NIS2-Sanktionen: Bußgelder, Strafen und Managerhaftung im Überblick

Zuletzt geprüft: März 2026. Bußgeldvorschriften sind in NIS2 Artikeln 32–36 festgelegt. Die Managementhaftung ist in Artikel 20 geregelt. Nationale Umsetzungsgesetze können zusätzliche oder strengere Maßnahmen vorschreiben.

Die Nichteinhaltung der NIS2-Richtlinie ist keine Formalie. Sie zieht finanzielle Sanktionen nach sich, die in ihrer Höhe mit der DSGVO vergleichbar sind, sowie Aufsichtsbefugnisse, die bis zu Vor-Ort-Kontrollen und erzwungenen Audits reichen – und eine Bestimmung, die Geschäftsführer und leitende Manager persönlich haftbar für Cybersicherheitsversäumnisse macht. Dieser letzte Punkt unterscheidet NIS2 von jeder Cybersicherheitsregulierung, die zuvor existierte.

Dieser Leitfaden erläutert, wie NIS2-Sanktionen funktionieren, wen sie treffen, wie Bußgelder berechnet werden – und was Artikel 20 konkret für die Mitglieder Ihres Vorstands oder Ihrer Geschäftsführung bedeutet.

1. Das NIS2-Sanktionsrahmen: Zwei Stufen, eskalierende Konsequenzen

NIS2-Sanktionen operieren innerhalb einer gestuften Struktur, die die in Artikeln 3 und 4 etablierte zweigliedrige Entitätsklassifizierung direkt widerspiegelt. Ihre maximale Bußgeldexposition hängt davon ab, ob Ihre Organisation als wesentliche Einrichtung (Sektor gemäß Anhang I, in der Regel große Organisationen) oder als wichtige Einrichtung (Sektor gemäß Anhang II oder mittelgroße Einrichtungen in Sektoren des Anhangs I) eingestuft wird [1].

Diese Klassifizierung ist aus folgenden Gründen bedeutsam:

Wesentliche Einrichtungen sind höheren Höchststrafen ausgesetzt – dies spiegelt ihre größere Auswirkung auf die gesellschaftliche und wirtschaftliche Kontinuität im Störungsfall wider.
Wesentliche Einrichtungen unterliegen der proaktiven Aufsicht – Behörden können vor einem Vorfall prüfen und inspizieren, nicht erst danach.
Wichtige Einrichtungen werden reaktiv beaufsichtigt – die Durchsetzung wird in der Regel durch Hinweise auf Nichteinhaltung oder einen erheblichen Vorfall ausgelöst.

Beide Stufen unterliegen der Managementhaftung gemäß Artikel 20. Es gibt keinen „Rabatt für wichtige Einrichtungen“ bei der persönlichen Verantwortlichkeit.

Wenn Sie Ihre Entitätsklassifizierung noch nicht bestätigt haben, führt der NIS2-Anwendungsbereichsleitfaden durch den vollständigen Bewertungsprozess.

2. Finanzielle Sanktionen für wesentliche Einrichtungen

Artikel 34 der NIS2 legt die folgenden maximalen Verwaltungsgeldbußen für wesentliche Einrichtungen fest:

€10.000.000 oder 2 % des gesamten weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr, je nachdem, welcher Betrag höher ist.

Der entscheidende Ausdruck lautet je nachdem, welcher Betrag höher ist. Dies ist keine Obergrenze – es ist eine Untergrenze mit einer Aufwärtsskala für große Konzerne. In der Praxis bedeutet dies Folgendes:

Globaler Jahresumsatz	2 % des Umsatzes	Welcher Betrag ist höher?	Höchstbußgeld
€20 Millionen (mittlerer Markt)	€400.000	€10 Millionen	€10 Millionen
€50 Millionen (oberer mittlerer Markt)	€1 Million	€10 Millionen	€10 Millionen
€100 Millionen	€2 Millionen	€10 Millionen	€10 Millionen
€500 Millionen	€10 Millionen	Gleich	€10 Millionen
€1 Milliarde	€20 Millionen	2 % des Umsatzes	€20 Millionen
€5 Milliarden	€100 Millionen	2 % des Umsatzes	€100 Millionen

Die praktische Konsequenz für wesentliche Einrichtungen: Die Untergrenze von €10 Millionen gilt für jedes Unternehmen mit einem globalen Umsatz unter €500 Millionen. Ein Gesundheitsdienstleister mit €30 Millionen Umsatz und ein großes Energieunternehmen mit €400 Millionen Umsatz sind beide demselben maximalen Bußgeldrisiko von €10 Millionen ausgesetzt – das entspricht 33 % des gesamten Jahresumsatzes des kleineren Unternehmens.

