des Cyberrisikomanagements informieren lassen. Das ist keine bloße Formalität, sondern eine haftungsrelevante Organisationspflicht.

Praktisch bedeutet das: Sie können Cybersicherheit nicht mehr vollständig an IT, CISO oder externe Dienstleister delegieren und anschließend so tun, als trage das Management keine Verantwortung. Delegation bleibt möglich, aber nur zusammen mit Kontrolle, Ressourcenzuweisung, Priorisierung und dokumentierter Aufsicht. Genau an dieser Stelle verschiebt NIS2 die Diskussion von "IT-Security als Fachthema" zu "Cybersecurity als Organpflicht".

Besonders relevant sind vier Leitungsfehler:

Die Geschäftsführung billigt Maßnahmen nur auf dem Papier, ohne deren Umsetzbarkeit zu prüfen.
Sie stellt kein realistisches Budget für Meldewege, Tests, Backups oder externe Unterstützung bereit.
Sie lässt sich keine belastbaren Reports zu Risiken, Vorfällen und offenen Maßnahmen vorlegen.
Sie ignoriert erkennbare Warnsignale, etwa wiederholt verschobene Maßnahmen, kritische Audit-Feststellungen oder fehlende Incident-Übungen.

NIS2 führt damit nicht automatisch eine persönliche Geldbuße gegen jeden Geschäftsführer für jeden Cybervorfall ein. Aber §38 BSIG-E verschlechtert die Verteidigungsposition massiv, wenn nach einem Vorfall sichtbar wird, dass die Leitung ihre Überwachungspflichten nicht ernst genommen hat. Hinzu kommen allgemeine gesellschaftsrechtliche Organpflichten aus GmbHG und AktG sowie mögliche Regressansprüche im Innenverhältnis.

Der Vergleich mit der DSGVO hilft hier nur begrenzt. Dort steht oft der Schutz personenbezogener Daten im Vordergrund. Unter NIS2 geht es zusätzlich um Verfügbarkeit, Integrität, Krisenfähigkeit und die Steuerung betrieblicher Resilienz. Für Geschäftsführer wird das Risiko deshalb breiter: Nicht nur der Datenabfluss, sondern auch der ungeübte Krisenprozess, die mangelhafte Lieferkettenkontrolle oder die verspätete Vorfallmeldung können haftungsrelevant werden.

Wenn Sie die persönliche Risikoperspektive vertiefen möchten, ist auch der Beitrag zur NIS2-Cyberversicherung für Geschäftsführer relevant. Gerade dort zeigt sich, dass Versicherungsschutz nie ein Ersatz für dokumentierte Governance ist.

Beispielrechnungen nach Unternehmensgröße

Die Bußgeldobergrenzen werden erst mit realen Umsatzgrößen greifbar. Die folgende Übersicht zeigt, wie sich der Rahmen nach Unternehmensgröße verändert. Maßgeblich ist jeweils die höhere Grenze aus Festbetrag oder Prozentsatz.

Unternehmensprofil	Einstufung	Weltweiter Jahresumsatz	Prozentgrenze	Relevante Maximalgrenze
Regionaler Versorger	Wesentliche Einrichtung	80 Mio. EUR	1,6 Mio. EUR	10 Mio. EUR
Mittelständischer Klinikverbund	Wesentliche Einrichtung	600 Mio. EUR	12 Mio. EUR	12 Mio. EUR
Internationaler Infrastrukturbetreiber	Wesentliche Einrichtung	3 Mrd. EUR	60 Mio. EUR	60 Mio. EUR
Größerer IT-Dienstleister	Wichtige Einrichtung	120 Mio. EUR	1,68 Mio. EUR	7 Mio. EUR
Industrieunternehmen im NIS2-Scope	Wichtige Einrichtung	300 Mio. EUR	4,2 Mio. EUR	7 Mio. EUR
Konzernnahe digitale Plattform	Wichtige Einrichtung	1 Mrd. EUR	14 Mio. EUR	14 Mio. EUR

Diese Beispielrechnungen zeigen zwei häufig übersehene Effekte. Erstens sind die festen 10 Mio. EUR beziehungsweise 7 Mio. EUR für viele mittelgroße Unternehmen der eigentliche Risikotreiber, weil die Prozentgrenze darunter bleibt. Zweitens kippt die Logik bei größeren Konzernen schnell: Dort werden aus den vermeintlichen "bis zu 10 Mio. EUR" sehr schnell 12, 14 oder 60 Mio. EUR, weil der Umsatzmaßstab greift.

