NIS2-Strafen: was Behörden tatsächlich verhängen

Der Sanktionsrahmen der NIS2 ist hoch, die tatsächlich verhängten Bußgelder sind es in Deutschland bisher nicht. Wer die beiden Größen verwechselt, trifft falsche Entscheidungen.

Boswau + Knauer beobachtet seit Monaten, dass die öffentliche Diskussion um die NIS2-Richtlinie von Maximalbeträgen lebt. Sieben Millionen Euro, zehn Millionen Euro, zwei Prozent des weltweiten Jahresumsatzes. Diese Zahlen erscheinen in jeder Präsentation, in jedem Beratervortrag, in jedem Compliance-Webinar. Was selten erscheint, ist die Frage, welcher dieser Beträge in welcher Konstellation tatsächlich verhängt worden ist und welche Verstöße die Aufsichtsbehörden in den ersten Monaten der Anwendung wirklich sanktioniert haben. Diese Lücke zwischen rechtlichem Rahmen und tatsächlicher Vollzugspraxis ist das eigentliche Thema. Wer sie nicht versteht, kalkuliert mit den falschen Größen.

Die nachfolgende Darstellung trennt deshalb sauber: erst das Gesetz, dann der Vollzug, dann die Konsequenz für die Praxis. Sie ist aus der Perspektive eines Herstellers von Sicherheitstechnologie geschrieben, der mit Betreibern wesentlicher und wichtiger Einrichtungen täglich darüber spricht, was Compliance kostet und was Nichtcompliance kostet. Beide Größen sind real, beide sind messbar, und beide werden in der Diskussion regelmäßig verzerrt.

Der Sanktionsrahmen, wie er im Gesetz steht

Die NIS2-Richtlinie selbst gibt einen Korridor vor, den die Mitgliedstaaten in nationales Recht überführen müssen. Für wesentliche Einrichtungen sind Bußgelder bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes vorgesehen, je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen liegt der Rahmen bei bis zu sieben Millionen Euro oder eineinhalb Prozent des weltweiten Jahresumsatzes. Diese Zahlen stammen direkt aus dem Text der Richtlinie und werden im deutschen Umsetzungsgesetz, das unter der Bezeichnung NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz geführt wird, in dieser Höhe übernommen. Der Gesetzgebungsprozess in Deutschland hat sich verzögert, der politische Wille zur Umsetzung ist jedoch nicht in Frage gestellt.

Neben den Bußgeldern enthält die Richtlinie weitere Sanktionsmechanismen, die in der Diskussion oft zu kurz kommen. Dazu gehört die persönliche Haftung der Geschäftsleitung, die in bestimmten Konstellationen vorgesehen ist. Dazu gehört die Möglichkeit, die Zertifizierung einer Einrichtung auszusetzen, was im praktischen Geschäftsbetrieb wirksamer sein kann als ein einmaliges Bußgeld. Dazu gehört die Befugnis, einer natürlichen Person die Ausübung einer Leitungsfunktion vorübergehend zu untersagen, wenn schwerwiegende und wiederholte Pflichtverletzungen vorliegen. Diese drei Sanktionsformen sind in der öffentlichen Diskussion unterbelichtet, in der tatsächlichen Wirkung auf Unternehmen jedoch oft schwerwiegender als das Bußgeld selbst.

Die zuständige Behörde in Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI. Das BSI verfügt über die Befugnis, Audits anzuordnen, Nachweise zu verlangen, Anordnungen zu erlassen und Bußgelder zu verhängen. In bestimmten Sektoren teilt es diese Zuständigkeit mit Fachaufsichtsbehörden, etwa der Bundesnetzagentur im Bereich Energie und Telekommunikation. Diese geteilte Zuständigkeit ist kein Schwächezeichen, sondern eine Folge der sektoralen Struktur des deutschen Verwaltungsrechts. Sie führt allerdings dazu, dass nicht alle Verfahren beim BSI sichtbar werden, sondern in den jeweiligen Sektoraufsichten geführt werden können.

