Wer sollte das lesen: Vorstand, Unternehmensberater, Compliance-Beauftragte, Risikomanager
Die NIS2-Richtlinie sieht wie ihr Vorgänger NIS1 Verwaltungssanktionen für Verstöße vor. Die Einsätze sind jedoch erheblich gestiegen. In den Artikeln 34 und 35 ist eine gestaffelte Sanktionsstruktur festgelegt, mit der Bußgelder von bis zu 10 Millionen Euro für schwere Verstöße und 7 Millionen Euro für andere Verstöße gegen die Kernverpflichtungen der Richtlinie verhängt werden können.
Für Führungskräfte und Compliance-Teams stellen diese Strafen einen direkten finanziellen Anreiz dar, um sicherzustellen, dass die NIS2-Konformität echt, zeitnah und dokumentiert ist. Eine Geldbuße in Höhe von 10 Millionen Euro ist erheblich — sie kann in Bezug auf die finanziellen Auswirkungen mit erheblichen Cybersicherheitsverstößen mithalten, ist aber durch eine ordnungsgemäße Einhaltung der Vorschriften vollständig vermeidbar.
In diesem Beitrag wird der NIS2-Bußgeldrahmen vorgestellt: welche Verstöße führen zu welchen Strafen, wie die Mitgliedstaaten diese Bestimmungen durchsetzen, welche mildernden Faktoren gelten können und wie Organisationen gegenüber den Aufsichtsbehörden nachweisen können, dass sie die Vorschriften in gutem Glauben einhalten. Ein genaues Verständnis der Strafen verdeutlicht die regulatorischen Prioritäten und hilft bei der Gestaltung von Investitionsentscheidungen zur Einhaltung der Vorschriften.
Die zweistufige Strafstruktur
NIS2 sieht zwei Stufen von Verwaltungsstrafen vor, die zwei Kategorien von Verstößen entsprechen:
Tier 1 (10 Mio. EUR): Verstöße gegen die in den Artikeln 20-26 festgelegten betrieblichen Kernverpflichtungen. Nach diesen Artikeln müssen Unternehmen technische und organisatorische Maßnahmen ergreifen, Vorfälle melden, sich Prüfungen unterziehen und mit den zuständigen Behörden zusammenarbeiten. Ein Verstoß gegen diese Bestimmungen — beispielsweise das Versäumnis, angemessene Cybersicherheitskontrollen umzusetzen, einen schwerwiegenden Vorfall nicht zu melden oder sich zu weigern, bei einer behördlichen Untersuchung zusammenzuarbeiten — kann zu Bußgeldern von bis zu 10 Millionen Euro führen.
Tier 2 (7 Mio. EUR): Verstöße gegen andere Bestimmungen der Richtlinie, z. B. Verpflichtungen der Mitgliedstaaten, Benennung der zuständigen Behörden oder Umsetzungsfristen. Diese stehen in der Regel weniger in direktem Zusammenhang mit der betrieblichen Cybersicherheit eines Unternehmens als vielmehr mit der Einhaltung behördlicher Auflagen.
Wichtig ist, dass die Artikel 34 und 35 auch „verhältnismäßige“ Geldbußen zulassen, die unter diesen Obergrenzen liegen. Die Regulierungsbehörden müssen die Strafen auf der Grundlage der Schwere des Verstoßes, der Größe und der Ressourcen der Organisation, der Dauer des Verstoßes, des Grades des Verschuldens und der Wirksamkeit der Abhilfemaßnahmen festlegen.
Bei welchen Verstößen werden Bußgelder der Stufe 1 ausgelöst (10 Mio. EUR)
Artikel 34 legt fest, dass bei folgenden Verstößen gegen betriebliche Verpflichtungen Geldbußen von bis zu 10 Mio. EUR verhängt werden können:
Versäumnis, angemessene technische und organisatorische Maßnahmen zu ergreifen (Artikel 21): Dies ist die Kernpflicht. Eine Stelle, die verpflichtet ist, „angemessene“ Cybersicherheitskontrollen einzuführen, die ihrem Risikoprofil angemessen sind, muss diese auch tatsächlich umsetzen. Ein Unternehmen, das eine Risikobewertung durchführt, die Notwendigkeit einer Netzwerksegmentierung feststellt und es dann versäumt, seine Netzwerke zu segmentieren, würde gegen diese Verpflichtung verstoßen. Ebenso könnte ein Unternehmen, das zwar die Notwendigkeit von Verfahren zur Reaktion auf Vorfälle anerkennt, aber ohne ein dokumentiertes Verfahren arbeitet, mit Zwangsmaßnahmen konfrontiert werden.
