NIS2-Folgen: Unternehmen drohen hohe Bussgelder

NIS2-Folgen: Unternehmen drohen hohe Bussgelder

Die NIS2 fordert von kritischen Unternehmen und öffentlichen Einrichtungen umfangreiche Massnahmen zum Schutz gegen Cyberattacken. Unternehmen, die diese Pflichten missachten, haben mit erheblichen NIS2-Folgen zu rechnen. 

  • Es drohen Bussgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Ein besonderes Interesse an der Umsetzung der NIS2-Anforderungen sollten die Geschäftsleitungen haben. Sie haften mit ihrem Privatvermögen.

Die Mindestanforderungen der NIS2 an die IT- und Informationssicherheit der betroffenen Unternehmen und Organisationen sind hoch. Die Basis dafür ist ein "All-Gefahren-Ansatz", der IT, Netzwerke und physische Infrastruktur vor Sicherheitsvorfällen schützt. Dementsprechend umfangreich sind die Pflichten für besonders wichtige und wichtige Einrichtungen.

Die Anforderungen umfassen Meldepflichten bei Sicherheitsvorfällen, Cyber-Risiko-Management und Sicherheit in der Lieferkette. Zusätzlich gehören Business Continuity Management sowie eine Reihe technischer und organisatorischer Massnahmen dazu. Zu letzteren zählen beispielsweise Zugriffskontrolle (u. a. Multi-Faktor-Authentifizierung), Verschlüsselung, physische Sicherheit oder Security Awareness-Schulungen für Mitarbeiter.

Sanktionen bei Missachtung

Die letztendliche Verantwortung für die Umsetzung der NIS2-Anforderungen tragen die Geschäftsleitungen der betroffenen Einrichtungen. Das Regelwerk verlangt, dass die Teilnehmer regelmässig an Schulungen teilnehmen. Dadurch sollen sie die nötigen Kenntnisse und Fähigkeiten erwerben, um Risiken zu bewerten. So können sie Massnahmen umsetzen und NIS2-Folgen vermeiden.

Schliesslich müssen sie die Risikomanagement-Massnahmen für IT- und Informationssicherheit billigen und die Umsetzung überwachen. Wenn sie diese Pflichten verletzen, müssen die Geschäftsführer und andere Leitungsorgane von Unternehmen mit ihrem Privatvermögen haften. Schliesslich drohen Firmen bei Missachtung der NIS2-Regeln hohe Bussgelder.

Die Bussgeldvorschriften definiert das NIS2-Umsetzungsgesetz (Stand Mai 2024) in §61. Im Vergleich zur Vorgängerversion wurden dabei die Bussgelder deutlich erhöht oder um neue Tatbestände erweitert, z. B. bei den bisherigen KRITIS-Unternehmen als Betreiber kritischer Anlagen.

Bei der Höhe der Geldstrafen macht NIS2 keinen Unterschied zwischen besonders wichtigen Einrichtungen und Kritischen Anlagen. Unterschiede bestehen jedoch zu den wichtigen Einrichtungen.

  • Bei besonders wichtigen Einrichtungen und Betreibern kritischer Anlagen 

    kann das Bussgeld bis zu 10 Millionen Euro betragen. Alternativ kann es einen Höchstbetrag von mindestens 2 % des gesamten weltweiten Umsatzes des Unternehmens im letzten Geschäftsjahr erreichen. Massgeblich ist der jeweils höhere Betrag. 
     

  • Der Bussgeldrahmen für wichtige Einrichtungen liegt bei bis zu 7 Millionen Euro.

    Alternativ kann er einen Höchstbetrag von mindestens 1,4 % des gesamten weltweiten Umsatzes des Unternehmens im letzten Geschäftsjahr erreichen. Dabei ist der höhere Betrag massgeblich.

Bussgeldkatalog – eine detaillierte Übersicht

Im Folgenden eine Auswahl von Bussgeldern für bestimmte Verstösse.

Höhe des BussgeldesVerstoss
10 Millionen EuroBetreiber kritischer Anlagen (KRITIS) erbringen Nachweise über Erfüllung der Anforderungen nicht, nicht richtig oder nicht vollständig.

Besonders wichtige Einrichtungen setzen Vorkehrungen zur Cybersicherheit nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig um bzw. übermitteln Meldungen nicht, nicht richtig, unvollständig oder nicht rechtzeitig. (ist der Umsatz der Firmen höher als 500 Millionen Euro, beträgt das Bussgeld 2 % des weltweiten Jahresumsatzes)
7 Millionen EuroWichtige Einrichtungen setzen Vorkehrungen zur Cybersicherheit nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig um bzw. übermitteln Meldungen nicht, nicht richtig, unvollständig oder nicht rechtzeitig. (ist der Umsatz der Firmen höher als 500 Millionen Euro, beträgt das Bussgeld 1,4 % des weltweiten Jahresumsatzes)
2 Millionen Euroz. B
TK-Anbieter treffen keine durch das BSI angewiesenen Massnahmen zur Abwehr konkreter erheblicher Gefahren.

Betreiber kritischer Anlagen liefern keine geeigneten Nachweise über die erfolgte Mängelbeseitigung.
500.000 Euroz. B. 
Besonders wichtige und wichtige Einrichtungen verweigern, die durch das BSI angewiesenen erforderlichen Massnahmen zur Verhütung oder Behebung eines Sicherheitsvorfalls oder Mangels oder die Berichterstattung darüber bzw. erbringen den geforderten Nachweis nicht oder nicht rechtzeitig.

Das BSI wird über Änderungen an Registrierungsdaten nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet.

Betreiber kritischer Anlagen liefern Nachweise über Erfüllung der Anforderungen nicht rechtzeitig.

Hersteller von IT-Systemen verweigern die durch das BSI angewiesene Mitwirkung an der Beseitigung oder Vermeidung von erheblichen Sicherheitsvorfällen bei IKT-Produkten.
100.000 Euroz. B. 
Kontaktstelle ist nicht erreichbar.

Betreiber kritischer Anlagen liefern fahrlässig einen Nachweis nicht richtig oder vollständig.

Hersteller verweigern Auskunft zu Produkten und Systemen (v. a. technische Details).

Betreiber kritischer Anlagen, wichtige und besonders wichtige Einrichtungen verweigern die Unterrichtung von Kunden sowie die Einsetzung eines Überwachungsbeauftragten.

NIS2-Folgen: Unternehmen müssen reagieren

Auch wenn das Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit, kurz NIS2UmsuCG, möglicherweise in Deutschland erst Anfang 2025 endgültig verabschiedet wird (EU-Vorgabe ist Oktober 2024), sollten sich die von NIS2 betroffenen Unternehmen nicht ausruhen und die Vorgaben zügig umsetzen. Ansonsten drohen die oben geschilderten empfindlichen Strafen.
Jetzt kostenlos beraten lassen!

Hier finden Sie weitere Beiträge zum Thema NIS2!

NIS2: Wer ist betroffen?

NIS2 Massnahmen - Was müssen Unternehmen tun?

NIS2 Security: Effiziente Angriffserkennung & Reporting

NIS2: Umgang mit IT-Sicherheitsvorfällen im Unternehmen

NIS2 Umsetzungsgesetz (NIS2UmsuCG)

< Zurück zur Übersicht
Home | Insights | Blog | NIS2-Folgen: Unternehmen drohen hohe Bussgelder