In Kraft seit 17. Okt. 2024·Tag 601·

Sanktionen28. März 20258 Min.

Wie nationale Aufsichtsbehörden Ihr NIS2-Bußgeld berechnen

Bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes. Die Schlagzeile ist einfach. Die Rechenarbeit dahinter nicht.

Wie nationale Aufsichtsbehörden Ihr NIS2-Bußgeld berechnenSanktionen

„Bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes" ist die Schlagzeile. Sie ist kurz, dramatisch und in Vorstandsunterlagen fast immer falsch zitiert. Die tatsächliche Regel steht in Artikel 34 der Richtlinie (EU) 2022/2555 und liest sich in voller operativer Form als Funktion dreier Größen: einer Kategorie, einer Formel und einer Faktorenliste.

Das ist es, was Ihre Finanzfunktion modellieren muss.

Die Formel: nicht „oder", sondern „je nachdem, welcher Wert höher ist"

Artikel 34 Absatz 4 setzt die Obergrenze für wesentliche Einrichtungen: Geldbußen „in einer maximalen Höhe von mindestens 10 000 000 EUR oder in einer maximalen Höhe von mindestens 2 % des gesamten weltweiten Jahresumsatzes des Unternehmens, dem die wesentliche Einrichtung angehört, im vorangegangenen Geschäftsjahr, je nachdem, welcher Wert höher ist".

Artikel 34 Absatz 5 setzt die Obergrenze für wichtige Einrichtungen: „in einer maximalen Höhe von mindestens 7 000 000 EUR oder in einer maximalen Höhe von mindestens 1,4 % des gesamten weltweiten Jahresumsatzes (...), je nachdem, welcher Wert höher ist".

Was im Schlagzeilenkürzel verloren geht, ist „je nachdem, welcher Wert höher ist". Für eine wesentliche Einrichtung in einer Gruppe mit 1 Mrd. € weltweitem Umsatz beträgt die Obergrenze nicht 10 Mio. € — sondern 2 % × 1 Mrd. € = 20 Mio. €. Bei 10 Mrd. € sind es 200 Mio. €. Der feste Euro-Betrag greift nur bei Einrichtungen, die so klein sind, dass 2 % ihres Umsatzes unter 10 Mio. € liegen würden — grob, Gruppen unter 500 Mio. € Umsatz.

Genauso wichtig: Der Prozentsatz wird auf das Unternehmen (die Gruppe) berechnet, nicht auf die juristische Person, die den Verstoß begangen hat. Eine als wesentliche Einrichtung eingestufte Tochter einer multinationalen Gruppe wird mit einem Prozentsatz des konsolidierten weltweiten Konzernumsatzes der Mutter belegt. Der Wortlaut ist hier unmissverständlich.

Die Faktoren: neun Modifikatoren zwischen Null und der Obergrenze

Artikel 34 Absatz 3 listet auf, was die zuständigen nationalen Behörden bei der Bemessung der konkreten Geldbuße innerhalb dieser Obergrenze berücksichtigen müssen. Die Liste ist in der Richtlinie abschließend, in der nationalen Umsetzung jedoch breit interpretiert. Die neun Faktoren:

  1. Schwere und Dauer des Verstoßes.
  2. Verursachte Schäden oder erlittene Verluste der Einrichtung, einschließlich wirtschaftlicher, sozialer oder ökologischer Schäden Dritter.
  3. Vorsatz oder Fahrlässigkeit des Verstoßes.
  4. Maßnahmen zur Verhütung oder Minderung des Schadens.
  5. Grad der Verantwortung und etwaige frühere Verstöße.
  6. Grad der Zusammenarbeit mit der zuständigen Behörde.
  7. Art und Weise, wie der Verstoß bekannt wurde, insbesondere ob die Einrichtung selbst gemeldet hat und mit welcher Promptheit.
  8. Einhaltung genehmigter Verhaltensregeln oder zertifizierter Mechanismen.
  9. Etwaige erlangte finanzielle Vorteile oder vermiedene Verluste infolge des Verstoßes.

