Reglyze
Hohe Sanktionen — § 65 BSIG

NIS2 Bußgelder & Geschäftsführer-Haftung

Das NIS2UmsuCG (BSIG 2025) führt einige der höchsten Bußgelder im europäischen Cybersicherheitsrecht ein — bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (§ 65 BSIG), dazu die persönliche Haftung der Geschäftsleitung (§ 38 BSIG). Das Gesetz ist seit dem 6. Dezember 2025 in Kraft — ohne allgemeine Übergangsfrist.

Zwei Obergrenzen nach § 65 BSIG

Das BSIG unterscheidet zwei Einrichtungsklassen. Für jede gilt ein eigener Deckel — maßgeblich ist jeweils der höhere Betrag aus festem Euro-Deckel oder Umsatzanteil.

Besonders wichtige Einrichtungen
§ 65 BSIG

10 Mio. €

oder 2 % des weltweiten Jahresumsatzes — der höhere Betrag. Dazu laufende, anlasslose Aufsicht durch das BSI (§ 61).

Wichtige Einrichtungen
§ 65 BSIG

7 Mio. €

oder 1,4 % des weltweiten Jahresumsatzes — der höhere Betrag. Dazu anlassbezogene Aufsicht durch das BSI (§ 62).

Unsicher, in welche Klasse Sie fallen? Sektor (Anhang I / II) und Größe entscheiden. Einordnung der Einrichtungsklassen →

Wie ein NIS-2-Bußgeld bemessen wird

Die in § 65 BSIG genannten Beträge sind Höchstgrenzen, keine Pauschalen. Für jede Klasse greift der höhere Wert — der feste Euro-Deckel oder der Prozentsatz vom Umsatz. Der Prozentsatz wird auf den gesamten weltweiten Jahresumsatz des vorangegangenen Geschäftsjahres berechnet; gehört das Unternehmen zu einem Konzern, zählt der Konzernumsatz — was den Deckel bei Tochtergesellschaften großer Mütter besonders hart treffen lässt.

Innerhalb dieser Grenzen setzt die Behörde jedes Bußgeld wirksam, verhältnismäßig und abschreckend fest und wägt dabei unter anderem ab:

  • Art, Schwere und Dauer des Verstoßes
  • Vorsatz oder Fahrlässigkeit
  • tatsächlich verursachter Schaden und Zahl der betroffenen Nutzer
  • Maßnahmen zur Verhinderung oder Minderung des Schadens
  • Grad der Zusammenarbeit mit dem BSI
  • frühere Verstöße der Einrichtung

Wichtig: Ein Bußgeld kann zusätzlich zu anderen Aufsichtsmaßnahmen verhängt werden — verbindliche Anweisungen, Sicherheitsaudits auf Kosten der Einrichtung und die Anordnung, einen Verstoß offenzulegen.

Persönliche Haftung der Geschäftsleitung (§ 38 BSIG)

§ 38 BSIG macht die Geschäftsleitung persönlich verantwortlich.

Die Geschäftsleitung muss die Risikomanagement-Maßnahmen selbst tragen — diese Pflicht ist nicht delegierbar. Konkret muss sie:

  • die Maßnahmen nach § 30 BSIG umsetzen,
  • ihre Umsetzung überwachen und
  • sich regelmäßig schulen lassen.

Verletzt die Geschäftsleitung diese Pflichten schuldhaft, kann sie für daraus entstehende Schäden persönlich haften. NIS 2 ist damit Chefsache. Reglyze dokumentiert die Governance-Schritte revisionssicher.

Verspätete Registrierung — eine eigene Ordnungswidrigkeit

Die Registrierungspflicht nach § 33 BSIG steht für sich: Eine unterlassene oder verspätete Registrierung beim BSI ist selbst eine Ordnungswidrigkeit und kann mit einem Bußgeld geahndet werden — unabhängig davon, ob die übrigen § 30-Pflichten erfüllt sind. Für alle bereits am 6.12.2025 betroffenen Einrichtungen lief die Frist bis zum 6. März 2026. Sie ist verstrichen — eine verspätete Registrierung ist umgehend nachzuholen. Wer erst später in den Anwendungsbereich fällt, hat ab diesem Zeitpunkt drei Monate.

BSI-Registrierung vorbereiten — Frist, Ablauf, Portal →

Was ein Bußgeld auslöst

Die häufigsten Pflichtverletzungen — jeweils dem einschlägigen Paragraphen des BSIG zugeordnet.

