norppa.io
Leitfäden

NIS2-Leitfaden · 8 Min.

NIS2-Bußgelder und Sanktionen: wie hoch, wer haftet und wie man sie vermeidet

NIS2 gibt den Aufsichtsbehörden echte Durchsetzungsmacht: umsatzbasierte Bußgelder, verbindliche Anordnungen und, für wesentliche Einrichtungen, die Befugnis, eine Zertifizierung vorübergehend auszusetzen oder einer Führungskraft die Funktion vorübergehend zu untersagen. Dieser Leitfaden erklärt, was die Sanktionen sind, wer persönlich haftet, wie sich die Aufsicht für wesentliche und wichtige Einrichtungen unterscheidet, und den praktischen Weg, Ärger zu vermeiden: Setzen Sie die Maßnahmen nach Artikel 21 Absatz 2 um und führen Sie fortlaufende, datierte Nachweise darüber.

Wichtigste Erkenntnisse

  • Die Höchstbußgelder sind umsatzbasiert: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen und 7 Mio. € oder 1,4 % für wichtige Einrichtungen, je nachdem, welcher Betrag höher ist.
  • Das Leitungsorgan muss die Sicherheitsmaßnahmen genehmigen und überwachen (Art. 20) und kann persönlich haftbar gemacht werden; bei wesentlichen Einrichtungen können Behörden einer Führungskraft die Funktion vorübergehend untersagen (Art. 32 Abs. 5).
  • Bußgelder sind das letzte Mittel: Der Alltag besteht aus verbindlichen Anordnungen, Audits und den Kosten des Sorgfaltsnachweises. Fortlaufende, nachgewiesene Lieferkettenüberwachung ist die günstigste Versicherung.

Was NIS2-Sanktionen abdecken

NIS2 (Richtlinie (EU) 2022/2555) wird von jedem Mitgliedstaat in nationales Recht umgesetzt, sodass die genauen Beträge und Verfahren national festgelegt werden, doch die Richtlinie legt die Untergrenzen für die maximalen Bußgelder und das Durchsetzungsinstrumentarium fest. Sanktionen knüpfen an die Nichterfüllung der Pflichten an: die Risikomanagementmaßnahmen nach Artikel 21 Absatz 2, die Meldepflichten nach Artikel 23, die Registrierung und die Zusammenarbeit mit den Behörden.

Entscheidend ist: Bei NIS2 geht es nicht nur um Geld. Artikel 32 (wesentliche Einrichtungen) und Artikel 33 (wichtige Einrichtungen) geben den zuständigen Behörden abgestufte Befugnisse, von Verwarnungen über verbindliche Anweisungen bis hin zu, für wesentliche Einrichtungen, Aussetzung und Führungsverboten. Das Bußgeld ist die Schlagzeile; die operativen Maßnahmen sind das, was die meisten Einrichtungen tatsächlich erleben.

Die Höchstbußgelder

Wesentliche Einrichtungen

Bis zu 10.000.000 € oder 2 % des gesamten weltweiten Jahresumsatzes (vorangegangenes Geschäftsjahr), je nachdem, welcher Betrag höher ist.

Größere Betreiber in hochkritischen Sektoren: Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trink- und Abwasser, digitale Infrastruktur, IKT-Dienstleistungsmanagement, öffentliche Verwaltung, Raumfahrt.

Wichtige Einrichtungen

Bis zu 7.000.000 € oder 1,4 % des gesamten weltweiten Jahresumsatzes (vorangegangenes Geschäftsjahr), je nachdem, welcher Betrag höher ist.

Sonstige mittlere und große Einrichtungen in den erfassten Sektoren, darunter Post- und Kurierdienste, Abfallwirtschaft, Chemikalien, Lebensmittel, verarbeitendes Gewerbe, digitale Anbieter und Forschung.