Die rechnerische Folge: Ein günstiger Faktor (Selbstmeldung innerhalb von 72 Stunden, volle Kooperation, gültiges ISO 27001, zügige Eindämmung) senkt die Geldbuße. Ein ungünstiger Faktor (Verschleierung, Vorverstoß, vorsätzliche Nichtumsetzung, fehlende Zertifizierungen) treibt sie zur Obergrenze. Zuständige nationale Behörden haben begonnen, ungefähre Gewichtungstabellen zu veröffentlichen — siehe die veröffentlichte Methodik des BSI in Deutschland und die linee guida sanzionatorie der ACN in Italien — und die Modifikatoren spannen üblicherweise eine Größenordnung auf.

Ein Worst-Case-Bußgeld bei einer wesentlichen Einrichtung mit 1 Mrd. € Umsatz beträgt 20 Mio. €. Best-Case bei derselben Einrichtung und demselben Verstoß liegt eher bei 1 bis 2 Mio. €. Die Aufgabe ist nicht, das Bußgeld zu vermeiden — sondern sich auf der Modifikator-Skala zu bewegen.

Erschwerende Faktoren, die spürbar zur Obergrenze drängen

Drei Faktoren erzeugen in der veröffentlichten Praxis konsistent Aufschläge:

  • Versäumte Meldung eines Vorfalls innerhalb des 72-Stunden-Fensters von Artikel 23. Der häufigste Aufschlag, weil er am leichtesten beweisbar ist.
  • Wiederholungsverstoß — ein früherer Befund zu Artikel 21 in den letzten drei Jahren (nationale Regeln zur Rückblickfrist variieren).
  • Vorsätzliche Nichtumsetzung, dokumentiert in Sitzungsprotokollen oder internen E-Mails. Belege, dass das Leitungsorgan auf eine fehlende Maßnahme hingewiesen wurde und entschieden hat, sie nicht zu adressieren, sind der schlechteste Modifikator.

Mildernde Faktoren, die die Geldbuße spürbar senken

Ebenso konsistent:

  • Selbstmeldung des Verstoßes an die zuständige Behörde, bevor diese tätig wird.
  • Gültige ISO/IEC 27001-Zertifizierung oder gleichwertige nationale Zertifizierung (BSI Grundschutz, Esquema Nacional von INCIBE-CERT, ACN-Schema, Zertifizierungspfad des NCSC-IE).
  • Dokumentierte Vorstandsaufsicht nach Artikel 20 — die gleichen Dokumente, die unsere Analyse zu Artikel 20 abdeckt (Sitzungsprotokolle, Schulungsnachweise, datiertes Risikoregister), bilden diesen Faktor unmittelbar ab.
  • Zeitnahe Behebung mit messbaren Abschlussterminen, der Aufsichtsbehörde mitgeteilt.

Wechselwirkung mit DSGVO- und DORA-Bußgeldern

Artikel 32 Absatz 2 NIS2 enthält eine Koordinierungsklausel: Wenn dasselbe Verhalten sowohl NIS2- als auch DSGVO- oder DORA-Sanktionen auslöst, haben sich die zuständigen Behörden abzustimmen, um eine doppelte Sanktion auf denselben Sachverhalt zu vermeiden. In der Praxis hebt das selten ein Bußgeld auf — es verschiebt eher, welche Behörde federführend ist und welche informiert wird. Die Gesamt­exposition bei einem Vorfall mit Personendatenleck, der zugleich einen erheblichen NIS2-Vorfall darstellt, ist der höhere der beiden Höchstwerte, nicht deren Summe.

Für Finanzsektor-Einrichtungen, die zugleich in den Geltungsbereich von DORA fallen, ist die kombinierte Obergrenze noch geschichteter. Eine Vorstandsentscheidung, in die Konformität mit dem strengeren der beiden Regimes zu investieren (typischerweise DORA für die betroffenen Finanzdienstleistungen), ist die vertretbare Haltung.