Dies ist beabsichtigt. Die Verfasser der Verordnung wollten Sanktionen, die bei allen Unternehmensgrößen wirklich abschreckend sind und keine Bußgelder, die ein mittelständisches Unternehmen als Betriebskosten verbuchen kann.

Zur Umsatzberechnung: „Gesamter weltweiter Jahresumsatz“ bedeutet den konsolidierten Konzernumsatz, nicht nur den der sanktionierten Einrichtung. Wenn Ihre Organisation eine Tochtergesellschaft eines größeren Konzerns ist, wird der globale Umsatz des Konzerns zur Berechnung der 2-%-Obergrenze herangezogen. Eine Tochtergesellschaft mit €50 Millionen Umsatz, die zu einem Konzern mit €10 Milliarden Umsatz gehört, könnte theoretisch mit einem Höchstbußgeld von €200 Millionen – also 2 % von €10 Milliarden – konfrontiert werden.

3. Finanzielle Sanktionen für wichtige Einrichtungen

Artikel 34 legt für wichtige Einrichtungen eine niedrigere, aber dennoch erhebliche Bußgeldobergrenze fest:

€7.000.000 oder 1,4 % des gesamten weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr, je nachdem, welcher Betrag höher ist.

Die gleiche Logik des „je nachdem, welcher Betrag höher ist“ gilt entsprechend. Für die meisten wichtigen Einrichtungen (mittelständische Unternehmen mit einem Umsatz unter €500 Millionen) beträgt das effektive Maximum €7 Millionen. Oberhalb von €500 Millionen gilt die 1,4-%-Skala.

Aspekt	Wesentliche Einrichtungen (Anhang I)	Wichtige Einrichtungen (Anhang II)
Höchstbußgeld	€10 Mio. oder 2 % des globalen Umsatzes	€7 Mio. oder 1,4 % des globalen Umsatzes
Untergrenze gilt unterhalb eines Umsatzes von	€500 Millionen	€500 Millionen
Aufsichtsmodus	Proaktiv – Audits & Inspektionen vor Vorfällen	Reaktiv – ausgelöst durch Vorfall oder Hinweise
Managementhaftung	Ja – Artikel 20	Ja – Artikel 20
Vorübergehendes Managementverbot	Ja – Artikel 32(5)(g)	Ja – Artikel 33(5)
Typische Sektoren	Energie, Gesundheit, Verkehr, digitale Infrastruktur, Bankwesen, Wasser, öffentliche Verwaltung, Raumfahrt	Post, Abfall, Chemie, Lebensmittel, Fertigung, digitale Anbieter, Forschung

Dies sind die von der Richtlinie festgelegten Mindesthöchstbeträge – die Mitgliedstaaten können in ihren nationalen Umsetzungsgesetzen höhere Obergrenzen festlegen, und einige haben dies bereits getan [2].

4. Managementhaftung gemäß Artikel 20 – Die Vorschrift, die alles verändert

Wenn die finanziellen Sanktionen die Aufmerksamkeit Ihres Vorstands erregen, sollte Artikel 20 sie aufrechterhalten. Diese Bestimmung – einzigartig im EU-Cybersicherheitsrecht – macht die NIS2-Nichteinhaltung zu einer Angelegenheit der persönlichen Rechtsexposition für Führungskräfte und nicht nur zu einem unternehmensrechtlichen Compliance-Problem.

