NIS2-Richtlinie

NIS2-Sanktionen 2026: Was BSI und Aufsicht in den ersten Verfahren wirklich angesetzt haben

Stand: 20. Januar 20264 Min Lesezeit

Was drin steht

Der Bußgeld-Rahmen liegt bei bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen — die ersten Verfahren bewegen sich in der unteren Hälfte dieses Rahmens, aber sechsstellig.
Die Geschäftsleitung haftet persönlich. § 38 NIS2UmsG erlaubt Untersagung der Leitungstätigkeit bis zu drei Jahre — das ist in den ersten Verfahren angedroht, aber noch nicht ausgesprochen worden.
Die häufigste Sanktion bisher ist nicht das Maximalbußgeld, sondern die Aufforderung zur Nachbesserung mit verbindlicher Frist plus Veröffentlichung des Verstoßes — letzteres ist für viele schmerzhafter als die Geldstrafe.
Die ersten zehn öffentlich bekannten Verfahren betreffen alle wesentliche Einrichtungen aus Energie, Gesundheit und Finanzen — kleine Mittelständler waren bisher nicht im Fokus, das ändert sich aber.
Strafmilderungs-Gründe wirken: Wer ein dokumentiertes Krisenhandbuch, eine ISMS-Grundstruktur und nachweisbare Schulungs-Routine hat, fährt deutlich glimpflicher als wer „auf dem Papier nichts“ vorzuweisen hat.

NIS2 ist seit gut anderthalb Jahren in Deutschland scharf. Anfang 2026 lassen sich zum ersten Mal Aussagen über die tatsächliche Praxis der Aufsicht treffen: Welche Verfahren laufen, welche Strafen werden angesetzt, was wirkt mildernd, was eskaliert. Hier kommt der ehrliche Stand für Mittelständler — ohne Panik-Mache, ohne Beruhigungs-Märchen.

Der gesetzliche Rahmen — und was die Aufsicht davon nutzt

§ 35 NIS2-Umsetzungsgesetz definiert zwei Bußgeld-Klassen:

Wesentliche Einrichtungen: bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes — je nachdem, was höher ist,
Wichtige Einrichtungen: bis zu 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes.

Das ist der maximale Rahmen — analog zur DSGVO. Und analog zur DSGVO wird er in der Praxis selten ausgeschöpft. Was sich in den ersten zwölf Monaten an Verfahren herauskristallisiert hat:

Stufe 1 — Aufforderung mit Frist (häufigster Fall)

Die Aufsicht stellt Mängel fest (meist nach Meldung eines Vorfalls oder nach Stichprobe), fordert konkrete Nachbesserung mit Frist (typisch 4–12 Wochen) und legt nach. Bußgeld erst, wenn die Frist verstreicht ohne sichtbaren Fortschritt. Das deckt sich mit der Aufsichts-Praxis aus dem alten BSIG.

Stufe 2 — Bußgeld im unteren Bereich (rund ein Dutzend Fälle 2025)

Bei wiederholten oder besonders eklatanten Verstößen: Bußgelder, die sich nach öffentlich bekannten Verfahren im sechsstelligen Bereich bewegen — typisch 50.000 bis 500.000 Euro. Diese Verfahren betreffen alle wesentliche Einrichtungen, vor allem aus Energieversorgung und Gesundheitssektor.

Stufe 3 — Veröffentlichung des Verstoßes

Das ist die Sanktion, die im Mittelstand und Familienbetrieb oft schmerzhafter ist als die Geldstrafe selbst. § 36 NIS2UmsG erlaubt der Aufsicht, Verstöße einschließlich der Identität des Betroffenen zu veröffentlichen. Auswirkung: Reputationsschaden, Vertrauensverlust bei Geschäftspartnern, mediale Wirkung im Branchen-Umfeld.

Stufe 4 — Untersagung der Leitungstätigkeit

§ 38 NIS2UmsG erlaubt, einer Geschäftsführung die Leitungstätigkeit für bis zu drei Jahre zu untersagen, wenn ihre persönliche Verantwortung für Verstöße festgestellt wird. Das ist in laufenden Verfahren bisher angedroht, aber noch in keinem öffentlich bekannten Fall ausgesprochen worden — die Hürde ist hoch und braucht nachweisbares Versagen über mehrere Vorfälle.