Der Rahmen selbst lässt offen, in welcher Höhe Bußgelder in welcher Konstellation tatsächlich verhängt werden. Die Richtlinie verlangt, dass die Sanktionen wirksam, verhältnismäßig und abschreckend sind. Diese drei Kriterien werden im Einzelfall ausgelegt. Wer den Maximalbetrag in jedem Vorfall erwartet, missversteht die Logik des Verwaltungsrechts. Der Maximalbetrag ist die obere Grenze, nicht der Regelbetrag.

Was die Behörden in den ersten Monaten tatsächlich getan haben

Die Vollzugspraxis in Deutschland hat in den ersten Monaten nach Wirksamwerden der NIS2-Verpflichtungen einen Verlauf genommen, der für jeden vorhersehbar war, der die Logik deutscher Aufsichtsbehörden kennt. Die Behörden haben nicht mit Maximalbußgeldern begonnen, sondern mit Registrierungsanforderungen, mit Informationsschreiben und mit der Aufforderung zur Selbsteinschätzung. Wer als Betreiber einer wesentlichen oder wichtigen Einrichtung gilt, musste sich beim BSI registrieren. Diese Registrierungspflicht war der erste sichtbare Vollzugsschritt.

In den ersten Monaten konzentrierte sich die Aufsicht darauf, die Adressaten zu identifizieren, die Meldewege zu etablieren und die Aufsichtsstrukturen zu festigen. Bußgelder in der Größenordnung des Maximalrahmens sind in Deutschland bisher nicht öffentlich verhängt worden, soweit dies aus den verfügbaren Quellen erkennbar ist. Was es gibt, sind Verfahren in Vorbereitung, Anhörungen, Anordnungen und in einzelnen Fällen Bußgelder im niedrigen sechsstelligen Bereich, die in der Regel an Verstöße gegen Melde- oder Registrierungspflichten geknüpft sind, nicht an Versäumnisse im technischen Schutzniveau.

Diese Beobachtung deckt sich mit der historischen Praxis der deutschen Datenschutzaufsicht nach Inkrafttreten der Datenschutz-Grundverordnung. Auch dort wurden in den ersten zwei Jahren überwiegend kleinere Bußgelder verhängt, bevor in einzelnen Verfahren Beträge in zweistelliger Millionenhöhe ausgesprochen wurden. Wer aus dieser Beobachtung schließt, dass NIS2 ein zahnloser Tiger sei, zieht den falschen Schluss. Die Aufsicht baut Verfahren auf, die in den nächsten Jahren ihre volle Wirkung entfalten werden. Wer jetzt nicht vorbereitet ist, wird in der zweiten Welle des Vollzugs sichtbar.

Auf europäischer Ebene gibt es bereits Hinweise auf höhere Bußgelder, die in anderen Mitgliedstaaten verhängt worden sind oder kurz vor der Verhängung stehen. Diese Verfahren sind nicht direkt vergleichbar, weil die nationalen Umsetzungen und die Aufsichtskulturen differieren. Sie geben jedoch eine Vorstellung davon, welche Größenordnungen in Deutschland möglich sind, sobald sich die Vollzugspraxis verfestigt. Wer die Berichte des BDSW und die Veröffentlichungen einschlägiger Versicherer aufmerksam liest, sieht, dass die Erwartungshaltung in der Branche auf eine Eskalation der Bußgelder ab den nächsten Auditzyklen ausgerichtet ist.

Wer tatsächlich verhängt und wer überprüft

Die Frage nach der zuständigen Behörde ist in der NIS2-Architektur weniger trivial, als sie auf den ersten Blick erscheint. In Deutschland ist das BSI die zentrale Behörde für die Mehrheit der Sektoren. Es führt das Register der wesentlichen und wichtigen Einrichtungen, es nimmt Meldungen über Sicherheitsvorfälle entgegen, es ordnet Audits an, es kann Anordnungen erlassen und Bußgelder verhängen. Der Behörde sind in den vergangenen Jahren erhebliche Personalressourcen zugewachsen, die genau für diese Aufgabe vorgesehen sind.