Was Artikel 20 verlangt

Leitungsorgane – definiert als Vorstände, Geschäftsführungsausschüsse und gleichwertige Leitungsstrukturen – sind verpflichtet [3]:

Die Cybersicherheits-Risikomanagementmaßnahmen, die Ihre Organisation gemäß Artikel 21 ergreift, zu genehmigen.
Deren Umsetzung fortlaufend zu überwachen.
An Schulungen zu Cybersicherheitsthemen teilzunehmen, die ausreichend sind, um Risiken zu erkennen und Risikomanagementpraktiken sowie deren Auswirkungen auf die erbrachten Dienste zu bewerten.

Dies sind keine Wunschanforderungen. Es handelt sich um rechtliche Verpflichtungen, die dem Leitungsorgan als Führungsgremium auferlegt werden.

Persönliche Haftung der Mitglieder des Leitungsorgans

Artikel 20(2) legt fest, dass Mitglieder des Leitungsorgans „haftbar gemacht werden können“ für Verstöße gegen die Verpflichtungen aus Artikel 21, die ihnen zuzurechnen sind. In der Praxis bedeutet dies:

Wenn Ihre Organisation aufgrund unzureichender Sicherheitsmaßnahmen einen erheblichen Cybervorfall erleidet, werden die Ermittler nicht nur fragen, was technisch versagt hat, sondern auch, wer das Sicherheitsprogramm genehmigt hat und welche Aufsicht ausgeübt wurde.
Ein Vorstandsmitglied, das ein Budget, das die Cybersicherheit wissentlich unterfinanzierte, ohne Prüfung abgesegnet hat oder das die gesamte Aufsicht an die IT-Abteilung delegiert hat, ohne regelmäßige Berichterstattung einzufordern, ist möglicherweise persönlich exponiert.
Nationale Behörden können bei schwerwiegenden oder wiederholten Verstößen beantragen, Personen vorübergehend von der Ausübung von Managementfunktionen zu sperren (Artikel 32(5)(g) für wesentliche Einrichtungen).

Für Vorstandsmitglieder und C-Suite-Führungskräfte: NIS2 verwandelt Cybersicherheit von einem operativen IT-Anliegen in eine treuhänderische Pflicht. Die Frage lautet nicht mehr „Hat der CISO sich darum gekümmert?“, sondern „Hat der Vorstand die Maßnahmen genehmigt, regelmäßige Berichte erhalten und durch Schulungen nachgewiesen, dass er die Risiken versteht?“ Die Ära der glaubwürdigen Unkenntnis im Bereich Cybersicherheit ist vorbei.

Die verpflichtende Schulungspflicht

Artikel 20(2) verlangt ausdrücklich, dass Leitungsorgane „ausreichende Kenntnisse und Fähigkeiten“ erwerben, um Cybersicherheitsrisiken zu erkennen und Managementpraktiken zu bewerten. Diese Schulungspflicht ist nicht optional, und „wir hatten keine Zeit“ ist keine Verteidigung.

Die Schulungsanforderung schafft eine Dokumentationsspur: Organisationen sollten Aufzeichnungen darüber führen, welche Schulungen das Management erhalten hat, wann und welche Themen behandelt wurden. Diese Nachweise werden bei Aufsichtsüberprüfungen und Ermittlungen entscheidend.

Eine vollständige Übersicht der NIS2-Schulungsanforderungen auf allen Ebenen – einschließlich der erforderlichen Mitarbeiterschulungen – finden Sie im NIS2-Leitfaden zu Schulungsanforderungen.

5. Aufsichtsmaßnahmen: Was Behörden vor dem Bußgeld tun können

Finanzielle Sanktionen stehen am Ende des Durchsetzungsprozesses, nicht am Anfang. Die Artikel 32–36 geben den nationalen zuständigen Behörden ein umfangreiches Instrumentarium an Aufsichts- und Ermittlungsmaßnahmen, die vor der Verhängung eines Bußgeldes eingesetzt werden können – und von denen einige unmittelbar störender sind als eine finanzielle Sanktion [4].