Nichtmeldung schwerwiegender Vorfälle (Artikel 23): Laut NIS2 müssen Anbieter wesentlicher Dienste die zuständigen Behörden und CSIRTs unverzüglich und in jedem Fall innerhalb von 24 Stunden nach Feststellung eines schwerwiegenden Vorfalls benachrichtigen. Eine Stelle, die einen Verstoß feststellt, der die Signifikanzschwelle erreicht, und die Behörden nicht benachrichtigt, liegt eindeutig vor einem Verstoß. Die 24-Stunden-Frist ist bindend; eine verspätete Benachrichtigung könnte je nach den Umständen die Durchsetzung der Vorschriften auslösen.
Versäumnis, sich Sicherheitsüberprüfungen zu unterziehen oder Prüfungsergebnisse vorzulegen (Artikel 26): Anbieter wesentlicher Dienste müssen den Behörden die Durchführung von Sicherheitsüberprüfungen ermöglichen, um die Einhaltung der Vorschriften zu überprüfen. Ein Unternehmen, das eine Auditanfrage ablehnt, bei einer Prüfung nicht kooperiert oder den Behörden Prüfergebnisse vorenthält, verstößt gegen diese Verpflichtung.
Versäumte Zusammenarbeit mit den zuständigen Behörden oder CSIRTs (Artikel 23 und allgemeine Verpflichtungen zur Zusammenarbeit): Die Behörden haben Ermittlungsbefugnisse. Ein Unternehmen, das behördliche Anfragen ignoriert, Antworten verzögert oder unvollständige Informationen bereitstellt, kann mit Bußgeldern rechnen.
Versäumnis, Risiken Dritter zu managen (Artikel 22): Unternehmen müssen sicherstellen, dass Drittanbieter und Dienstleister angemessene Cybersicherheitsmaßnahmen ergreifen. Ein Unternehmen, das Verträge mit einem Anbieter verwalteter Dienste, Cloud-Anbieter oder IT-Supportunternehmen abschließt, ohne klare Cybersicherheitsanforderungen festzulegen, die Einhaltung der Vorschriften zu überwachen oder eine Meldung von Vorfällen zu verlangen, verfehlt diese Verpflichtung.
Dies sind keine technischen Verstöße; sie stehen im Mittelpunkt des Ziels von NIS2: sicherzustellen, dass Stellen, die kritische Infrastrukturen verwalten, wirklich angemessene Cybersicherheitsprogramme umsetzen und aufrechterhalten.
Die Rolle der Verhältnismäßigkeit und des Ermessensspielraums der Mitgliedstaaten
Ein entscheidendes Merkmal des NIS2-Bußgeldrahmens ist, dass die Strafen „angemessen“ sein müssen. In den Artikeln 34 und 35 sind Höchststrafen festgelegt, doch die Regulierungsbehörden der Mitgliedstaaten müssen die tatsächlichen Sanktionen auf der Grundlage von Faktoren wie den folgenden abstimmen:
Schwere des Verstoßes: Stellt der Verstoß ein echtes Risiko für die öffentliche Sicherheit, Gesundheit oder das Funktionieren wesentlicher Dienste dar? Werden die Zugriffskontrollen nicht implementiert, sind Systeme einer unbefugten Nutzung ausgesetzt. Werden bekannte Sicherheitslücken nicht gepatcht, sind Systeme bekannten Exploits ausgesetzt. Diese sind schwerwiegend. Ein Versäumnis, ein Verfahren zur Reaktion auf Vorfälle zu aktualisieren, ist weniger schwerwiegend.
Dauer der Nichteinhaltung: Handelte es sich bei dem Verstoß um ein einmaliges Versehen, das schnell behoben wurde, oder um ein anhaltendes Muster, das sich über Monate oder Jahre erstreckte? Das Versäumnis, einen einzelnen Vorfall zu melden, kann zu einer niedrigeren Geldbuße führen als ein systematisches Muster der Unterberichterstattung.
