Was kostet Nichtstun?

Der § 65 BSIG Simulator

Die Bußgeldsystematik nach § 65 BSIG

Das NIS2UmsuCG sieht ein zweistufiges Bußgeldsystem vor, das sich an der DSGVO orientiert. Die Höhe richtet sich nach der Einstufung Ihres Unternehmens und dem weltweiten Jahresumsatz. Für besonders wichtige Einrichtungen drohen bis zu 10 Mio. € oder 2 % des Umsatzes, für wichtige Einrichtungen bis zu 7 Mio. € oder 1,4 % — jeweils der höhere Wert gilt.

Ihre Einstufung

Jahresumsatz weltweit

20 Mio. €

1 Mio. €500 Mio. €

Maximales Bußgeld nach § 65 BSIG

7.000.000 €

(1.4 % von 20.000.000 € = 280.000 €, Minimum 7.000.000 € — der höhere Wert gilt)

Wussten Sie schon?

Die Geschäftsführung haftet gemäß § 38 BSIG persönlich für die Umsetzung der Maßnahmen. Ein Verzicht der Firma auf Schadensersatz ist gesetzlich verboten.

Dieses Risiko jetzt minimieren (ab 990 €)

Welche Verstöße werden geahndet?

Nichtregistrierung beim BSI — Versäumte Pflichtregistrierung nach § 33 BSIG.

Fehlende Risikomanagementmaßnahmen — Nichtumsetzung der 10 Mindestmaßnahmen nach § 30 BSIG.

Versäumte Meldepflichten — Keine oder verspätete Meldung erheblicher Sicherheitsvorfälle nach § 32 BSIG.

Behinderung von Prüfungen — Verweigerung oder Behinderung von BSI-Audits und Überprüfungen nach § 64 BSIG.

Persönliche Haftung der Geschäftsführung

Neben dem Unternehmensbußgeld haftet die Geschäftsleitung nach § 38 BSIG persönlich gegenüber der Gesellschaft. Das Gesetz verbietet ausdrücklich einen Verzicht auf diesen Schadensersatzanspruch (§ 38 Abs. 2 BSIG). Das bedeutet: Auch Gesellschafterbeschlüsse, die die Geschäftsführung von der Haftung freistellen, sind unwirksam.

Vergleich mit der DSGVO

Die NIS-2 Bußgelder orientieren sich an der DSGVO-Systematik (Prozentsatz des Umsatzes), gehen aber in einem entscheidenden Punkt weiter: Die persönliche Haftung der Geschäftsleitung mit gesetzlichem Verzichtsverbot gibt es in der DSGVO nicht. NIS-2 macht Cybersicherheit damit erstmals zur persönlichen Pflicht der Unternehmensführung.

Betroffenheit prüfen

Sind Sie überhaupt betroffen?

Haftung-Briefing

Persönliche Haftung nach § 38 BSIG

Risikomanagement

§ 30 BSIG live überwachen

Häufige Fragen zum NIS-2 Bußgeld

Wie hoch ist das maximale NIS-2 Bußgeld?

Für besonders wichtige Einrichtungen: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes — der höhere Wert gilt. Für wichtige Einrichtungen: bis zu 7 Mio. € oder 1,4 % des Umsatzes. Diese Obergrenzen orientieren sich bewusst an der DSGVO-Systematik.

Kann das BSI neben Bußgeldern weitere Maßnahmen ergreifen?

Ja. Das BSI kann nach §§ 64-65 BSIG verbindliche Anweisungen erteilen, Sicherheitsaudits anordnen und deren Ergebnisse veröffentlichen. Bei besonders wichtigen Einrichtungen kann das BSI sogar die vorübergehende Suspendierung von Geschäftsführern anordnen.

Wer haftet — Unternehmen oder Geschäftsführung?

Beide. Das Bußgeld nach § 65 BSIG trifft das Unternehmen. Zusätzlich haftet die Geschäftsleitung der Gesellschaft gegenüber persönlich nach § 38 BSIG für Pflichtverletzungen. Ein Verzicht auf diesen Anspruch ist gesetzlich ausgeschlossen.

Gibt es eine Übergangsfrist für NIS-2 Bußgelder?

Nein. Die Bußgeldvorschriften gelten ab Inkrafttreten des NIS2UmsuCG am 6. März 2026. Eine gesonderte Schonfrist für Bußgelder ist nicht vorgesehen. Unternehmen sollten daher bereits jetzt mit der Umsetzung beginnen.