Aufsichtsbefugnisse für wesentliche Einrichtungen (Artikel 32)

Für wesentliche Einrichtungen ist die Aufsicht proaktiv und ex-ante – Behörden müssen keinen Vorfall abwarten. Verfügbare Maßnahmen umfassen:

Regelmäßige Audits, die von qualifizierten, unabhängigen Stellen durchgeführt werden
Vor-Ort-Inspektionen und externe Aufsichtsüberprüfungen
Sicherheitsscans auf Basis objektiver, nicht diskriminierender Kriterien
Informationsanfragen und Zugang zu relevanten Daten und Dokumenten
Anfragen nach Nachweisen, die die Umsetzung von Sicherheitsrichtlinien belegen

Durchsetzungsmaßnahmen für beide Stufen (Artikel 32 und 33)

Wenn die Aufsichtstätigkeit Nichteinhaltung feststellt, können die Behörden zu Durchsetzungsmaßnahmen eskalieren, darunter:

Verbindliche Anweisungen, die spezifische Maßnahmen zur Behebung festgestellter Mängel verlangen
Compliance-Anordnungen mit festgelegten Fristen zur Behebung
Vorübergehende Aussetzung von Zertifizierungen oder Genehmigungen für bestimmte Dienste
Vorübergehendes Verbot, als Geschäftsführer oder gesetzlicher Vertreter zu fungieren – dies ist die Managementverbots-Bestimmung, die bei schwerwiegenden oder wiederholten Verstößen anwendbar ist
Verwaltungsbußgelder wie in den Abschnitten 2–3 oben beschrieben

Das Managementverbot ist besonders bedeutsam: Es ist nicht an eine Verurteilung oder ein Strafverfahren gebunden. Eine nationale zuständige Behörde kann ein vorübergehendes Verbot als Verwaltungsdurchsetzungsmaßnahme beantragen, während eine Untersuchung noch läuft.

Aufsicht über wichtige Einrichtungen (Artikel 33)

Wichtige Einrichtungen unterliegen der reaktiven, ex-post-Aufsicht – ausgelöst durch Hinweise auf Nichteinhaltung oder einen erheblichen Vorfall. Ist diese jedoch erst ausgelöst, gilt dasselbe Durchsetzungsinstrumentarium. Der Unterschied besteht darin, dass wichtige Einrichtungen kaum mit routinemäßigen proaktiven Audits konfrontiert werden; sie gelangen eher durch Vorfallmeldungen, Beschwerden Dritter oder sektorweite Überprüfungen in den Blickpunkt der Behörden.

6. Unterschiede zwischen den Mitgliedstaaten

NIS2 legt Mindesthöchstbußgelder fest – die Mitgliedstaaten können in ihren nationalen Umsetzungsgesetzen strengere Regelungen einführen und tun dies auch. Stand Anfang 2026 sind mehrere Länder über den Mindestrahmen der Richtlinie hinausgegangen [5]:

Deutschland (NIS2UmsuCG, Juli 2024): Einführung spezifischer Bestimmungen für Betreiber kritischer Infrastrukturen (KRITIS) mit erweiterten Aufsichtsbefugnissen für das BSI (Bundesamt für Sicherheit in der Informationstechnik). Das deutsche Gesetz verpflichtet Betreiber kritischer Anlagen zur regelmäßigen Zertifizierung und sieht individuelle Bußgelder gegen verantwortliche Führungspersonen bei fahrlässiger oder vorsätzlicher Nichteinhaltung vor.
Niederlande (Cyberbeveiligingswet, voraussichtlich 2025): Die niederländische Umsetzung erweitert die Aufsichtsbefugnisse auf das NCSC und sektorspezifische Behörden, mit besonderem Fokus auf Einrichtungen im Gesundheits- und Energiebereich. Die grenzüberschreitende Aufsichtskooperation wird betont.
Belgien (NIS2-Gesetz, April 2024): Eine der ersten vollständigen Umsetzungen. Belgien hat das CCB (Centre for Cybersecurity Belgium) als primäre zuständige Behörde eingesetzt, mit Durchsetzungsbefugnissen, die vorübergehende Betriebseinschränkungen für nicht konforme Einrichtungen in kritischen Sektoren einschließen.
Irland (NIS2-Verordnungen): Die NIS2-Verordnungen haben den Bußgeldrahmen der Richtlinie umgesetzt, wobei das Department of the Environment, Climate and Communications als zuständige Behörde für den Energiesektor fungiert und sektorspezifische Behörden andere erfasste Bereiche betreuen.