Grad des Verschuldens: Hat das Unternehmen wissentlich die NIS2-Anforderungen ignoriert oder hat es sich nach Treu und Glauben bemüht, die Anforderungen zu erfüllen, die Anforderungen jedoch nicht erfüllt? Vorsätzliche Nichteinhaltung wird strenger behandelt als fahrlässige Nichteinhaltung.
Größe und Ressourcen des Unternehmens: Eine Geldbuße von 10 Millionen Euro stellt eine katastrophale Strafe für eine kleine Klinik dar; für einen großen Telekommunikationsbetreiber ist sie erheblich, aber überschaubar. Die Aufsichtsbehörden müssen die Strafen anpassen, um sicherzustellen, dass sie in einem angemessenen Verhältnis zur finanziellen Leistungsfähigkeit des Unternehmens stehen.
Wirksamkeit der Abhilfemaßnahmen: Hat das Unternehmen bei der Entdeckung eines Verstoßes sofort Abhilfemaßnahmen ergriffen? Ein Unternehmen, das einen Verstoß selbst meldet, Abhilfemaßnahmen einleitet und nachweist, dass Abhilfemaßnahmen ergriffen wurden, kann mit einer geringeren Strafe rechnen.
Frühere Verstöße: Ein Unternehmen, das in der Vergangenheit gegen die Vorschriften verstoßen hat, muss mit höheren Bußgeldern rechnen als einem erstmaligen Verstoß.
Da Verhältnismäßigkeit erforderlich ist, ist es unwahrscheinlich, dass die maximale Geldbuße (10 Mio. EUR) verhängt wird, es sei denn, es handelt sich um schwerwiegende, vorsätzliche oder anhaltende Verstöße. Bei schwerwiegenden Verstößen sind jedoch verhältnismäßige Bußgelder im Bereich von 1-5 Mio. EUR durchaus möglich.
Anschauliche Szenarien
Um diese Diskussion zu begründen, sollten Sie mehrere Szenarien in Betracht ziehen:
Szenario 1: Ransomware-Vorfall wurde nicht gemeldet. Ein Krankenhaus erlebt einen Ransomware-Angriff, bei dem sein EHR-System verschlüsselt wird, wodurch eine Umstellung auf Papierakten erzwungen wird. Das IT-Team des Krankenhauses erkennt den Angriff nach 36 Stunden, benachrichtigt die zuständige Behörde jedoch erst fünf Tage später. Dies ist ein klarer Verstoß gegen Artikel 23 (das 24-Stunden-Berichtsfenster). Der Ausfall des Krankenhauses verstieß direkt gegen eine zentrale NIS2-Anforderung. Stellt die zuständige Behörde fest, dass das Krankenhaus über eine angemessene Bedrohungserkennung hätte verfügen müssen, um den Angriff schneller zu erkennen, ist der Verstoß noch schwerwiegender (was auf unzureichende Kontrollen gemäß Artikel 21 schließen lässt). Eine Geldbuße von 3-7 Millionen Euro wäre angemessen.
Szenario 2: Kein Verfahren zur Reaktion auf Vorfälle. Ein Finanzsystembetreiber unterhält ein umfassendes Cybersicherheitsprogramm mit Netzwerksegmentierung, Bedrohungserkennung und Zugriffskontrollen, verfügt jedoch über kein dokumentiertes Verfahren zur Reaktion auf Vorfälle. Ein Vorfall ereignet sich, und der Betreiber reagiert ad hoc und verzögert. Der Betreiber verstößt gegen Artikel 21 (der implizit eine Notfallplanung vorschreibt) und Artikel 23 (der eine rechtzeitige Meldung vorschreibt). Der Verstoß gegen die Betriebskontrollen ist jedoch indirekt (das Fehlen eines Verfahrens, nicht das Fehlen der Kontrollen selbst). Eine Geldbuße von 1 bis 3 Millionen Euro wäre angemessen.
Szenario 3: Wiederholte Nichtkooperation bei Audits. Ein Cloud-Dienstanbieter, der NIS2 unterliegt, erhält Prüfungsanfragen von mehreren Mitgliedstaaten. Er reagiert verzögert, liefert unvollständige Informationen und weigert sich schließlich, mit einem bestimmten Audit zusammenzuarbeiten, da er geschäftliche Sensibilität geltend macht. Dies ist ein anhaltendes Muster der Nichtmitarbeit gemäß Artikel 26. Der Anbieter hat nicht sofort gegen zentrale Betriebsanforderungen verstoßen (seine Kontrollen sind möglicherweise ausreichend), aber er hat die regulatorische Aufsicht systematisch behindert. Eine Geldbuße von 2 bis 5 Millionen Euro wäre angemessen.