Die zehn Risikomanagement-Maßnahmen nicht umgesetzt

§ 30 Abs. 2 BSIG

Frühwarnung (24 Stunden) bei einem erheblichen Vorfall versäumt

§ 32 BSIG

Meldung (72 Stunden) versäumt

§ 32 BSIG

Abschlussbericht (ein Monat) versäumt

§ 32 BSIG

Registrierung beim BSI versäumt oder verspätet — eigene Ordnungswidrigkeit

§ 33 BSIG

Mitwirkungs- und Auskunftspflichten gegenüber dem BSI verletzt

§ 61 / § 62 BSIG

Geschäftsleitung nicht eingebunden, überwacht oder geschult

§ 38 BSIG

Wirksamkeit der Maßnahmen nicht bewertet

§ 30 Abs. 2 Nr. 6 BSIG

Häufige Fragen zu NIS-2-Bußgeldern

Wie hoch sind die NIS-2-Bußgelder in Deutschland?
Nach § 65 BSIG gelten zwei Obergrenzen. Besonders wichtige Einrichtungen riskieren bis zu 10 Mio. € oder 2 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres — maßgeblich ist der höhere Betrag. Wichtige Einrichtungen riskieren bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes, ebenfalls der höhere Betrag. Die Werte stammen aus dem BSIG 2025 (NIS2UmsuCG, in Kraft seit 6.12.2025).
Kann die Geschäftsführung persönlich haften?
Ja. Nach § 38 BSIG muss die Geschäftsleitung die Risikomanagement-Maßnahmen umsetzen, ihre Umsetzung überwachen und sich regelmäßig schulen lassen. Diese Pflicht ist nicht delegierbar. Verletzt die Geschäftsleitung sie schuldhaft, kann sie für daraus entstehende Schäden persönlich haften — NIS 2 ist damit Chefsache und kein reines IT-Thema.
Wie wird ein NIS-2-Bußgeld bemessen?
Die in § 65 BSIG genannten Beträge sind Höchstgrenzen, keine Pauschalen. Innerhalb dieser Grenzen setzt die Behörde jedes Bußgeld wirksam, verhältnismäßig und abschreckend fest und berücksichtigt dabei Art, Schwere und Dauer des Verstoßes, Vorsatz oder Fahrlässigkeit, den verursachten Schaden, ergriffene Gegenmaßnahmen, die Zusammenarbeit mit dem BSI und frühere Verstöße. Der Prozentsatz wird auf den gesamten weltweiten Jahresumsatz berechnet — bei konzernangehörigen Unternehmen zählt der Konzernumsatz.
Ist eine verspätete BSI-Registrierung schon eine Ordnungswidrigkeit?
Ja. Die Registrierungspflicht nach § 33 BSIG ist eigenständig: Eine unterlassene oder verspätete Registrierung beim BSI ist selbst eine Ordnungswidrigkeit und kann mit einem Bußgeld geahndet werden — unabhängig davon, ob die übrigen § 30-Pflichten erfüllt sind. Für bereits am 6.12.2025 betroffene Einrichtungen lief die Frist bis zum 6. März 2026; sie ist verstrichen, eine verspätete Registrierung ist umgehend nachzuholen.
Können neben dem Bußgeld weitere Maßnahmen verhängt werden?
Ja. Ein Bußgeld kann zusätzlich zu anderen Aufsichtsmaßnahmen verhängt werden — etwa verbindlichen Anweisungen, Sicherheitsaudits auf Kosten der Einrichtung oder der Anordnung, einen Verstoß offenzulegen. Besonders wichtige Einrichtungen unterliegen zudem einer laufenden, anlasslosen Aufsicht durch das BSI (§ 61), wichtige Einrichtungen einer anlassbezogenen Aufsicht (§ 62).
Wie vermeide ich NIS-2-Bußgelder?
Die meisten Sanktionen entstehen aus drei Lücken: die zehn Maßnahmen nach § 30 Abs. 2 BSIG nicht umgesetzt, die Meldefristen (24 Stunden / 72 Stunden / ein Monat, § 32) versäumt und die Registrierung beim BSI (§ 33) nicht vorgenommen. Prüfen Sie Ihren Geltungsbereich, schließen Sie Ihre § 30-Lücken und richten Sie den Meldeprozess ein, bevor ein Vorfall eintritt — nicht danach.

Bußgelder vermeiden — compliant starten

Reglyze führt Sie in unter einer Stunde durch ein NIS-2-Scoping und ein Gap-Assessment gegen die zehn Maßnahmen nach § 30 Abs. 2 BSIG, stellt die Stammdaten für die BSI-Registrierung zusammen und dokumentiert die Governance-Schritte der Geschäftsleitung (§ 38) — mit transparenten Preisen in Euro und EU-Hosting (Hetzner, Deutschland).

Reglyze ist eine SaaS-Plattform für NIS-2-Compliance und ersetzt keine qualifizierte Rechtsberatung. Verbindliche Auskünfte erteilt das BSI unter bsi.bund.de.