Neben dem BSI sind die sektoralen Aufsichtsbehörden zuständig, in deren Bereichen sie bereits aus früheren Regulierungsrahmen Erfahrung haben. Im Energiesektor ist es die Bundesnetzagentur, im Finanzsektor die BaFin, im Gesundheitssektor die jeweils zuständigen Landesbehörden, im Verkehrssektor die Bundesnetzagentur und das Eisenbahn-Bundesamt. Diese Behörden arbeiten mit dem BSI zusammen, behalten aber die Aufsicht über die Sektoren, in denen sie historisch verankert sind. Wer als Betreiber einer wesentlichen Einrichtung wissen will, mit welcher Behörde er rechnen muss, sollte diese sektorale Zuordnung früh klären.

Ein dritter Akteur, der in der Diskussion oft übergangen wird, ist die Versicherungswirtschaft. Cyberversicherer verlangen seit Jahren Nachweise über das Schutzniveau ihrer Versicherungsnehmer. Der GDV hat in mehreren Veröffentlichungen darauf hingewiesen, dass die NIS2-Anforderungen in die Risikobewertung einfließen. Wer NIS2-pflichtig ist und sich nicht an die Anforderungen hält, verliert nicht nur im Bußgeldverfahren, sondern auch in der Versicherbarkeit. Diese zweite Sanktionsebene ist in vielen Fällen wirtschaftlich wirksamer als das Bußgeld selbst, weil sie den laufenden Betrieb berührt.

Der vierte Akteur ist der Auftraggeber. Wer als Zulieferer einer wesentlichen Einrichtung tätig ist, wird zunehmend nach NIS2-Nachweisen gefragt. Diese Kaskadenwirkung ist im Gesetz angelegt, weil wesentliche Einrichtungen ihre Lieferkette absichern müssen. Sie wird in der Praxis dazu führen, dass auch Unternehmen, die selbst nicht NIS2-pflichtig sind, faktisch die Anforderungen erfüllen müssen, weil sie sonst aus Ausschreibungen herausfallen. Wer als mittelständischer Zulieferer in den Sektoren Bau, Industrie und Logistik tätig ist, sollte diese Kaskadenwirkung ernst nehmen. Sie betrifft mehr Unternehmen als die formale Definition der wesentlichen und wichtigen Einrichtungen.

Welche Verstöße tatsächlich sanktioniert worden sind

Die bisher verhängten Bußgelder im Bereich der Cybersicherheit, sowohl unter NIS2 als auch unter dem Vorgängerrahmen, lassen ein Muster erkennen. Sanktioniert werden in der ersten Stufe vor allem Meldepflichtverletzungen. Wer einen sicherheitsrelevanten Vorfall nicht innerhalb der vorgesehenen Fristen meldet, läuft ein hohes Risiko. Die Meldepflicht ist eine prozessuale Anforderung, ihre Verletzung ist leicht nachweisbar, und sie ist deshalb der erste Ansatzpunkt der Aufsicht.

Die zweite Kategorie sind Versäumnisse bei der Registrierung. Wer als wesentliche oder wichtige Einrichtung verpflichtet ist, sich beim BSI zu registrieren, und dies nicht tut, begeht einen formalen Verstoß, der unabhängig von der inhaltlichen Sicherheitslage geahndet werden kann. Diese Verstöße sind in den ersten Monaten der Anwendung in mehreren Verfahren aufgegriffen worden.

Die dritte Kategorie sind Versäumnisse bei den technischen und organisatorischen Maßnahmen. Hier wird die Aufsicht in den kommenden Auditzyklen ansetzen. Wer kein Informationssicherheits-Managementsystem nachweisen kann, wer keine Lieferkettensicherheit dokumentiert, wer keine Geschäftskontinuitätsplanung vorlegen kann, wird in den kommenden Verfahren erhebliche Schwierigkeiten haben. Die Sanktionen in dieser Kategorie sind potenziell deutlich höher als in den ersten beiden Kategorien, weil sie nicht nur einen Vorgang betreffen, sondern einen Zustand.

Die vierte Kategorie betrifft die persönliche Haftung der Geschäftsleitung. Sie ist in der bisherigen Vollzugspraxis kaum sichtbar, in der Gesetzeslage aber angelegt. Geschäftsführer und Vorstände wesentlicher Einrichtungen tragen eine eigene Verantwortung für die Einhaltung der NIS2-Pflichten. Wer als Geschäftsführer die erforderlichen Schulungen nicht absolviert, wer die Risikobewertung nicht freigegeben hat, wer die Investitionen in Sicherheit nicht ermöglicht, kann im Einzelfall persönlich in Anspruch genommen werden. Diese Möglichkeit ist im deutschen Verwaltungs- und Gesellschaftsrecht bekannt und wird in der Anwendung von NIS2 nicht entschärft, sondern verschärft.