Dies sind durch die Richtlinie festgelegte Höchstgrenzen (Art. 34). Tatsächliche Bußgelder werden national festgelegt und müssen wirksam, verhältnismäßig und abschreckend sein, unter Berücksichtigung von Schwere, Dauer und Ihrer Zusammenarbeit. Bestätigen Sie die genauen Regeln in der Umsetzung Ihres Landes mit qualifizierter Beratung.

Persönliche Haftung und Haftung der Leitung

NIS2 legt die Cybersicherheit bewusst auf den Tisch der Geschäftsleitung. Nach Artikel 20 muss das Leitungsorgan die Cyber-Risikomanagementmaßnahmen genehmigen, ihre Umsetzung überwachen und kann für Versäumnisse haftbar gemacht werden. Mitglieder der Leitungsorgane müssen zudem an Schulungen teilnehmen und sollen ihren Mitarbeitenden ähnliche Schulungen anbieten.

Bei wesentlichen Einrichtungen geht Artikel 32 Absatz 5 weiter: Wenn andere Durchsetzung gescheitert ist, können die zuständigen Behörden eine Zertifizierung oder Genehmigung vorübergehend aussetzen und einer Person auf Ebene des Geschäftsführers oder gesetzlichen Vertreters die Ausübung von Leitungsfunktionen vorübergehend untersagen. Diese persönliche Verantwortung ist der Grund, warum die NIS2-Governance nun bis an die Spitze der Organisation reicht.

Sehen Sie, wie Ihre Lieferanten tatsächlich abschneiden

Kostenlose Testversion starten Beispielbericht ansehen

7 Tage kostenlos · keine Kreditkarte · jederzeit kündbar

Das Durchsetzungsinstrumentarium (über Bußgelder hinaus)

Vor oder neben einem Bußgeld können Behörden eine Reihe verbindlicher Maßnahmen anwenden (Art. 32 und 33). In der Praxis werden Sie am ehesten mit Folgendem konfrontiert:

  • Verwarnungen und verbindliche Anweisungen, bestimmte Mängel innerhalb einer Frist zu beheben.
  • Anordnungen zur Einhaltung, zur Information betroffener Kunden über eine erhebliche Bedrohung oder zur Umsetzung von Auditempfehlungen.
  • Verpflichtende Sicherheitsaudits und Vor-Ort-Inspektionen auf eigene Kosten.
  • Bestellung eines Überwachungsbeauftragten, der Ihre Einhaltung für einen festgelegten Zeitraum überwacht.
  • Öffentliche Bekanntgabe des Verstoßes und Anordnungen, Aspekte des Vorfalls öffentlich zu machen.
  • Nur für wesentliche Einrichtungen: vorübergehende Aussetzung der Zertifizierung oder Genehmigung und ein vorübergehendes Führungsverbot (Art. 32 Abs. 5).

Die Aufsicht unterscheidet sich je nach Kategorie

Wesentliche Einrichtungen unterliegen nach Artikel 32 einer proaktiven (Ex-ante-) und reaktiven (Ex-post-)Aufsicht: regelmäßige und gezielte Audits, Vor-Ort-Inspektionen, Sicherheitsscans und Auskunftsersuchen können unabhängig davon erfolgen, ob ein Problem vermutet wird.

Wichtige Einrichtungen werden nach Artikel 33 nur ex post beaufsichtigt: Die Behörden werden tätig, wenn Nachweise oder Hinweise auf Nichteinhaltung vorliegen, typischerweise nach einem Vorfall oder einer Beschwerde. In beiden Fällen liegt die Beweislast bei Ihnen, dass angemessene Maßnahmen vorhanden waren, was mit fortlaufenden Aufzeichnungen weit einfacher ist als mit einer einmal jährlichen Momentaufnahme.

Quellen: Richtlinie (EU) 2022/2555 (NIS2), Artikel 20, 32, 33 und 34 Die Höchstbußgeldbeträge sind in der Richtlinie festgelegt; die nationalen Umsetzungen regeln die genauen Vorschriften und Verfahren. Dieser Leitfaden ist eine allgemeine Information, keine Rechtsberatung.