Für die Praxis lohnt sich deshalb eine zweite Rechenebene: Was wäre nicht nur der absolute Höchstwert, sondern ein plausibles Bußgeld in einem realen Fall? Hier spielen Zumessungskriterien eine Rolle, etwa Schwere des Verstoßes, Dauer, Kooperation, Vorwerfbarkeit, Vorbelastungen und eingetretene Schäden. Auch wenn NIS2 hier nicht identisch mit der DSGVO funktioniert, ist der Grundmechanismus ähnlich: Die Obergrenze ist nicht die automatische Regelstrafe.

Drei typische Szenarien verdeutlichen das:

Formaler Meldefehler bei sonst solider Governance: Ein Unternehmen meldet einen erheblichen Vorfall verspätet, kann aber funktionierende Maßnahmen und kooperative Aufarbeitung nachweisen. Hier ist eher an eine niedrigere Sanktion oder zunächst an behördliche Maßnahmen zu denken.
Systematische Unterlassung zentraler Pflichten: Es fehlen Risikoanalyse, Incident-Prozess, Lieferkettenkontrolle und Management-Reporting. Diese Konstellation nähert sich klar dem oberen Bußgeldrahmen.
Missachtung behördlicher Anordnungen: Das Unternehmen reagiert trotz Prüfung oder Auflage nicht belastbar. Solche Fälle sind besonders gefährlich, weil aus einem Sachmangel ein Aufsichtsversagen wird.

Für Ihre Budget- und Governance-Planung ist die beste Frage daher nicht "Wie hoch ist das theoretische Maximalbußgeld?", sondern "Wie schnell würde unser Unternehmen in einem Prüfverfahren nachweisen können, dass Management, Prozesse und technische Maßnahmen angemessen waren?"

Vergleich: NIS2-Bußgelder vs. DSGVO-Bußgelder

Im direkten Vergleich ist der DSGVO-Bußgeldrahmen formal höher als der NIS2-Rahmen. Art. 83 DSGVO erlaubt bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes. NIS2 liegt mit 10 Mio. EUR oder 2 % für wesentliche Einrichtungen und 7 Mio. EUR oder 1,4 % für wichtige Einrichtungen darunter.

Trotzdem ist NIS2 nicht automatisch das mildere Regime. Der Unterschied liegt in der Risikopraxis:

Kriterium	NIS2	DSGVO
Höchstrahmen	bis 10 Mio. EUR oder 2 % bzw. 7 Mio. EUR oder 1,4 %	bis 20 Mio. EUR oder 4 %
Hauptschutzgut	Cybersicherheit und Resilienz von Netzen und Informationssystemen	Schutz personenbezogener Daten
Fokus der Aufsicht	Risikomanagement, Meldeprozesse, Betriebsresilienz, Leitungsverantwortung	Rechtmäßigkeit der Verarbeitung, TOMs, Betroffenenrechte
Persönliche Leitungspflichten	ausdrücklich betont in Art. 20 NIS2 und §38 BSIG-E	mittelbar über Organpflichten und Datenschutzorganisation
Typische Beweismittel	Risikoanalysen, Notfallpläne, Logs, Nachweise zu Maßnahmen und Governance	TOM-Dokumentation, Verarbeitungsverzeichnis, Rechtsgrundlagen, Datenschutzprozesse

Der praktische Unterschied ist für viele Geschäftsführer wichtiger als die reine Prozentzahl. DSGVO-Verfahren konzentrieren sich häufig auf Datenschutz-Compliance und konkrete Datenverarbeitungen. NIS2 prüft dagegen, ob Ihr Unternehmen als Organisation cyberresilient gesteuert wird. Dazu gehören Governance, Lieferkette, Incident Handling, Business Continuity, Schulung und Managementkontrolle.

Ein weiterer Unterschied liegt in der Verfahrensdynamik. Unter NIS2 kann das BSI früher in laufende Betriebs- und Sicherheitsprozesse eingreifen, Auskünfte verlangen und konkrete Maßnahmen anordnen. Das macht NIS2 zu einem Regime, das nicht nur ex post nach dem Schadenfall relevant ist, sondern schon ex ante im laufenden Betrieb.

Für Unternehmen, die sowohl personenbezogene Daten als auch kritische digitale Prozesse verarbeiten, ist die saubere Verzahnung beider Regime entscheidend. Ein Cybervorfall kann gleichzeitig NIS2- und DSGVO-Fragen auslösen. Wer hier getrennte Silos pflegt, produziert fast zwangsläufig Melde- und Entscheidungsfehler.