Boswau + Knauer beobachtet, dass die Geschäftsleitungen mittelständischer Betreiber wesentlicher Einrichtungen diese persönliche Komponente erst dann ernst nehmen, wenn ein Verfahren in der Branche öffentlich geworden ist. Bis dahin gilt Cybersicherheit als IT-Thema. Diese Wahrnehmung wird sich ändern, sobald das erste Verfahren mit persönlicher Inanspruchnahme veröffentlicht wird. Es ist eine Frage der Zeit, nicht des Ob.

Wie die Höhe eines Bußgelds tatsächlich entsteht

Die Bemessung eines Bußgelds folgt im deutschen Verwaltungsrecht einer Logik, die nicht nur die Schwere des Verstoßes, sondern eine Reihe weiterer Faktoren berücksichtigt. Dazu gehört die Dauer des Verstoßes. Wer drei Jahre ohne Informationssicherheits-Managementsystem gearbeitet hat, wird anders behandelt als wer es drei Monate versäumt hat. Dazu gehört die Größe des betroffenen Unternehmens. Bußgelder werden so bemessen, dass sie wirken, was bei einem Konzern eine andere Zahl bedeutet als bei einem mittelständischen Betreiber. Dazu gehört die Wiederholung. Wer zum ersten Mal sanktioniert wird, kommt regelmäßig mit niedrigeren Beträgen davon als wer wiederholt aufgefallen ist.

Dazu gehört das Verhalten nach Bekanntwerden des Verstoßes. Wer mit der Behörde kooperiert, Mängel zeitnah behebt und nachweisbare Maßnahmen ergreift, kann eine erhebliche Reduktion des Bußgelds erreichen. Wer mauert, blockiert oder Beweise zurückhält, sieht die obere Hälfte des Rahmens. Diese Kooperationsbereitschaft ist im Verwaltungsverfahrensrecht und in der Praxis der Aufsichtsbehörden ein zentraler Faktor. Sie wird von Beratern und Anwälten regelmäßig unterschätzt, von erfahrenen Compliance-Verantwortlichen regelmäßig genutzt.

Dazu gehört die wirtschaftliche Leistungsfähigkeit. Die Aufsicht darf ein Bußgeld nicht so bemessen, dass es ein Unternehmen in den Ruin treibt. Dies ist nicht aus sozialer Rücksicht, sondern aus rechtlichen Gründen so. Ein Bußgeld muss verhältnismäßig sein. Diese Schranke führt dazu, dass der prozentuale Bezug zum Jahresumsatz für viele Unternehmen die maßgebliche Grenze ist, nicht der absolute Maximalbetrag in Euro. Zwei Prozent des weltweiten Jahresumsatzes können bei einem Großkonzern eine dreistellige Millionensumme sein. Bei einem mittelständischen Betreiber sind es einige hunderttausend Euro. Beide Beträge sind im Sinne der Richtlinie wirksam.

Dazu gehört schließlich die generalpräventive Wirkung. Die Aufsicht darf und soll mit einzelnen Bußgeldverfahren ein Signal in die Branche senden. Diese Signalwirkung führt dazu, dass in bestimmten Konstellationen, etwa bei besonders sichtbaren Vorfällen oder bei Erstanwendungen einer neuen Regelung, höhere Bußgelder zu erwarten sind, als die rein einzelfallbezogene Schwere des Verstoßes rechtfertigen würde. Wer in der ersten Welle eines neuen Regulierungsrahmens auffällt, zahlt strukturell mehr.

In dem Buch "BOSWAU + KNAUER, Vom Bau zur Sicherheitstechnologie" wird diese Logik im Kontext der Industrie- und Logistikkunden ausführlicher beschrieben. Sie ist nicht spezifisch für NIS2, sondern eine Konstante des deutschen Verwaltungsrechts, die im neuen Regulierungsrahmen einfach wiederkehrt.