Wie norppa.io Ihr Risiko senkt

Die meisten Sanktionen lassen sich auf zwei Versäumnisse zurückführen: unzureichende Maßnahmen nach Artikel 21 Absatz 2 (insbesondere Lieferkettensicherheit) und die Unfähigkeit, die Sorgfalt auf Anfrage nachzuweisen. norppa.io adressiert beides, indem es jede Lieferanten-Domain fortlaufend überwacht und jeden Befund dem NIS2-Artikel zuordnet, den er betrifft.

Da jeder Überwachungszyklus protokolliert wird, verfügen Sie über einen fortlaufenden, datierten Prüfpfad, genau den Nachweis, den die Aufsicht nach den Artikeln 32 und 33 verlangt, statt einer Momentaufnahme. Das macht aus „wir hatten vor“ ein „hier ist der Nachweis“ und ist die günstigste Versicherung gegen die obigen Bußgelder und Anordnungen.

Noch nicht startbereit? Holen Sie den NIS2-Stand Ihres Landes

Wir senden Ihnen den NIS2-Umsetzungsstand Ihres Landes (Behörde, nationales Gesetz, wichtige Termine) sowie eine kompakte Lieferanten-Sorgfaltsprüfungs-Checkliste. Eine E-Mail, dann gelegentliche NIS2-Updates.

Wir geben Ihre E-Mail nie weiter. Abmeldung mit einem Klick. In der EU gespeichert.

Weisen Sie Ihre Lieferketten-Sorgfalt nach

Sehen Sie sich einen Beispiel-Lieferantenbericht (Befunde, Nachweise und NIS2-Artikelzuordnung) in etwa zwei Minuten an.

Kostenlose Testversion starten Beispielbericht ansehen

7 Tage kostenlos · keine Kreditkarte · jederzeit kündbar

Beispiel-Dashboard ansehen

Zuletzt geprüft: 19. Juni 2026

Dieser Leitfaden bietet allgemeine Informationen zum EU-Recht, keine Rechtsberatung. NIS2 wird durch das nationale Umsetzungsgesetz jedes EU-Mitgliedstaats wirksam, das im Detail abweichen kann. Prüfen Sie die für Sie geltenden Pflichten mit Ihrer zuständigen Behörde oder Ihrem Rechtsbeistand.

Verwandte Leitfäden

Wie Sie NIS2 erfüllen: ein Schritt-für-Schritt-Fahrplan

Die Schritte zur NIS2-Konformität in der richtigen Reihenfolge: Anwendungsbereich bestätigen, registrieren, Verantwortung der Leitung (Art. 20), die Maßnahmen nach Art. 21 Abs. 2, Lieferkettensicherheit, Vorfallmeldung (Art. 23) und fortlaufende, nachgewiesene Absicherung.

Wer fällt unter NIS2? Wesentliche und wichtige Einrichtungen, Sektoren und Größenschwellen

Stellen Sie fest, ob NIS2 für Sie gilt: die zwei Kategorien, die Sektoren aus Anhang I/II, die Größenschwellen, größenunabhängige Ausnahmen und wie die Lieferkette Sie auch ohne Benennung erfasst.

NIS2 für Lieferanten: Sie sind nicht eingestuft, aber Ihre Kunden

Die meisten Unternehmen werden nie unter NIS2 eingestuft, müssen aber dennoch konform sein. Wie die Lieferkettenpflicht eines erfassten Kunden nach Artikel 21 Absatz 2 Buchstabe d auf Sie übergeht, was er verlangt und wie Sie glaubwürdig reagieren.

NIS2 und die Lieferkettenpflicht: was das in der Praxis bedeutet

NIS2 verpflichtet wesentliche und wichtige Einrichtungen zur Bewertung ihrer Lieferkettenrisiken. Lieferanten-Tiering, 4th-Party-Risiken, Art. 23-Meldepflicht und worauf Prüfer achten.

