NIS2-Bußgelder 2026: 10 Millionen Euro oder 2% des Umsatzes — Was Ihr Vorstand wissen muss

Ein mittelständisches Energieunternehmen in Deutschland erhält ein Schreiben vom BSI. Ihre NIS2-Registrierungsfrist ist vor drei Monaten abgelaufen. Sie haben sich nie registriert. Das Bußgeld? Bis zu 10 Millionen Euro — oder 2% ihres weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher liegt. Und gemäß Artikel 20 der NIS2-Richtlinie können Vorstandsmitglieder, die die Genehmigung von Cybersicherheitsmaßnahmen versäumt haben, persönlich haftbar gemacht werden.

Dies ist kein hypothetisches Szenario. (Wenn Sie die gesamte Bandbreite der Durchsetzungsbefugnisse über Bußgelder hinaus verstehen möchten, lesen Sie unsere frühere Analyse: 7 NIS2-Sanktionen, die schlimmer sind als Geld.) Deutschlands NIS2-Umsetzungsgesetz ist seit Dezember 2025 in Kraft. Rund 29.500 Unternehmen unterstehen nun der BSI-Aufsicht. Die Niederlande, Frankreich und ein Dutzend weitere EU-Mitgliedstaaten folgen schnell nach.

Falls Ihre Organisation unter NIS2 fällt und Ihr Vorstand noch nicht tätig geworden ist, schließt sich das Zeitfenster zur druckfreien Vorbereitung rasch.

So funktionieren NIS2-Bußgelder tatsächlich

Die NIS2-Richtlinie (EU 2022/2555) legt zwei Bußgeldstaffeln in Artikel 34 fest. Die Höhe hängt davon ab, ob Ihre Organisation als wesentliche oder wichtige Einrichtung klassifiziert ist.

Wesentliche Einrichtungen — Energie, Verkehr, Gesundheitswesen, Bankenwesen, digitale Infrastruktur, Wasser und IKT-Dienstleister — zahlen Bußgelder von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher liegt.

Wichtige Einrichtungen — Postdienste, Abfallwirtschaft, Lebensmittelproduktion, Chemikalien, Fertigung und digitale Anbieter — zahlen Bußgelder von bis zu 7 Millionen Euro oder 1,4% des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher liegt.

Die Klausel „je nachdem, welcher Betrag höher liegt" ist entscheidend. Für ein Unternehmen mit 800 Millionen Euro Jahresumsatz entspricht 2% 16 Millionen Euro — deutlich über der 10-Millionen-Euro-Grenze. Die festen Beträge begrenzen nur kleinere Organisationen.

Unknown comparison key: finesComparison

Diese Bußgelder gelten bei Verstößen in zwei Bereichen: Nichtumsetzen der erforderlichen Cybersicherheitsmaßnahmen (Artikel 21) und Nichterfüllung der Meldepflichten für Vorfälle (Artikel 23). Nationale Behörden können zusätzlich Zwangsgelder verhängen, um die laufende Compliance zu erzwingen.

Ein konkretes Beispiel

Betrachten Sie einen verwalteten IKT-Dienstleister mit 50 Millionen Euro Jahresumsatz, klassifiziert als wesentliche Einrichtung. Falls ein Regulator feststellt, dass angemessene Incident-Response-Verfahren und Lieferkettenkontrollen fehlen, liegt die maximale Bußgeldexposition bei 10 Millionen Euro (da 2% von 50 Mio. Euro 1 Mio. Euro entspricht, gilt die feste Obergrenze). Das sind 20% des Jahresumsatzes — genug, um das Geschäftsmodell zu gefährden.

Ihr Vorstand trägt persönliche Haftung

Artikel 20 der NIS2-Richtlinie führt etwas ein, das viele Direktoren noch nicht vollständig erfasst haben: die Verantwortung des Leitungsorgans für Cybersicherheit.