Was die Differenz zwischen Rahmen und Praxis für Entscheider bedeutet

Die Differenz zwischen rechtlichem Rahmen und tatsächlicher Vollzugspraxis hat zwei Konsequenzen, die in entgegengesetzte Richtungen wirken und beide ernst zu nehmen sind.

Die erste Konsequenz ist eine Entspannung der kurzfristigen Erwartung. Wer in den nächsten zwölf Monaten eine Sanktion in Höhe des Maximalrahmens befürchtet, überschätzt die Geschwindigkeit der Aufsicht. Die Behörden arbeiten gründlich, das Verwaltungsrecht ist langsam, die Verfahren brauchen Zeit. Wer jetzt erst beginnt, sich mit den Anforderungen zu beschäftigen, hat eine realistische Chance, in einen geordneten Zustand zu kommen, bevor die Aufsicht in seine Branche eintritt. Diese Chance verlangt allerdings eine ehrliche Standortbestimmung und einen strukturierten Plan, nicht eine weitere Beratungsschleife.

Die zweite Konsequenz ist eine Verschärfung der langfristigen Erwartung. Wer aus der bisherigen Vollzugspraxis schließt, dass NIS2 ein papierner Tiger sei, wird in zwei bis drei Jahren überrascht sein. Die Aufsicht baut Strukturen auf, die in der zweiten und dritten Welle ihre Wirkung entfalten. Die Bußgelder werden steigen, die Verfahren werden öffentlich werden, die persönliche Haftung der Geschäftsleitung wird in Einzelfällen tatsächlich greifen. Wer in dieser zweiten Welle nicht vorbereitet ist, zahlt nicht nur das Bußgeld, sondern auch die Versicherungsprämie, den Auftragsverlust und den Reputationsschaden. Diese drei Kosten zusammen übersteigen das Bußgeld regelmäßig um ein Vielfaches.

Für die Praxis bedeutet das eine klare Reihenfolge der Handlungen. Erstens ist die Frage zu klären, ob das Unternehmen unter NIS2 fällt, als wesentliche oder als wichtige Einrichtung, in welchem Sektor, in welcher Größe. Diese Klärung ist juristisch, sie verlangt einen Blick in das Umsetzungsgesetz und in die sektorale Zuordnung. Zweitens ist eine ehrliche Standortbestimmung erforderlich, die das tatsächliche Schutzniveau im Vergleich zu den NIS2-Anforderungen misst. Diese Standortbestimmung muss von jemandem durchgeführt werden, der unabhängig vom internen IT-Bereich urteilen kann, weil interne Bewertungen regelmäßig in der Mitte zwischen Wunsch und Wirklichkeit landen. Drittens ist ein Plan zu erstellen, der die Lücken in einer realistischen Reihenfolge schließt, mit Prioritäten nach Wirkung und Aufwand. Viertens ist dieser Plan zu dokumentieren, weil im späteren Verfahren nicht das Schutzniveau allein zählt, sondern auch die Nachweisbarkeit der ergriffenen Maßnahmen.

Boswau + Knauer trifft in seinen Audits regelmäßig auf Unternehmen, die die ersten drei Schritte gegangen sind und am vierten scheitern. Sie haben Maßnahmen umgesetzt, aber nicht dokumentiert. Im Verfahren stehen sie dann mit leeren Händen, obwohl der Zustand objektiv tragfähig wäre. Dokumentation ist im Verwaltungsverfahren nicht eine Formalie, sondern die Substanz der Verteidigung.

Was bleibt

Die NIS2-Strafen sind hoch im Gesetz, niedriger in der bisherigen Praxis, und steigend in der erwartbaren Entwicklung. Wer aus den drei Beobachtungen die Schlussfolgerung zieht, dass jetzt der richtige Zeitpunkt für strukturierte Arbeit ist, hat die Lage verstanden. Wer auf das erste hohe Bußgeld in seiner Branche wartet, um dann zu reagieren, hat eine Wette abgeschlossen, die er nicht gewinnen wird.