Wenn Ihre Organisation in mehreren Mitgliedstaaten tätig ist, kann Ihre Bußgeldexposition in einigen Rechtsordnungen höher sein als in anderen. Die NIS2-Richtlinie ist der Mindeststandard; das nationale Recht bildet die Obergrenze – und diese variiert. Prüfen Sie den aktuellen Umsetzungsstand in allen EU-Mitgliedstaaten in der NIS2-Richtlinienübersicht.

7. Aktuelle Durchsetzungsmaßnahmen und Präzedenzfälle

NIS2 ist seit Oktober 2024 durchsetzbar, und der erste vollständige Zyklus von Durchsetzungsmaßnahmen entwickelt sich noch, Stand Anfang 2026. Durchsetzungsmuster aus NIS1 und frühen NIS2-Aktivitäten liefern jedoch wichtige Signale:

Durchsetzungspräzedenzfälle aus NIS1

Unter der ursprünglichen NIS-Richtlinie (NIS1) war die Durchsetzung uneinheitlich, lieferte aber bemerkenswerte Präzedenzfälle:

Vereinigtes Königreich (NCSC/ICO): British Airways wurde mit £20 Millionen und Marriott International mit £18,4 Millionen im Rahmen der DSGVO (die im Vereinigten Königreich Aufsichtsstrukturen mit NIS teilt) für Cybersicherheitsversäumnisse bestraft, die personenbezogene Daten offenlegten. Obwohl es sich technisch gesehen um DSGVO-Bußgelder handelte, etablierten diese Fälle die Vorlage dafür, wie Aufsichtsbehörden unzureichende Cybersicherheitsinvestitionen als erschwerenden Faktor behandeln.
Deutschland (BSI): Das BSI führte formelle Aufsichtsverfahren gegen mehrere Energie- und Gesundheitseinrichtungen nach Sicherheitsvorfällen durch, was zu verbindlichen Sanierungsanordnungen und in mehreren Fällen zur Veröffentlichung der Ergebnisse führte – Reputationsfolgen, die Organisationen in diesen Sektoren als schädlicher empfanden als finanzielle Sanktionen.
Frankreich (ANSSI): ANSSI führte mehrere formelle Untersuchungen unter NIS1 in den Bereichen Energie und digitale Infrastruktur durch, deren Erkenntnisse Frankreichs Ansatz zur stärker präskriptiven NIS2-Umsetzung beeinflussten.

Frühe NIS2-Durchsetzungssignale (2025–2026)

Mehrere nationale zuständige Behörden richteten im gesamten vierten Quartal 2024 und ersten Quartal 2025 formelle Anfragen nach Dokumentation und Selbstauskunft zur Compliance an wesentliche Einrichtungen in den Bereichen Energie und Gesundheit – die erste Ausübung der proaktiven Aufsichtsbefugnisse gemäß NIS2.
Die Europäische Kommission leitete Vertragsverletzungsverfahren gegen 19 Mitgliedstaaten wegen Versäumnis der NIS2-Umsetzung bis zur Frist im Oktober 2024 ein und demonstrierte damit, dass der Durchsetzungsdruck gleichzeitig auf mehreren Ebenen wirkt.
Mehrere Mitgliedstaaten haben öffentlich formelle Untersuchungen gegen wesentliche Einrichtungen in den Bereichen Energie und öffentliche Verwaltung angekündigt – Details sind aufgrund laufender formeller Verfahren begrenzt, aber die Untersuchungen bestätigen, dass das Modell der proaktiven Aufsicht aktiviert wird.

Wesentliche Erkenntnis: Die Durchsetzung ist nicht hypothetisch – sie ist aktiv. Das Zeitfenster von 12–18 Monaten nach Oktober 2024 ist genau der Zeitraum, in dem die nationalen Behörden ihre Durchsetzungspräzedenzfälle etablieren, und frühe Fälle richten sich in der Regel an hochrangige Sektoren, in denen Vorfälle aufgetreten sind oder in denen Dokumentationsanfragen erhebliche Lücken offenbarten.

