Das Bemerkenswerteste an NIS2 ist nicht die Höhe der möglichen Bußgelder, sondern die Verlagerung der Verantwortung: Erstmals werden Geschäftsführer, Vorstände und leitende Manager persönlich haftbar gemacht, wenn sie ihre Pflichten im Bereich Cybersicherheit vernachlässigen. Wer NIS2 ignoriert, riskiert nicht nur eine Strafe für das Unternehmen — sondern auch ein vorübergehendes Berufsverbot für Führungspersonen und private Haftungsansprüche. Diese Regelung hat in der Unternehmenswelt für erhebliche Aufmerksamkeit gesorgt und macht NIS2 zur Chefsache.
NIS2 sieht gestaffelte Sanktionen vor, die sich nach der Kategorie der Einrichtung richten:
Die tatsächliche Bußgeldhöhe richtet sich nach dem Schweregrad des Verstoßes, der Kooperation mit den Behörden und dem Nachweis getroffener Gegenmaßnahmen. Unternehmen, die frühzeitig und nachweislich an der Umsetzung arbeiten, haben deutlich bessere Ausgangspositionen.
Sanktionierungswürdig sind insbesondere: das Fehlen eines dokumentierten Risikomanagementsystems, die verspätete oder unterlassene Meldung von Sicherheitsvorfällen, unzureichende Sicherheitsmaßnahmen im Einklag mit dem Stand der Technik sowie mangelnde Überprüfung der Lieferkettensicherheit. Auch die fehlende Schulung der Geschäftsleitung in Cybersicherheitsthemen kann als Pflichtverletzung gewertet werden.
Wer NIS2 als reine Compliance-Übung betrachtet, verschenkt Potenzial. Die geforderten Maßnahmen — Risikoanalysen, Incident-Response-Pläne, sichere Zugangskontrollen — sind allesamt Investitionen in die Resilienz des Unternehmens. Kunden und Partner fragen zunehmend aktiv nach dem Sicherheitsniveau ihrer Dienstleister. Wer NIS2 erfüllt, signalisiert Verlässlichkeit.
Vermeiden Sie Haftungsrisiken — wir helfen Ihnen, NIS2-konform und rechtssicher aufgestellt zu sein.