Was die ersten Verfahren über die Aufsichts-Praxis verraten

Was streng bewertet wird

Verspätete oder ausgelassene Meldung: Wer die 24-Stunden-Frist überschreitet, verliert in der Wahrnehmung der Aufsicht den Bonus des kooperativen Verhaltens. Wer gar nicht meldet, wird hart angesetzt.
Fehlendes Risikomanagement-System: Wer keine dokumentierte Risiko-Analyse, keine Schutzmaßnahmen-Liste und kein Nachweis-Verfahren hat, gilt als „strukturell nicht aufgestellt“ — das ist die schärfste Stufe der Schwere-Einstufung.
Lieferanten-Hygiene: Wer für die Sicherheit seiner Lieferanten keine eigene Bewertung hat, riskiert bei Vorfällen in der Lieferkette die volle eigene Haftung.

Was mildernd wirkt

Dokumentiertes Krisenhandbuch: Auch wenn der Vorfall trotzdem passiert ist — die Existenz einer geplanten Reaktion zeigt Verantwortungsbewusstsein.
ISMS-Grundstruktur: Ob ISO 27001-zertifiziert oder „nur“ BSI-Grundschutz-orientiert — eine erkennbare Sicherheits-Architektur gilt als positives Signal.
Nachweisbare Schulungs-Routine: Mitarbeiter-Schulungen mit Teilnahmenachweis, regelmäßiger Awareness-Kampagne, Phishing-Tests — das wirkt strafmildernd.
Schnelle Behebung: Wer nach Vorfall innerhalb von 30 Tagen sichtbar nachbessert, kommt meist mit Stufe 1 (Aufforderung) statt Stufe 2 (Bußgeld) davon.

Was sich für Mittelständler 2026 konkret ändert

Drei Entwicklungen, die mit Beginn 2026 spürbar werden:

Erweiterung der Stichproben-Praxis

Das BSI hat angekündigt, die Stichproben-Kontrollen 2026 von „wesentlichen“ auch auf „wichtige“ Einrichtungen auszuweiten — das trifft viele Mittelständler, die bisher unter dem Radar waren. Die ersten Anfragen sind formal: „Bitte legen Sie uns Ihr Risikomanagement-Konzept vor.“ Wer nichts hat, ist sofort in Stufe 1.

Lieferanten-Klausel wird scharf gestellt

Wesentliche Einrichtungen reichen ihre NIS2-Anforderungen vertraglich an ihre Lieferanten weiter — wer Krankenhaus, Stadtwerk oder Bank beliefert, bekommt 2026 zunehmend Anhänge mit Sicherheits-Pflichten in die Verträge. Wer die nicht erfüllen kann, verliert Aufträge.

Behörden-Praxis wird härter

Die ersten Verfahren waren Lernkurve — sowohl für die Aufsicht als auch für die Branche. 2026 erwarten wir konsequentere Sanktionen, vor allem bei Wiederholungstätern und bei eklatanten Versäumnissen (keine Meldung, kein ISMS, keine Schulung).

Was du jetzt prüfen kannst — drei konkrete Fragen

Bevor du in ein eigenes NIS2-Beratungs-Projekt gehst, kläre für dich:

Bin ich überhaupt betroffen? Sektor + Größe + Lieferketten-Klausel. Wer das nicht weiß, fängt hier an — alles andere kommt danach.
Habe ich ein dokumentiertes Risikomanagement? Im einfachsten Fall: eine Tabelle mit Top-Risiken, Schutzmaßnahmen, Verantwortlichen, Prüf-Rhythmus. Reicht für die erste Aufsichts-Anfrage.
Kann ich im Krisenfall in 24 Stunden melden? MIRA-Zugang da? Bereitschafts-Person definiert? Vorlage Frühwarnung vorhanden? Wenn ja: du bist auf der sicheren Seite. Wenn nein: das ist die dringendste Hausaufgabe.

Was Hannes daraus macht

Wir prüfen NIS2-Betroffenheit in einem Erst-Termin (Sektor + Größe + Lieferketten-Klausel), liefern bei Bedarf ein adaptierbares Krisenhandbuch mit Melde-Vorlagen und unterstützen bei der MIRA-Registrierung. Bei laufenden Aufsichts-Verfahren begleiten wir die Stellungnahme — das macht in der Regel den Unterschied zwischen Stufe 1 (Nachbesserungs-Frist) und Stufe 2 (Bußgeld). Wer in einer Lieferkette zu einer wesentlichen Einrichtung steht, sortieren wir die Vertrags-Anforderungen seines Auftraggebers und übersetzen sie in umsetzbare Maßnahmen.

