Bußgelder in KRITIS

Laws and sanctions picture

Für KRITIS-Betreiber sieht die KRITIS-Regulierung bei Verstößen gegen Pflichten Bußgelder vor, wie etwa bei mangelnder Umsetzung von Sicherheits­maßnahmen oder Meldepflichten an Behörden. Die Sanktionen sind im BSIG definiert und sind seit der NIS2-Umsetzung ab 2025 deutlich gestiegen.

  1. Sanktionen in NIS2
  2. Sanktionen (bis 2025)

Bestimmte Verstöße gegen NIS2- und KRITIS-Regularien sind durch das BSIG als Ordnungs­widrigkeit definiert und je nach Verstoss und Unternehmen mit Sanktionen belegt. Kommen Betreiber ihren Pflichten nicht nach, kann dies finanzielle Konsequenzen für das Unternehmen haben.

Die Sanktionen haben sich mit der finalen Version von NIS2 im November 2025 nochmal geändert und werden in diesem Artikel noch eingearbeitet.

Sanktionen in NIS2

Tatbestände und Bußgelder

Das NIS2-Umsetzungs­gesetz definiert keine Übergangsfristen für die Umsetzung der Security-Maßnahmen und Pflichten. Die Sanktionen und Bußgelder können ab Inkrafftreten der NIS2-Umsetzung verhängt werden, z. B. bei Verstößen gegen die Registrierungs- oder Meldepflichten.

Das NIS2-Umsetzungsgesetz definiert Bußgeldvorschriften in §65. Die KRITIS-Bußgelder werden dabei um neue Tatbestände erweitert und bestehende Bußgelder teils deutlich erhöht.

Geschäftsleitung

Geschäftsleitungen von Einrichtungen müssen die Risikomanagement-Maßnahmen für Cyber­security umsetzen und die Umsetzung in der Einrichtung überwachen. §38 (1) Werden diese Pflichten verletzt, ergibt sich aus allgemeinen Grundsätzen (bspw. §93 AktG) eine Binnenhaftung der Geschäftsleitung gegenüber der Einrichtung B. Besonderer Teil, zu §38 (2).

Besteht für eine Rechtsform nach den anwendbaren gesellschaftsrechtlichen Bestimmungen keine Binnenhaftung, sieht die NIS2-Umsetzung einen Auffangtatbestand vor. Dann haften die Geschäftsleitungen ihren Einrichtungen für einen schuldhaft verursachten Schaden nach dem BSIG.

Tatbestände

Die Bußgeldtatbestände nach §65 gelten meist für alle Einrichtungs-Gruppen – einzelne Tatbestände gelten nur für einzelne Gruppen. Auch die Bußgeldbewährung unterscheidet teilweise zwischen den Gruppen.