Wie das BSI Verstöße feststellt und sanktioniert

Das BSI stellt NIS2-Verstöße nicht erst nach einem spektakulären Angriff fest. Viel häufiger beginnt ein Verfahren mit Registrierungspflichten, Meldungen, Prüfungen, Nachweisanforderungen oder Hinweisen aus Vorfällen. Für Unternehmen ist deshalb wichtig zu verstehen, dass Sanktionen meist das Ende einer Aufsichtskette sind, nicht deren Anfang.

Typische Auslöser sind:

ein erheblicher Sicherheitsvorfall mit Meldepflicht,
fehlende oder verspätete Registrierung,
widersprüchliche oder unvollständige Angaben gegenüber der Aufsicht,
Beschwerden, Hinweise oder sektorale Prüfkampagnen,
erkennbare Mängel bei Audits, Selbstbewertungen oder Nachweisanforderungen.

Nach Art. 34 NIS2 und den nationalen Umsetzungsregeln kann die Aufsicht unter anderem Auskünfte verlangen, Sicherheitsdokumentation anfordern, Vor-Ort-Prüfungen durchführen, externe Audits verlangen oder verbindliche Maßnahmen anordnen. Erst wenn Verstöße fortbestehen, Pflichten missachtet werden oder die Lage besonders gravierend ist, rückt das Bußgeld in den Vordergrund.

Für die Unternehmenspraxis folgt daraus eine wichtige Priorität: Sie müssen nicht nur sicher sein, sondern auch prüfbar sicher sein. Wenn eine Risikoanalyse existiert, aber niemand ihren Geltungsbereich erklären kann, hilft sie kaum. Wenn ein Incident-Plan auf SharePoint liegt, aber nie geübt wurde, ist er im Verfahren schwach. Wenn die Geschäftsführung Freigaben erteilt, aber keine regelmäßigen Statusberichte erhält, entsteht ein Governance-Loch.

Das BSI wird bei der Zumessung realistischerweise nicht nur auf das Schadensereignis schauen, sondern auf die gesamte Reaktion des Unternehmens:

Wurden Vorfälle rechtzeitig erkannt und intern eskaliert?
Waren Meldungen fristgerecht und inhaltlich plausibel?
Bestand bereits vor dem Vorfall ein angemessenes Maßnahmenprogramm?
Hat die Geschäftsführung Aufsicht und Ressourcen nachvollziehbar wahrgenommen?
Wurden Anordnungen der Behörde kooperativ umgesetzt?

Genau deshalb verschärft verspätete oder defensive Kommunikation das Risiko oft stärker als Unternehmen erwarten. Wer früh kooperiert, Maßnahmen priorisiert, externe Expertise hinzuzieht und saubere Nachweise führt, verbessert seine Position spürbar. Wer dagegen erst im Krisenmodus beginnt, Zuständigkeiten zu sortieren, produziert häufig die belastendsten Dokumentationslücken selbst.

Vermeidungsstrategien — Compliance als Investition

Die wirksamste Strategie gegen NIS2-Strafen in Deutschland ist kein abstraktes "mehr Security", sondern ein dokumentiertes Minimum Viable Compliance System. Sie müssen gegenüber Aufsicht und Geschäftsleitung zeigen können, dass zentrale NIS2-Pflichten systematisch geplant, umgesetzt, überwacht und verbessert werden.

Die höchste Priorität haben sieben Bausteine:

Scope klären: Ist Ihr Unternehmen wesentliche oder wichtige Einrichtung, und welche Gesellschaften sind konkret betroffen?
Governance dokumentieren: Rollen, Eskalationswege, Managementfreigaben und Reporting müssen schriftlich definiert sein.
Risikomanagement nachweisen: Risikoanalysen, Maßnahmenpläne und Priorisierung dürfen nicht nur informell existieren.
Vorfallprozesse testen: 24-Stunden-, 72-Stunden- und Abschlussbericht-Logik müssen geübt sein.
Lieferketten steuern: Kritische Dienstleister, Audit-Rechte, Meldepflichten und Ausweichstrategien gehören ins Pflichtprogramm.
Schulungen belegen: Fachbereiche, Security, Management und operative Rollen brauchen belastbare Nachweise zu ihren Pflichten.
Management einbinden: Die Geschäftsführung muss Maßnahmen billigen, offene Risiken verstehen und Fortschritte überwachen.

Viele Unternehmen unterschätzen dabei den wirtschaftlichen Hebel. NIS2-Compliance ist nicht nur Kostenblock, sondern senkt zugleich Ausfallrisiken, verbessert Versicherungs- und Auditfähigkeit, erleichtert Kundenprüfungen und stärkt die Verteidigungsposition im Schadenfall. Gerade für mittelständische Unternehmen ist diese doppelte Wirkung wichtig: Gute NIS2-Dokumentation ist häufig zugleich gute Krisenvorbereitung.