Szenario 4: Ausfall des Risikomanagements durch Dritte. Ein Verarbeiter von Gesundheitsdaten schließt einen Vertrag mit einem kleineren Cloud-Anbieter ab, um Patientendaten zu speichern. Der Verarbeiter prüft die Cybersicherheitspraktiken des Anbieters nicht mit der gebotenen Sorgfalt, nimmt keine Cybersicherheitsanforderungen in den Vertrag auf und überwacht nicht, ob der Anbieter die Vorschriften einhält. Beim Anbieter kommt es zu einer Sicherheitsverletzung, bei der Patientendaten preisgegeben werden. Der Verarbeiter verstößt gegen Artikel 22 (Versäumnis, das Risikomanagement Dritter sicherzustellen). Der Verstoß ist schwerwiegend — er ermöglichte einen vermeidbaren Verstoß —, aber die eigenen Kontrollen des Verarbeiters sind möglicherweise ausreichend. Eine Geldbuße von 500.000 bis 2 Millionen Euro wäre angemessen, abhängig vom Ausmaß des Verstoßes und der Größe des Auftragsverarbeiters.
Durchsetzungsmechanismen und Ermittlungsbefugnisse
Artikel 34 sieht vor, dass die Mitgliedstaaten die zuständigen Behörden benennen, die für die Durchsetzung von NIS 2 zuständig sind. Diese Behörden verfügen über Ermittlungsbefugnisse, einschließlich der Möglichkeit, Informationen von Einrichtungen anzufordern, Prüfungen durchzuführen und Zugang zu Einrichtungen zu erhalten (vorbehaltlich rechtlicher Beschränkungen).
Eine Durchsetzungsmaßnahme beginnt in der Regel damit, dass eine Behörde ein Unternehmen über einen vermuteten Verstoß informiert, Informationen oder Unterlagen anfordert und der Stelle Gelegenheit gibt, darauf zu reagieren. Wenn die Behörde unzureichend reagiert oder wenn die Behörde Hinweise auf Verstöße findet, kann sie eine Vollstreckungsverfügung (die spezifische Abhilfemaßnahmen erfordert) und/oder eine Geldbuße verhängen.
Wichtig ist, dass die Mitgliedstaaten den Unternehmen ein ordnungsgemäßes Verfahren gewähren müssen. Eine Einrichtung, gegen die eine Geldbuße vorgeschlagen wird, hat in der Regel das Recht auf eine Anhörung, die Möglichkeit, mildernde Beweise vorzulegen, und das Recht, gegen die Entscheidung Berufung bei einem Gericht einzulegen.
Für Organisationen bedeutet dies, dass angebliche Verstöße nicht automatisch zu Bußgeldern führen. Die Zusammenarbeit mit den Behörden, die schnelle Behebung festgestellter Mängel und eine glaubwürdige Erklärung für Verstöße können das Ergebnis erheblich beeinflussen. Eine Stelle, die nach Meldung eines Verstoßes sofort Abhilfemaßnahmen ergreift und Nachweise für deren Behebung vorlegt, kann die Geldbuße herabsetzen oder abschaffen (falls die Behörde feststellt, dass der Verstoß nicht schwerwiegend war oder schnell behoben wurde).
Strategien zur Schadensbegrenzung und Einhaltung von Regeln nach Treu und Glauben
Verschiedene Strategien können das Risiko und die Auswirkungen von Bußgeldern mindern:
Rechtzeitige Einhaltung: Die naheliegendste Strategie besteht darin, sicherzustellen, dass die NIS2-Konformität termingerecht umgesetzt wird. Die Mitgliedstaaten begannen 2024 mit der Benennung wesentlicher Diensteanbieter, wobei die vollständige Umsetzung im Oktober 2024 (für Anbieter wesentlicher Dienste) und Oktober 2025 (für wichtige Anbieter digitaler Dienste) erwartet wird. Stellen, die die Einhaltung dieser Fristen erreicht haben, beweisen Treu und Glauben und verringern die Wahrscheinlichkeit einer Durchsetzung.