Ihr Vorstand muss:

1. Die Cybersicherheits-Risikomanagement-Maßnahmen genehmigen, die Ihre Organisation gemäß Artikel 21 umsetzt
2. Die Umsetzung dieser Maßnahmen überwachen
3. Regelmäßige Cybersicherheitsschulung absolvieren — und sicherstellen, dass auch Mitarbeiter fortlaufende Schulungen erhalten
4. Haftung für Verstöße gegen Artikel 21 akzeptieren

Dies ist keine Delegationsmöglichkeit. Die Richtlinie besagt ausdrücklich, dass Leitungsorgane für Nichtkonformität haftbar gemacht werden können. Für wesentliche Einrichtungen gehen die Artikel 32 und 33 noch weiter: zuständige Behörden können Gerichte auffordern, einzelne Direktoren vorübergehend von der Ausübung von Managementfunktionen zu suspendieren, bis die Organisation Compliance erreicht.

Der genaue Umfang der persönlichen Haftung variiert zwischen den Mitgliedstaaten — Deutschland, Italien und Belgien haben bereits spezifische Haftungsmechanismen in ihre nationalen Gesetze implementiert. Aber die Richtung ist EU-weit klar: Cybersicherheit ist jetzt eine Vorstandsverantwortung, kein IT-Abteilungsproblem.

Was dies in der Praxis bedeutet

Falls Ihre Organisation einen schwerwiegenden Cybersicherheitsvorfall erleidet und der Regulator feststellt, dass der Vorstand nie eine Cybersicherheitsrichtlinie genehmigt hat, nie Schulungen absolviert hat und die Risikosituation der Organisation nie überprüft hat — gehen die persönlichen Konsequenzen für Direktoren über die Unternehmensstrafe hinaus.

Die 10 Maßnahmen, die Ihre Organisation umsetzen muss

Artikel 21 schreibt zehn mindestens erforderliche Cybersicherheits-Risikomanagement-Maßnahmen vor. Diese sind nicht optional und gelten für jede in Scope befindliche Einrichtung:

1. Risikoanalyse und Informationssicherheitsrichtlinien — dokumentiert, vorstandsgenehmigt
2. Incident-Handling — Verfahren, die die 24/72-Stunden-Meldungsfristen unterstützen
3. Geschäftskontinuität — Backup-Management, Disaster Recovery und Krisenmanagement
4. Lieferkettensicherheit — Sicherheitsanforderungen für direkte Lieferanten und Dienstleister
5. Sicherheit in Systembeschaffung, -entwicklung und -wartung — einschließlich Schwachstellenbehandlung
6. Wirksamkeitsbewertung — Richtlinien und Verfahren zur Evaluierung, ob Ihre Maßnahmen tatsächlich wirken
7. Cyber-Hygiene und Schulung — grundlegende Praktiken für alle Mitarbeiter
8. Kryptographiepolitik — einschließlich Verschlüsselung, wo angemessen
9. Personalsicherheit, Zugriffskontrolle und Asset-Management
10. Multi-Faktor-Authentifizierung — und sichere Kommunikation, wo angemessen

Artikel 21 — 10 NIS2 Cybersicherheitsmaßnahmen
🛡️
Artikel 21
10 Cybersicherheitsmaßnahmen
📊
Governance & Strategie
1Risikoanalyse & Informationssicherheitsrichtlinien
6Bewertung der Wirksamkeit von Sicherheitsmaßnahmen
🚨
Vorfälle & Kontinuität
2Vorfallsbehandlung & Meldung
3Geschäftskontinuität & Notfallwiederherstellung
🔗
Lieferkette & Systeme
4Sicherheit der Lieferkette
5Sicherheit bei der Entwicklung von Netz- und Informationssystemen
🔐
Technische Kontrollen
8Kryptografie & Verschlüsselung
10Multi-Faktor-Authentifizierung & sichere Kommunikation
👥
Personal & Ressourcen
7Cyber-Hygiene & Schulung
9Personalsicherheit & Zugangskontrolle

Nicht sicher, ob Ihre Organisation diese 10 Anforderungen erfüllt? Machen Sie den kostenlosen NIS2 Quick Scan — er bildet Ihre aktuelle Position gegenüber Artikel 21 in unter 10 Minuten ab.

Die Maßnahmen, die in mittelständischen Organisationen am häufigsten fehlen, sind Lieferkettensicherheit, formale Incident-Handling-Verfahren, Wirksamkeitsbewertung und MFA-Implementierung über E-Mail hinaus. Dies sind auch die Bereiche, auf die sich Regulatoren voraussichtlich zunächst konzentrieren werden.

