Für viele Unternehmen sind die organisatorischen Versäumnisse teurer als der eigentliche Cyberangriff. Im Rahmen der NIS-2-Umsetzung in Deutschland drohen betroffenen Unternehmen und deren Leitungsorganen spürbare Sanktionen, wenn Pflichten nicht eingehalten werden. Die wichtigsten Punkte im Überblick:
1. Bußgelder für Unternehmen
Bei Verstößen gegen zentrale Pflichten (z. B. fehlende Registrierung, unterlassene Meldung von Sicherheitsvorfällen, unzureichende Risikomanagementmaßnahmen) können Bußgelder verhängt werden:
- Für besonders wichtige Einrichtungen:
bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) - Für wichtige Einrichtungen:
bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes
2. Persönliche Haftung der Geschäftsleitung
Neu und politisch besonders relevant ist die direkte Verantwortlichkeit der Geschäftsleitung:
- Geschäftsleiter müssen die Umsetzung der NIS-2-Pflichten aktiv überwachen
- Bei Pflichtverletzungen drohen:
- persönliche Bußgelder
- Anordnungen zur Abberufung von Verantwortlichen
- vorübergehende Untersagung der Geschäftsführungstätigkeit im betroffenen Bereich
Eine „Delegation an die IT“ reicht ausdrücklich nicht aus.
3. Weitere behördliche Maßnahmen
Unabhängig von Bußgeldern kann das BSI u. a.:
- konkrete Sicherheitsmaßnahmen anordnen
- Fristen zur Nachbesserung setzen
- den Einsatz bestimmter IT-Komponenten untersagen
- externe Prüfungen oder Nachweise verlangen
- Verstöße öffentlich machen (Reputationsschaden)
4. Strafrechtliche Risiken (indirekt)
NIS-2 selbst ist kein Strafgesetz. Strafrechtliche Konsequenzen können aber entstehen, wenn z. B.:
kritische Infrastrukturen vorsätzlich gefährdet werden
vorsätzlich Sicherheitsvorfälle verschwiegen werden
falsche Angaben gegenüber Behörden gemacht werden
Datenschutzverstöße (DSGVO) hinzukommen