8. So schützen Sie Ihre Organisation und sich selbst

Der Sanktionsrahmen ist darauf ausgelegt, Handlungen zu motivieren, und der wirksamste Schutz gegen NIS2-Sanktionen ist eine dokumentierte, nachgewiesene Compliance. Hier sollten Sie den Schwerpunkt setzen:

Für Ihre Organisation

Bestimmen Sie Ihre Entitätsklassifizierung – wesentlich oder wichtig. Ihre Bußgeldexposition und Ihr Aufsichtsregime hängen davon ab. Nutzen Sie den NIS2-Anwendungsbereichsleitfaden, falls Sie Ihren Status noch nicht bestätigt haben.
Implementieren und dokumentieren Sie alle 10 Maßnahmen gemäß Artikel 21 – und pflegen Sie die Nachweisführung. Prüfer und Inspektoren suchen nach dokumentierten Richtlinien, Umsetzungsnachweisen und Testergebnissen, nicht nur nach mündlichen Zusicherungen. Die NIS2-Compliance-Checkliste ordnet jede erforderliche Maßnahme der entsprechenden Dokumentation zu.
Etablieren Sie Verfahren zur Vorfallmeldung – das Versäumen der 24-Stunden-Frühwarnfrist ist ein eigenständiger Compliance-Verstoß, der unabhängig vom zugrunde liegenden Vorfall Durchsetzungsmaßnahmen auslöst. Informationen zum vollständigen Vorfallmelderahmen finden Sie im NIS2-Anforderungsleitfaden.
Erstellen Sie Ihre Dokumentenbibliothek – die 52 NIS2-Compliance-Vorlagen decken jede Richtlinie, jedes Verfahren und jeden Nachweis ab, der gemäß der Richtlinie und CIR 2024/2690 erforderlich ist, und sind zur Anpassung an Ihre Organisation bereit.

Für Vorstandsmitglieder und leitende Führungskräfte

Nehmen Sie an der vorgeschriebenen Cybersicherheitsschulung teil – und dokumentieren Sie diese. Das Versäumen der Schulung stellt selbst einen Verstoß gegen Artikel 20 dar, unabhängig von einem etwaigen zugrunde liegenden Sicherheitsversagen.
Genehmigen Sie das Cybersicherheitsprogramm Ihrer Organisation formal – auf Vorstandsebene, mit Protokollen, die die Genehmigung festhalten. Wenn Ihr CISO oder Ihr IT-Team ein Sicherheitsprogramm vorlegt und das Management es weder genehmigt noch hinterfragt,
N2
NIS2-Richtlinie.com
Branchenspezifische NIS2-Compliance-Dokumentation für deutsche Unternehmen. Ausgerichtet an BSI IT-Grundschutz und NIS2UmsuCG.
InformationenWas ist NIS2?Bin ich betroffen?Maßnahmen Art. 21 Meldepflichten
BranchenMaschinenbau Energie Alle Branchen
Vorlagen & KontaktAlle Vorlagen Readiness-Check Kontakt Über uns
Alle auf dieser Website angebotenen Dokumente und Informationen sind allgemeine Muster und stellen keinen Rechtsrat dar. Die Vorlagen wurden nicht auf individuelle Unternehmensumstände zugeschnitten. Bitte lassen Sie alle Dokumente vor dem Einsatz durch einen qualifizierten Rechts- oder IT-Sicherheitsberater prüfen. Kein Anspruch auf Vollständigkeit oder Konformität mit dem NIS2UmsuCG.
© 2026 NIS2-Richtlinie.com — Alle Rechte vorbehalten
Impressum Datenschutz AGB Haftungsausschluss

1. Das NIS2-Sanktionsrahmen: Zwei Stufen, eskalierende Konsequenzen

2. Finanzielle Sanktionen für wesentliche Einrichtungen

3. Finanzielle Sanktionen für wichtige Einrichtungen