NIS2-Folgen: Unternehmen drohen hohe Bußgelder

NIS2-Folgen: Unternehmen drohen hohe Bußgelder

Die NIS2 fordert von kritischen Unternehmen und öffentlichen Einrichtungen umfangreiche Maßnahmen zum Schutz gegen Cyberattacken. Unternehmen, die diese Pflichten missachten, haben mit erheblichen NIS2-Folgen zu rechnen. 

  • Es drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Ein besonderes Interesse an der Umsetzung der NIS2-Anforderungen sollten die Geschäftsleitungen haben. Sie haften mit ihrem Privatvermögen.

Die Mindestanforderungen der NIS2 an die IT- und Informationssicherheit der betroffenen Unternehmen und Organisationen sind hoch. Die Basis dafür ist ein "All-Gefahren-Ansatz", der IT, Netzwerke und physische Infrastruktur vor Sicherheitsvorfällen schützt. Dementsprechend umfangreich sind die Pflichten für besonders wichtige und wichtige Einrichtungen.

Die Anforderungen umfassen Meldepflichten bei Sicherheitsvorfällen, Cyber-Risiko-Management und Sicherheit in der Lieferkette. Zusätzlich gehören Business Continuity Management sowie eine Reihe technischer und organisatorischer Maßnahmen dazu. Zu letzteren zählen beispielsweise Zugriffskontrolle (u. a. Multi-Faktor-Authentifizierung), Verschlüsselung, physische Sicherheit oder Security Awareness-Schulungen für Mitarbeiter.

Sanktionen bei Missachtung

Die letztendliche Verantwortung für die Umsetzung der NIS2-Anforderungen tragen die Geschäftsleitungen der betroffenen Einrichtungen. Das Regelwerk verlangt, dass die Teilnehmer regelmäßig an Schulungen teilnehmen. Dadurch sollen sie die nötigen Kenntnisse und Fähigkeiten erwerben, um Risiken zu bewerten. So können sie Maßnahmen umsetzen und NIS2-Folgen vermeiden.

Schließlich müssen sie die Risikomanagement-Maßnahmen für IT- und Informationssicherheit billigen und die Umsetzung überwachen. Wenn sie diese Pflichten verletzen, müssen die Geschäftsführer und andere Leitungsorgane von Unternehmen mit ihrem Privatvermögen haften. Schließlich drohen Firmen bei Missachtung der NIS2-Regeln hohe Bußgelder.

Die Bußgeldvorschriften definiert das NIS2-Umsetzungsgesetz (Stand Mai 2024) in §61. Im Vergleich zur Vorgängerversion wurden dabei die Bußgelder deutlich erhöht oder um neue Tatbestände erweitert, z. B. bei den bisherigen KRITIS-Unternehmen als Betreiber kritischer Anlagen.

Bei der Höhe der Geldstrafen macht NIS2 keinen Unterschied zwischen besonders wichtigen Einrichtungen und Kritischen Anlagen. Unterschiede bestehen jedoch zu den wichtigen Einrichtungen.

  • Bei besonders wichtigen Einrichtungen und Betreibern kritischer Anlagen 

    kann das Bußgeld bis zu 10 Millionen Euro betragen. Alternativ kann es einen Höchstbetrag von mindestens 2 % des gesamten weltweiten Umsatzes des Unternehmens im letzten Geschäftsjahr erreichen. Maßgeblich ist der jeweils höhere Betrag. 
     

  • Der Bußgeldrahmen für wichtige Einrichtungen liegt bei bis zu 7 Millionen Euro.

    Alternativ kann er einen Höchstbetrag von mindestens 1,4 % des gesamten weltweiten Umsatzes des Unternehmens im letzten Geschäftsjahr erreichen. Dabei ist der höhere Betrag maßgeblich.

Bußgeldkatalog – eine detaillierte Übersicht

Im Folgenden eine Auswahl von Bußgeldern für bestimmte Verstöße.

Höhe des BußgeldesVerstoß
10 Millionen EuroBetreiber kritischer Anlagen (KRITIS) erbringen Nachweise über Erfüllung der Anforderungen nicht, nicht richtig oder nicht vollständig.

Besonders wichtige Einrichtungen setzen Vorkehrungen zur Cybersicherheit nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig um bzw. übermitteln Meldungen nicht, nicht richtig, unvollständig oder nicht rechtzeitig. (ist der Umsatz der Firmen höher als 500 Millionen Euro, beträgt das Bußgeld 2 % des weltweiten Jahresumsatzes)
7 Millionen EuroWichtige Einrichtungen setzen Vorkehrungen zur Cybersicherheit nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig um bzw. übermitteln Meldungen nicht, nicht richtig, unvollständig oder nicht rechtzeitig. (ist der Umsatz der Firmen höher als 500 Millionen Euro, beträgt das Bußgeld 1,4 % des weltweiten Jahresumsatzes)
2 Millionen Euroz. B
TK-Anbieter treffen keine durch das BSI angewiesenen Maßnahmen zur Abwehr konkreter erheblicher Gefahren.

Betreiber kritischer Anlagen liefern keine geeigneten Nachweise über die erfolgte Mängelbeseitigung.
500.000 Euroz. B. 
Besonders wichtige und wichtige Einrichtungen verweigern, die durch das BSI angewiesenen erforderlichen Maßnahmen zur Verhütung oder Behebung eines Sicherheitsvorfalls oder Mangels oder die Berichterstattung darüber bzw. erbringen den geforderten Nachweis nicht oder nicht rechtzeitig.

Das BSI wird über Änderungen an Registrierungsdaten nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet.

Betreiber kritischer Anlagen liefern Nachweise über Erfüllung der Anforderungen nicht rechtzeitig.

Hersteller von IT-Systemen verweigern die durch das BSI angewiesene Mitwirkung an der Beseitigung oder Vermeidung von erheblichen Sicherheitsvorfällen bei IKT-Produkten.
100.000 Euroz. B. 
Kontaktstelle ist nicht erreichbar.

Betreiber kritischer Anlagen liefern fahrlässig einen Nachweis nicht richtig oder vollständig.

Hersteller verweigern Auskunft zu Produkten und Systemen (v. a. technische Details).

Betreiber kritischer Anlagen, wichtige und besonders wichtige Einrichtungen verweigern die Unterrichtung von Kunden sowie die Einsetzung eines Überwachungsbeauftragten.

NIS2-Folgen: Unternehmen müssen reagieren

Auch wenn das Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit, kurz NIS2UmsuCG, möglicherweise in Deutschland erst Anfang 2025 endgültig verabschiedet wird (EU-Vorgabe ist Oktober 2024), sollten sich die von NIS2 betroffenen Unternehmen nicht ausruhen und die Vorgaben zügig umsetzen. Ansonsten drohen die oben geschilderten empfindlichen Strafen.
Jetzt kostenlos beraten lassen!

Hier finden Sie weitere Beiträge zum Thema NIS2!

NIS2: Wer ist betroffen?

NIS2 Maßnahmen - Was müssen Unternehmen tun?

NIS2 Security: Effiziente Angriffserkennung & Reporting

NIS2: Umgang mit IT-Sicherheitsvorfällen im Unternehmen

NIS2 Umsetzungsgesetz (NIS2UmsuCG)

< Zurück zur Übersicht
Home | Insights | Blog | NIS2-Folgen: Unternehmen drohen hohe Bußgelder