Nationale Variation

Die Richtlinie setzt Mindestobergrenzen („mindestens"). Mitgliedstaaten dürfen höhere Obergrenzen festlegen; mehrere haben davon Gebrauch gemacht:

  • Deutschland: Das NIS2UmsuCG übernimmt die Mindestwerte der Richtlinie und ergänzt sie um eine ausdrückliche zivilrechtliche Verantwortung der Leitungsorgane in §32.
  • Frankreich: Der ANSSI-Vollzugsrahmen folgt den Mindestwerten der Richtlinie; der Conseil d'État hat die Aufsichtszuständigkeit über Streitfälle.
  • Spanien, Italien, Irland: Mindestwerte der Richtlinie bestätigt, mit nationalen Verfahrensbesonderheiten zu Widerspruchs- und Rechtsbehelfsrechten.
  • Belgien: Umsetzung geht weiter, mit ausdrücklicher zivilrechtlicher Haftung natürlicher Personen, die Leitungsfunktionen ausüben.

Die Rechnung ist die der Richtlinie. Verfahren und Rechtsweg sind national. Vorstände, die ihre Bußgeld-Exposition modellieren, sollten die Formel mit den Richtlinienzahlen rechnen und einen mitgliedstaatsspezifischen Verfahrenskosten-Layer hinzufügen.

Was das für das Budget heißt

Die rationale Budgethaltung lautet nicht „die Höchstgeldbuße zur Sicherheit zurückstellen". Sie lautet:

  • Die Obergrenze auf Basis des Konzernumsatzes modellieren.
  • Den erwarteten Realwert anhand des aktuellen Faktorenprofils der Einrichtung schätzen (Zertifizierungen, Vorstandsgovernance, Meldebereitschaft, Vorgeschichte).
  • Die Differenz zwischen beiden als Business Case für Kontrollinvestitionen behandeln. Jeder Euro, der für eine Kontrolle aufgewendet wird, die einen Faktor von erschwerend zu mildernd verschiebt, zahlt sich im Erwartungswert mehrfach gegenüber der Obergrenze aus.

Genau diese Diskussion lädt Artikel 34 tatsächlich ein. Die Schlagzeilenzahl ist der Anfang, nicht die Antwort.

Quellen

  1. Richtlinie (EU) 2022/2555, Artikel 34 („Allgemeine Voraussetzungen für die Verhängung von Geldbußen").
  2. Richtlinie (EU) 2022/2555, Artikel 34 Absätze 4 und 5 (Obergrenzen für wesentliche und wichtige Einrichtungen).
  3. Richtlinie (EU) 2022/2555, Artikel 34 Absatz 3 (zu berücksichtigende Faktoren bei der Bemessung).
  4. Richtlinie (EU) 2022/2555, Artikel 32 Absatz 2 (Koordinierung mit DSGVO und anderen unionsrechtlichen Sanktionen).
  5. Richtlinie (EU) 2022/2555, Artikel 23 (Berichtspflichten — als Bemessungsfaktor referenziert).
  6. Richtlinie (EU) 2022/2555, Erwägungsgründe 130 bis 135 (Sanktionen und Durchsetzung).
  7. Vollzugs-Leitlinien der zuständigen nationalen Behörden: BSI (DE), ANSSI (FR), INCIBE (ES), ACN (IT), NCSC-IE (IE) sowie länderübergreifende ENISA-Analysen.

Weitere Beiträge

NIS2: wesentliche und wichtige Einrichtungen — die 4 TestsAnwendungsbereich

NIS2: wesentliche und wichtige Einrichtungen — die 4 Tests

10. Juni 2026·Lesen · 7 Min.
NIS2-Mehrfaktor-Authentifizierung: 5 kritische ZugriffsklassenTechnische Maßnahmen

NIS2-Mehrfaktor-Authentifizierung: 5 kritische Zugriffsklassen

11. Mai 2026·Lesen · 7 Min.
NIS2-Umsetzungsgesetz: Wo die vier Märkte im Mai 2026 stehenNationale Umsetzung

NIS2-Umsetzungsgesetz: Wo die vier Märkte im Mai 2026 stehen

6. Mai 2026·Lesen · 7 Min.