eigene Zusammenstellung aus NIS2-Referentenentwurf Stand Juli 2024
Höhe Verstöße
10 Mio. EUR
wenn Umsatz größer 500 Mio. Euro: Bußgeldhöhe 2% vom weltweiten Umsatz, Anwendung von §30 (2) Satz 2 OWiG		 Besonders wichtige Einrichtungen:
  • Vorkehrungen zur Cybersicherheit nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig getroffen. §30 (1) Satz 1
  • Einhaltung der Vorkehrungen nicht, nicht richtig oder nicht vollständig dokumentiert. §30 (1) Satz 3
  • Meldungen werden nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt. §32 (1) Satz 1
  • Abschlussmeldungen werden nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig vorgelegt. §32 (2) Satz 2
  • Mitteilungen (an Kunden oder Öffentlichkeit) werden nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig gemacht. §35 (2) Satz 1, auch i.V.m. Satz 2
7 Mio. EUR
wenn Umsatz größer 500 Mio. Euro: Bußgeldhöhe 1,4% vom weltweiten Umsatz, Anwendung von §30 (2) Satz 2 OWiG		 Wichtige Einrichtungen:
  • Vorkehrungen zur Cybersicherheit nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig getroffen. §30 (1) Satz 1
  • Einhaltung der Vorkehrungen nicht, nicht richtig oder nicht vollständig dokumentiert. §30 (1) Satz 3
  • Meldungen werden nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt. §32 (1) Satz 1
  • Abschlussmeldungen werden nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig vorgelegt. §32 (2) Satz 2
  • Mitteilungen (an Kunden oder Öffentlichkeit) werden nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig gemacht. §35 (2) Satz 1, auch i.V.m. Satz 2
2 Mio. EUR
Hersteller von IT-Systemen
  • Durch BSI angewiesene Mitwirkung an Wieder­herstellung der Sicherheit oder Funktionsfähigkeit eines IT-Systems wird verweigert. §11 (6)
  • Vom BSI verlangte Auskünfte zu Produkten und Systemen, insb. auch zu technischen Details, werden verweigert. §14 (2) Satz 1
Anbieter von TK-Diensten (>100.000 Kunden)
  • Angeordnete Maßnahme nach §169 (6)(7) TKG wird nicht getroffen oder Datenverkehr nicht wie angewiesen umgeleitet. §16 (1) Nr. 1, auch i.V.m. §16 (3)
  • Angeordnete technische Befehle zur Bereinigung von einem konkret benannten Schadprogramm werden nicht verteilt. § 16 (1) Nr. 2
Anbieter digitaler Dienste
  • Angeordnete technische und organisatorische Maßnahmen für den ordnungsgemäßen Zustand digitaler Dienste werden verweigert. §17 Satz 1
Betreiber kritischer Anlagen
  • Verlangter geeigneter Nachweis über die erfolgte Mängelbeseitigung wird nicht vorgelegt. §39 (1) Satz 5
– Anwendung von §30 (2) 3 OWiG
1 Mio. EUR Betreiber kritischer Anlagen:
  • Nachweis über Erfüllung der Anforderungen wird nicht richtig oder nicht vollständig erbracht. §39 (1) Satz 1 i.V.m. VO §56 (4) Satz 1
  • Nachweis über Erfüllung der Anforderungen wird nicht oder nicht rechtzeitig erbracht. §39 (1) Satz 1 i.V.m. VO §56 (4) Satz 1
– Anwendung von §30 (2) 3 OWiG
500.000 EUR
  • Anordnung des BSI zur Information von Kunden oder Öffentlichkeit über Sicherheitsvorfall wird zuwidergehandelt. §35 (1) Satz 1 oder §36 (2) Satz 1
  • Angabe oder Änderung bei Registrierung wird nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt. §33 (1) oder (2) Satz 1, auch i.V.m. VO nach §56 (4) Satz 1, oder §34 (1)
  • Das BSI wird über Änderungen an Registrierungsdaten nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterichtet. §34 (2)
  • Nicht-konforme Verwendung eines Zertifikats, einer Erklärung oder eines Kennzeichens nach §52 (2) Satz 4, §53 (1) Satz 4, §54 (6) Satz 2 od. §55 (4) Satz 1
  • Tätigkeit als akkreditierte Konformitätsbewertungsstelle ohne Erlaubnis. §53 (3) Satz 2 oder §54 (2) Satz 2
  • Vorsätzlicher oder fahrlässiger Verstoß gegen (EU) 2019/881 über ENISA und Zertifizierung: Angaben oder Information nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig.
TLD-Registries und Domain-Name-Registry-Dienstleister
  • Vorgaben oder Verfahren zur Sicherstellung genauer und vollständiger Angaben in Datenbank werden nicht eingehalten oder nicht, nicht in der vorgeschrieben Weise oder nicht rechtzeitig zugänglich gemacht. §49 (3) Satz 1 oder §49 (3) Satz 2 oder (4)
  • Zugang zu den Domain-Namen-Registrierungsdaten wird nicht oder nicht rechtzeitig gewährt. §50 (1) Satz 1
100.000 EUR Besonders wichtige Einrichtungen
  • Betreten eines Raums nicht gestattet oder Aufzeichnung, Schriftstück oder Unterlage nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig vorgelegt oder Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt. §61 (5) Satz 3
Besonders wichtige Einrichtungen und wichtige Einrichtungen
  • Zuwiderhandlung gegen Anordnung des BSI zur Vorlage von Nachweisen über die Erfüllung von Verpflichtungen. §61 (3) Satz 1, auch i.V.m. §62
  • Anordnung des BSI zur Umsetzung erforderlicher Maßnahmen nach § 30 (1) Satz 1 inkl. Mängelbeseitigungsplan und Nachweiserbringung wird zuwidergehandelt, oder Frist wird nicht eingehalten. §61 (6) Satz 1 und 3, auch i.V.m. §62
  • Zuwiderhandlung gegen Anordnung des BSI zur Umsetzung von im Rahmen einer Sicherheitsprüfung formulierten Empfehlungen, oder nicht fristgerechte Umsetzung. §61 (7) Satz 1 und 3, auch i.V.m. §62
  • Anordnung des BSI zur Unterrichtung oder Öffentlichmachung von Informationen wird zuwidergehandelt. §61 (8), auch i.V.m. §62
Betreiber kritischer Anlagen
  • Zuwiderhandlung gegen Anordnung des BSI, zur Bewältigung einer Störung notwendige Informationen inkl. personenbezogenen Daten herauszugegeben. §40 (5) Satz 1
  • Fahrlässig einen Nachweis nicht richtig oder nicht vollständig erbringen. §39 (1) Satz 1
Hersteller von IT-Systemen
  • Durch BSI angewiesene Mitwirkung an der Beseitigung oder Vermeidung von erheblichen Sicherheitsvorfällen bei IKT-Produkten verweigert. §18
Alle
  • Kontaktstelle ist nicht erreichbar. §33 (2) Satz 2