Umfassende Dokumentation: Sorgen Sie für eine detaillierte Dokumentation der Cybersicherheitsrichtlinien, Risikobewertungen, Kontrollen, Audits und der Reaktion auf Vorfälle. Diese Dokumentation zeigt den Aufsichtsbehörden, dass das Unternehmen ernsthaft über die Einhaltung der NIS2-Vorschriften nachgedacht, die Kontrollen auf sein spezifisches Risikoprofil zugeschnitten und Kontrollen eingeführt hat, anstatt sie nur zu planen.
Disziplin bei der Meldung von Vorfällen: Wenn ein Vorfall auftritt, melden Sie ihn umgehend. Ein 24-Stunden-Bericht ist bindend. Der Versuch, vor der Meldung eine Untersuchung durchzuführen, in der Hoffnung, eine Offenlegung zu vermeiden, oder eine Verzögerung bei der Bewältigung der Berichterstattung sind keine praktikablen Strategien. Die Behörden betrachten eine schnelle, transparente Berichterstattung als mildernden Faktor.
Zusammenarbeit mit den Aufsichtsbehörden: Reagieren Sie umgehend auf Informationsanfragen, stellen Sie vollständige und genaue Informationen zur Verfügung und planen Sie Audits gemeinsam. Ein Unternehmen, das die Aufsicht behindert oder die Aufsichtsbehörden blockiert, muss mit höheren Bußgeldern rechnen.
Verträge mit Drittanbietern: Legen Sie klare Cybersicherheitsanforderungen in Verträgen mit Anbietern, Dienstanbietern und Partnern fest. Erfordern Sie Konformitätsbescheinigungen, legen Sie die Anforderungen für die Meldung von Vorfällen fest und behalten Sie sich Prüfungsrechte vor. Dies zeigt, dass das Unternehmen das Risikomanagement durch Dritte ernst genommen hat.
Selbstbeurteilung und Problembehebung: Führen Sie interne Überprüfungen der NIS2-Konformität durch, identifizieren Sie Lücken und ergreifen Sie Korrekturmaßnahmen. Wenn Sie einen Verstoß entdecken und beheben, bevor eine Aufsichtsbehörde dies tut, beweisen Sie Treu und Glauben und es ist wahrscheinlich, dass Ihnen Nachsicht gewährt wird.
Wichtige Erkenntnisse
- NIS2 sieht eine zweistufige Bußgeldstruktur vor: bis zu 10 Millionen Euro für Verstöße gegen zentrale betriebliche Anforderungen (Artikel 20-26) und bis zu 7 Millionen Euro für andere Verstöße.
- Zu den Tier-1-Verstößen gehören das Versäumnis, angemessene Kontrollen umzusetzen, schwerwiegende Vorfälle nicht innerhalb von 24 Stunden zu melden, bei Audits nicht zu kooperieren und das Cybersicherheitsrisiko Dritter nicht zu bewältigen.
- Verhältnismäßigkeit ist unerlässlich: Die tatsächlichen Bußgelder müssen auf der Grundlage von Schwere, Dauer, Schuld, Unternehmensgröße, Wirksamkeit der Abhilfemaßnahmen und früherer Compliance-Historie kalibriert werden. Die maximale Geldbuße ist unwahrscheinlich, außer in schwerwiegenden Fällen.
- Die Durchsetzung behördlicher Auflagen beginnt mit der Benachrichtigung und der Möglichkeit, darauf zu reagieren. Unternehmen haben das Recht auf ein ordnungsgemäßes Verfahren, einschließlich der Möglichkeit, bei Gerichten Berufung gegen Bußgelder einzulegen. Zusammenarbeit und schnelle Abhilfemaßnahmen sind wichtige mildernde Faktoren.
- Treu und Glauben, umfassende Dokumentation, rechtzeitige Meldung von Vorfällen und transparente Zusammenarbeit mit den Aufsichtsbehörden verringern die Wahrscheinlichkeit von Bußgeldern erheblich und können zu geringeren Strafen führen, wenn Verstöße entdeckt werden.
- Das Risikomanagement durch Dritte ist ausdrücklich durchsetzbar; Verträge sollten klare Cybersicherheitserwartungen festlegen und Prüf- und Überwachungsrechte beinhalten.