Incident-Meldung: Der 24-72-30-Zeitplan

Artikel 23 legt strenge Meldungsfristen fest, auf die sich viele Organisationen nicht vorbereitet haben:

Stufe	Frist	Was Sie melden müssen
Früherkennung	24 Stunden nach Feststellung	Ob der Vorfall vermutlich böswillig ist; mögliche grenzüberschreitende Auswirkungen
Incident-Benachrichtigung	72 Stunden nach Feststellung	Aktualisierte Informationen, erste Schweregradbewertung, Indikatoren für Kompromittierung
Abschlussbericht	1 Monat nach Benachrichtigung	Ursachenanalyse, ergriffene Mitigationsmaßnahmen, vollständige Auswirkungsbewertung

NIS2 Zeitplan für die Vorfallmeldung
24h
⚡
Frühwarnung
Melden Sie den erheblichen Vorfall innerhalb von 24 Stunden nach Bekanntwerden bei der zuständigen Behörde (CSIRT/NCA).
Schritt 1
72h
📋
Vorfallmeldung
Übermitteln Sie innerhalb von 72 Stunden eine detaillierte Meldung mit einer ersten Bewertung von Schwere, Auswirkungen und Kompromittierungsindikatoren.
Schritt 2
1mo
📊
Abschlussbericht
Liefern Sie innerhalb eines Monats einen umfassenden Abschlussbericht mit Ursachenanalyse, ergriffenen Maßnahmen und grenzüberschreitenden Auswirkungen.
Schritt 3
24h
⚡
Frühwarnung
Melden Sie den erheblichen Vorfall innerhalb von 24 Stunden nach Bekanntwerden bei der zuständigen Behörde (CSIRT/NCA).
72h
📋
Vorfallmeldung
Übermitteln Sie innerhalb von 72 Stunden eine detaillierte Meldung mit einer ersten Bewertung von Schwere, Auswirkungen und Kompromittierungsindikatoren.
1mo
📊
Abschlussbericht
Liefern Sie innerhalb eines Monats einen umfassenden Abschlussbericht mit Ursachenanalyse, ergriffenen Maßnahmen und grenzüberschreitenden Auswirkungen.

Das Versäumnis dieser Fristen setzt Ihre Organisation den gleichen Artikel-34-Bußgeldern aus wie das Versäumnis, Sicherheitsmaßnahmen umzusetzen. Die 24-Stunden-Früherkennung ist besonders anspruchsvoll — sie erfordert, dass Ihre Organisation Überwachungs-, Klassifizierungs- und Eskalationsprozesse bereits vor einem Vorfall etabliert hat.

Durchsetzungsstand der Behörden

Die Durchsetzungslandschaft in Europa ist uneinheitlich, aber beschleunigt sich:

Deutschland ist vollständig operativ. Das NIS2UmsuCG trat am 6. Dezember 2025 in Kraft. Das BSI-Registrierungsportal öffnete am 6. Januar 2026 mit einer Registrierungsfrist bis zum 6. März 2026. Rund 29.500 Einrichtungen sind betroffen — gegenüber 4.500 unter dem vorherigen NIS1-Regime.

Die Niederlande folgen schnell. Die Cyberbeveiligingswet (Cbw) stand Ende März 2026 in der Parlamentsdebatte, mit Inkrafttreten erwartet in Q2 2026. Die RDI beaufsichtigt digitale Infrastruktur; die ILT Verkehr. Die Registrierungsinfrastruktur steht bereits für frühzeitige Vorbereitung zur Verfügung.

Frankreich hat sein ReCyF-Framework über die ANSSI (März 2026) mit 20 Sicherheitszielen für wesentliche Einrichtungen und 15 für wichtige Einrichtungen gestartet. Allerdings ist Frankreichs Umsetzungsgesetz noch nicht erlassen — die parlamentarische Prüfung ist für Juli 2026 angesetzt.

Belgien, Italien, Kroatien, Ungarn und mehrere weitere Mitgliedstaaten haben die Richtlinie vollständig umgesetzt. Die Europäische Kommission hat im Mai 2025 begründete Stellungnahmen an 19 Mitgliedstaaten für das Versäumnis der ursprünglichen Frist im Oktober 2024 ausgegeben.