Die Differenz zwischen dem rechtlichen Rahmen und der tatsächlichen Vollzugspraxis ist kein Zufall, sondern eine Konstante des deutschen Verwaltungsrechts. Sie verlangt von Entscheidern eine Disziplin, die in der kurzfristigen Wahrnehmung wie übertriebene Vorsicht aussieht und in der mittelfristigen Wirkung wie kluge Vorausschau wirkt. Diese Disziplin ist nicht in einer Beratungsstunde aufzubauen. Sie ist das Ergebnis einer Standortbestimmung, eines Plans und einer Umsetzung, die in den nächsten zwölf bis vierundzwanzig Monaten geleistet werden müssen.

Wer für sein Unternehmen wissen will, wo es im Verhältnis zu den NIS2-Anforderungen steht, beginnt mit einem Audit. Drei bis fünf Tage vor Ort, definierter Festpreis, sechs Lieferobjekte am Ende, darunter ein Schwachstellenkatalog, eine Wirtschaftlichkeitsrechnung und ein Umsetzungsplan. Der Bericht ist verwertbar, mit oder ohne weitere Zusammenarbeit. Diese Form der Standortbestimmung ist der nächste Schritt, der aus der Lage zwischen Rahmen und Praxis eine Entscheidung macht.

Häufige Fragen

Welche Strafen sind unter NIS2 möglich?

Die NIS2-Richtlinie sieht für wesentliche Einrichtungen Bußgelder bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen liegt der Rahmen bei sieben Millionen Euro oder eineinhalb Prozent des Jahresumsatzes. Hinzu kommen Anordnungen, die Aussetzung von Zertifizierungen, das vorübergehende Verbot der Ausübung von Leitungsfunktionen und die persönliche Haftung von Geschäftsführern. Die wirtschaftliche Gesamtwirkung übersteigt das Bußgeld regelmäßig, wenn Versicherungsprämien, Auftragsverluste und Reputationsschäden mitgerechnet werden.

Wer verhängt sie?

In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, die zentrale Aufsichtsbehörde für die Mehrheit der Sektoren. In bestimmten Sektoren wirken Fachaufsichten mit, etwa die Bundesnetzagentur im Bereich Energie und Telekommunikation, die BaFin im Finanzsektor, das Eisenbahn-Bundesamt im Schienenverkehr. Diese geteilte Zuständigkeit folgt der sektoralen Struktur des deutschen Verwaltungsrechts. Wer als Betreiber einer wesentlichen oder wichtigen Einrichtung gilt, sollte früh klären, welche Behörde im konkreten Sektor zuständig ist, und welche Meldewege gegenüber dieser Behörde verbindlich sind.

Wurden bereits Bußgelder verhängt?

In Deutschland sind bisher keine Bußgelder in der Größenordnung des Maximalrahmens öffentlich verhängt worden, soweit dies aus verfügbaren Quellen erkennbar ist. Es gibt Verfahren in Vorbereitung, Anhörungen, Anordnungen und einzelne Bußgelder im sechsstelligen Bereich, überwiegend für Meldepflichtverletzungen und Registrierungsversäumnisse. Auf europäischer Ebene gibt es Hinweise auf höhere Bußgelder in anderen Mitgliedstaaten, die nicht direkt vergleichbar sind, aber eine Vorstellung der erwartbaren Größenordnungen geben. Die deutsche Aufsicht arbeitet derzeit am Aufbau von Verfahren, die in den nächsten Jahren ihre volle Wirkung entfalten werden.

Wie hoch waren sie?

Die bisher in Deutschland bekannt gewordenen Bußgelder im Bereich der Cybersicherheitsaufsicht liegen überwiegend im niedrigen sechsstelligen Bereich, in Einzelfällen darunter. Sie sind an formale Verstöße geknüpft, vor allem an Melde- und Registrierungspflichten, weniger an Versäumnisse im technischen Schutzniveau. Diese Größenordnung entspricht der typischen ersten Phase der Anwendung eines neuen Regulierungsrahmens. Vergleichsmaßstäbe aus der Datenschutz-Grundverordnung zeigen, dass in den folgenden Jahren mit deutlich höheren Bußgeldern zu rechnen ist, sobald die Aufsicht die inhaltlichen Auditzyklen aufnimmt und die ersten generalpräventiv wirksamen Verfahren öffentlich werden.