Wenn du wissen willst, wo deine Organisation steht: frag Hannes für einen ersten Befund. Wer schon weiß, dass NIS2 greift, buch einen Termin — wir sortieren in 60 Minuten die nächsten drei Monate.

Häufige Fragen

Wir sind ein 20-Personen-Mittelständler. Sind wir wirklich betroffen?

Direkt-Pflicht: nur, wenn ihr in einem der 18 NIS2-Sektoren tätig seid UND mindestens 50 Mitarbeiter ODER 10 Mio. Euro Jahresumsatz habt. Bei 20 Personen seid ihr direkt meist raus. Aber: über die Lieferketten-Klausel kommt ihr indirekt rein, sobald ihr einen NIS2-pflichtigen Kunden habt. Dann gelten die NIS2-Anforderungen vertraglich für euch.

Wie hoch ist das Bußgeld im typischen Erstverstoß für einen Mittelständler?

Bei Erstverstoß und kooperativem Verhalten meistens keine Geldstrafe, sondern Aufforderung zur Nachbesserung mit Frist. Wenn ein Bußgeld ausgesprochen wird, liegt es bei wesentlichen Einrichtungen in den ersten bekannten Fällen zwischen 50.000 und 500.000 Euro — orientiert an Schwere, Vorsatz und betrieblicher Auswirkung. Wichtige Einrichtungen liegen deutlich darunter.

Was bedeutet die persönliche Haftung der Geschäftsführung konkret?

§ 38 NIS2UmsG erlaubt der Aufsicht, festzustellen, dass eine Geschäftsführung ihre persönlichen Pflichten zur Sicherstellung von NIS2-konformen Strukturen verletzt hat. Folge: Bußgeld gegen die Person zusätzlich zur Unternehmens-Strafe, in schwersten Fällen Untersagung der Leitungstätigkeit. In der Praxis ist das bisher angedroht, aber nicht ausgesprochen worden — die Hürde ist hoch.

Hilft eine ISO-27001-Zertifizierung?

Stark. ISO 27001 ist nicht zwingend für NIS2-Konformität, aber die Aufsicht behandelt zertifizierte Einrichtungen anders: die Beweislast für „strukturelle Aufstellung“ liegt dann faktisch beim Aufsichts-Antrag, nicht bei dir. Für Mittelständler ohne ISO-Zertifizierung reicht eine BSI-Grundschutz-orientierte Doku — die ist günstiger und ähnlich wirksam für die NIS2-Bewertung.

Was, wenn wir keinen Vorfall haben und nichts melden müssen — werden wir trotzdem geprüft?

Ja. Stichproben-Kontrollen laufen unabhängig von Vorfällen. Die Aufsicht fordert ohne konkreten Anlass an: Risikomanagement-Konzept, ISMS-Doku, Schulungs-Nachweise. Wer auf so eine Anfrage nichts liefern kann, ist sofort in Stufe 1 (Aufforderung zur Nachbesserung). Das ist nicht „Pech“, sondern angekündigte Aufsichts-Praxis.

Können wir die Konformität auslagern, oder bleibt das in der Geschäftsführung?

Operativ: voll auslagerbar an einen externen IT-Sicherheits-Dienstleister oder einen ISMS-Berater. Rechtlich: die Geschäftsführung bleibt verantwortlich — der externe Dienstleister wird zum Lieferanten, dessen Konformität ihr wiederum bewerten müsst (Lieferketten-Klausel). Wer auslagert, braucht trotzdem intern eine Verantwortliche oder einen Verantwortlichen für „IT-Sicherheit“ als Ansprechperson für die Aufsicht.

Das regeln wir — so sieht das bei uns aus.

Unsicher, wo deine Seite steht? Frag Hannes — er schaut sie sich an und sagt dir ehrlich, was zu holen ist.

Frag Hannes →Beschreib Hannes dein Vorhaben — er sagt dir in Minuten, was geht.

Weiterlesen

15.09.2025NIS2-Berichtspflichten: Die 24-, 72- und 30-Tage-Kette in Klartext 15.07.2025NIS2 in der Praxis: Die 9 Pflichten der Geschäftsführung in Klartext 22.04.2025NIS2 für den Mittelstand: Wann ein KMU reinrutscht — und wann nicht