NIS2 Umsetzungsstatus nach Land (2025–2026)
✅
Vollständig in Kraft
🇧🇪Belgien
🇭🇷Kroatien
🇭🇺Ungarn
🇱🇹Litauen
🇱🇻Lettland
🇮🇹Italien
6 Länder
📋
Verabschiedet — Ende 2025
🇩🇪Deutschland
🇨🇿Tschechien
🇫🇮Finnland
3 Länder
⏳
In Bearbeitung — erwartet 2026
🇳🇱Niederlande
🇫🇷Frankreich
🇪🇸Spanien
🇵🇱Polen
🇦🇹Österreich
🇸🇪Schweden
🇮🇪Irland
7 Länder

Das Fazit: Durchsetzung ist keine Zukunftssorge. In mehreren EU-Ländern findet sie bereits statt.

Was Ihr Vorstand diese Woche tun sollte

Sie müssen nicht alles auf einmal lösen. Aber Ihr Vorstand muss beginnen — sichtbar, formal und dokumentiert.

Schritt 1: Bestimmen Sie Ihre Klassifizierung. Sind Sie eine wesentliche oder wichtige Einrichtung? Die Schwellwerte sind eindeutig: 50+ Mitarbeiter oder 10 Mio. Euro Umsatz in einem betroffenen Sektor. Einige Einrichtungen (DNS-Anbieter, Vertrauensdienste) sind unabhängig von der Größe automatisch in Scope.

Schritt 2: Involvieren Sie Ihren Vorstand formal. Planen Sie eine Vorstandsbeschlussfassung zur Genehmigung eines Cybersicherheits-Risikomanagement-Ansatzes. Dokumentieren Sie dies. Dies beantwortet direkt die Haftungsanforderung aus Artikel 20.

Schritt 3: Buchen Sie Managementschulung. Die Richtlinie verlangt es. Eine Sitzung reicht nicht aus — dies muss fortlaufend erfolgen. Stellen Sie sicher, dass Ihre Vorstandsmitglieder ihre Vertrautheit mit der Cyber-Risikosituation der Organisation nachweisen können.

Schritt 4: Bewerten Sie Ihre aktuellen Lücken. Ordnen Sie Ihre bestehenden Sicherheitsmaßnahmen den 10 Anforderungen aus Artikel 21 zu. Wo sind Sie am schwächsten? Lieferkettensicherheit und Incident Response sind häufige Lücken.

Schritt 5: Bereiten Sie Ihre Meldungsfähigkeit vor. Kann Ihre Organisation einen Vorfall innerhalb von 24 Stunden erkennen, klassifizieren und melden? Falls nicht, müssen diese Prozesse jetzt aufgebaut werden — nicht nach dem ersten Vorfall.

Möchten Sie wissen, wie es um Ihre Organisation steht? Starten Sie die kostenlose NIS2-Readiness-Analyse — sie dauert 10 Minuten und gibt Ihnen ein klares Bild Ihrer Compliance-Lücken gegenüber Artikel 21.

Die Kosten des Wartens

Jeder Monat Verzögerung erhöht Ihre Risikoexposition. Deutschland setzt bereits durch. Die Niederlande sind kurz davor. Frankreich, Spanien und Polen befinden sich in fortgeschrittenen Umsetzungsstadien.

NIS2-Bußgelder sind so gestaltet, dass sie verhältnismäßig sind, aber bedeutsam — hoch genug, dass die Ignorierung der Richtlinie wirtschaftlich nie rational ist. Und mit persönlicher Vorstandshaftung, die nun in EU-Recht verankert ist, gehen die Konsequenzen über die Bilanz hinaus.

Die Organisationen, die jetzt handeln, werden weniger ausgeben, weniger Überraschungen erleben und sich der Überstürzung entziehen, wenn die Durchsetzung ernsthaft beginnt. Der Compliance-Weg ist machbar — aber nur, wenn Sie beginnen, bevor der Regulator es tut.

---

Weiterführende Lektüre: 7 NIS2-Sanktionen, die schlimmer sind als Geld — Über Bußgelder hinaus gibt NIS2 Aufsichtsbehörden die Befugnis, Geschäftsführer zu sperren, Ihre Organisation öffentlich zu benennen und Ihren Betrieb auszusetzen. Kennen Sie das vollständige Bild.