Wenn Sie die Umsetzung strukturiert beginnen wollen, lohnt sich die Kombination aus einer belastbaren NIS2-Checkliste, einem klaren Statusbild zur NIS2-Umsetzung in Deutschland 2026 und einer fokussierten NIS2-Schulung. Der größte Fehler ist, erst nach dem ersten behördlichen Schreiben oder nach einem Vorfall in die Umsetzungsarbeit einzusteigen.

Häufig gestellte Fragen (FAQ)

Wie hoch sind die NIS2-Bußgelder in Deutschland?

Für wesentliche Einrichtungen sieht §65 BSIG-E bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes vor. Für wichtige Einrichtungen sind es bis zu 7 Mio. EUR oder 1,4 % Umsatz. Daneben gibt es niedrigere Bußgeldstufen von 500.000 EUR und 100.000 EUR für weniger schwere Ordnungswidrigkeiten.

Haftet der Geschäftsführer persönlich bei NIS2-Verstößen?

Ja, jedenfalls verschärft §38 BSIG-E die persönliche Leitungsverantwortung erheblich. Die Geschäftsführung muss Sicherheitsmaßnahmen billigen, ihre Umsetzung überwachen und sich regelmäßig berichten lassen. Unterbleibt das, drohen Organhaftung, Regress und erhebliche Verteidigungsnachteile nach einem Vorfall.

Was passiert, wenn ich NIS2 nicht umsetze?

In der Regel folgen zunächst Aufsicht, Auskunftsverlangen, Prüfungen und Anordnungen. Bleiben Mängel bestehen oder werden Pflichten missachtet, können Bußgelder, öffentliche Benennung und weitere Maßnahmen hinzukommen. Das Risiko steigt besonders dann, wenn Meldewege, Risikoanalysen oder Managemententscheidungen nicht belastbar dokumentiert sind.

Gibt es Beispiele für NIS2-Bußgelder?

Veröffentlichte deutsche NIS2-Fallpraxis ist 2026 noch begrenzt. Die gesetzlichen Beispielrechnungen sind aber eindeutig: Ein wesentlicher Betreiber mit 600 Mio. EUR Umsatz erreicht eine rechnerische Obergrenze von 12 Mio. EUR, ein wichtiger Betreiber mit 1 Mrd. EUR Umsatz 14 Mio. EUR. Diese Werte zeigen, dass die Prozentlogik den Festbetrag bei großen Unternehmen übersteigen kann.

Kann die Geschäftsleitung bei NIS2 abberufen werden?

Ein automatischer Abberufungsmechanismus greift nicht bei jedem Verstoß. Massives Organisationsversagen kann aber gesellschaftsrechtliche Konsequenzen auslösen, etwa Abberufung, Regressforderungen, D&O-Konflikte oder verschärfte persönliche Haftung. NIS2 macht Leitungspflichten jedenfalls wesentlich sichtbarer und nachweisbedürftiger.

Sind NIS2-Bußgelder höher als DSGVO-Bußgelder?

Formal nein. Die DSGVO erlaubt bis zu 20 Mio. EUR oder 4 % Umsatz und liegt damit über NIS2. Praktisch kann NIS2 für viele Unternehmen trotzdem akuter wirken, weil das Regime direkt an Betriebsresilienz, Aufsichtsanordnungen und die Verantwortung der Leitungsebene anknüpft.

Fazit

NIS2 Strafen in Deutschland sind kein theoretisches Schreckensszenario, sondern ein konkret berechenbares Governance-Risiko. Der rechtliche Rahmen reicht von 100.000 EUR in der niedrigsten Stufe bis zu 10 Mio. EUR oder 2 % Umsatz bei wesentlichen Einrichtungen beziehungsweise 7 Mio. EUR oder 1,4 % bei wichtigen Einrichtungen. Für große Unternehmensgruppen kann die Prozentgrenze die Festbeträge deutlich übersteigen.

Entscheidend ist aber nicht nur die Zahl, sondern die Nachweisfähigkeit Ihres Unternehmens. Wer Scope, Verantwortlichkeiten, Meldewege, Risikomanagement und Leitungsaufsicht sauber dokumentiert, reduziert nicht nur Bußgeldrisiken, sondern verbessert auch seine Verteidigungsposition im Vorfall. Wenn Sie Management und Fachbereiche dafür auf einen gemeinsamen Stand bringen wollen, ist eine praxisnahe NIS2-Schulung der sinnvollste nächste Schritt.

NIS2 Strafen in Deutschland — Konkrete Bußgelder und Beispiele