Lieferanten-Cyberrisikobeurteilung: was das automatisierte NIS2-Monitoring prüft

Alle Prüfkategorien erklärt: Ransomware, Dark-Web-Lecks, TLS/DNSSEC, Cookie-Sicherheit, CVE/EPSS, Sanktionen, MX-Blacklists und SAQ. Befundslebenszyklus und NIS2-Artikelzuordnung.

NIS2 Art. 21(2): Sicherheits-Checkliste für Lieferanten

Checkliste für Beschaffungs- und Sicherheitsteams: Was zu fragen ist, welche Nachweise zu sammeln sind und wie zu reagieren ist, wenn ein Lieferant Anforderungen nicht erfüllt. Mit empfohlenen Nachweisdokumenten.

NIS2-Lieferantenfragebogen (SAQ): was fragen, wie bewerten, plus Vorlage

Was Lieferanten nach Art. 21(2)(d) zu fragen ist, wie man Antworten bewertet und auf Lücken reagiert, warum Selbstauskunft Überprüfung braucht, plus eine kostenlose Vorlage.

NIS2-Vorfallmeldung: die 24- und 72-Stunden-Fristen erklärt

Was ein erheblicher Vorfall ist, der Zeitplan nach Artikel 23 (24-Stunden-Frühwarnung, 72-Stunden-Meldung, Abschlussbericht nach einem Monat) und wann der Vorfall eines Lieferanten zu Ihrer Pflicht wird.

NIS2 und die Verantwortung der Leitung: Was Vorstand und Geschäftsführung wissen müssen

Was NIS2 vom Leitungsorgan erwartet: Genehmigungs- und Aufsichtspflichten, persönliche Haftung (Art. 20), Schulung, Vorstands-KPIs und die Sanktionen nach Art. 34.

ISO 27001 und NIS2: Was Ihr ISMS bereits abdeckt, und die Lücken, die bleiben

Wenn Sie ISO 27001 halten: was auf NIS2 übertragbar ist und was nicht (gesetzliche Vorfallmeldung, Haftung der Leitung, Registrierung und kontinuierliche Lieferkettensicherung) und wie Sie die Lücke schließen.

NIS2 vs. DORA: Unterschiede, Überschneidungen und was für Sie gilt

Wie sich die zwei EU-Regime unterscheiden und überschneiden, warum DORA Lex specialis für Finanzunternehmen ist, was für Sie gilt und was beide für Drittparteienrisiko bedeuten.

DSGVO vs. NIS2: Überschneidungen, Unterschiede und wann ein Vorfall beide auslöst

Wie sich DSGVO und NIS2 unterscheiden und überschneiden, wann ein Vorfall beide auslöst (DSGVO Art. 33 72 h an die Datenschutzbehörde vs. NIS2 Art. 23 24 h/72 h/ein Monat an das CSIRT), die Art.-35-Kooperation und das Verbot des doppelten Bußgelds, und was beide für die Lieferanten-Sorgfaltsprüfung bedeuten.

Der EU Cyber Resilience Act (CRA): Anwendungsbereich, Zeitplan und was er für Ihre Lieferkette bedeutet

Was der CRA verlangt, seine gestaffelten Termine (in Kraft 2024, Meldung Sep. 2026, volle Konformität Dez. 2027), wer in den Anwendungsbereich fällt und warum reine SaaS oft nicht, wie er NIS2 ergänzt und was er für Beschaffung und Lieferanten-Sorgfaltsprüfung bedeutet.

Die EU-KI-Verordnung: Risikostufen, Zeitplan und die Pflichten der Betreiber (Artikel 26)

Was die EU-KI-Verordnung verlangt: die Risikostufen, die gestaffelten Termine (in Kraft 2024, verboten Feb. 2025, GPAI Aug. 2025, Hochrisiko Aug. 2026), die Betreiberpflichten nach Art. 26, wie sie sich mit NIS2 und der DSGVO stapelt und was sie für die KI-Beschaffung bedeutet.