up

Sanktionen und Bußgelder im Energiesektor

Analog zu den Pflichten für Einrichtungen und Betreiber im Energiesektor regelt das EnWG ebenfalls die Tatbestände und Bußgelder für betroffene Unternehmen.

eigene Zusammenstellung aus NIS2-Referentenentwurf Stand Juli 2024
Höhe Verstöße
10 Mio. EUR
wenn Umsatz größer 500 Mio. Euro: Bußgeldhöhe 2% vom weltweiten Umsatz, Anwendung von §30 (2) Satz 2 OWiG
  • Besonders wichtige Einrichtungen: Angemessener Schutz durch Umsetzung des IT-Sicherheitskatalogs nicht gewährleistet. §5c (1) Satz 1
  • Besonders wichtige Einrichtungen: Einhaltung der Anforderungen des IT-Sicherheitskatalogs nicht, nicht richtig oder nicht vollständig dokumentiert. §5d (1) Satz 1
  • Besonders wichtige Einrichtungen: Dokumentation nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt. §5d (1) Satz 2
  • Besonders wichtige Einrichtungen: Meldung über Sicherheitsvorfall nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig. §5d (3) Satz 1
7 Mio. EUR
wenn Umsatz größer 500 Mio. Euro: Bußgeldhöhe 1,4% vom weltweiten Umsatz, Anwendung von §30 (2) Satz 2 OWiG
  • Wichtige Einrichtungen: Angemessener Schutz durch Umsetzung des IT-Sicherheitskatalogs nicht gewährleistet. §5c (1) Satz 1
  • Wichtige Einrichtungen: Einhaltung der Anforderungen des IT-Sicherheitskatalogs nicht, nicht richtig oder nicht vollständig dokumentiert. §5d (1) Satz 1
  • Wichtige Einrichtungen: Dokumentation nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt. §5d (1) Satz 2
  • Wichtige Einrichtungen: Meldung über Sicherheitsvorfall nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig. §5d (3) Satz 1

Sanktionen im BSIG (bis 2025)

Ordnungswidrigkeiten

In §14 (1) bis (4) BSIG-E sind vorsätzliche und fahrlässige Verstöße von KRITIS-Betreibern und Anbietern Digitaler Dienste als Ordnungswidrigkeiten definiert. Seit dem Jahr 2021 wurden mit dem IT-Sicherheitsgesetz 2.0 mehr Tatbestände als Verstöße definiert.

Ordnungswidrigkeiten im IT-Sicherheitgesetz 2.0, ohne Gewähr
Stand Juni 2021
Nr. Verstoß BSIG-E
Nachweise
1 KRITIS-Nachweise nicht richtig oder nicht vollständig erbringen §8a (3)
2 KRITIS-Nachweise nicht oder nicht rechtzeitig erbringen §8a (3)
Störungen
3 Systeme auf Verlangen des BSI nicht wiederherstellen oder keine Maßnahmen zur Gefahrenabwehr treffen §5b (6)
§7c (1)
§8a (3)
4 Fehlende Mitwirkung bei Störungsbeseitigung §8b (6)
5 Fehlende, unvollständige oder verspätete Meldung von Störungen bei KRITIS, Digitalen Diensten oder UBI §8b (4)
§8c (3) §8f (7)
Maßnahmen
6 Fehlende Umsetzung von KRITIS Cyber Security Maßnahmen §8a (1)
7 Fehlende Maßnahmen von Anbietern digitaler Dienste (DSP) §8c (1)
8 Fehlende, unvollständige Selbsterklärung zur IT-Sicherheit von UBI §8f (1)
Registrierung
9 Fehlende Registrierung als KRITIS, fehlende Kontaktstelle, keine Erreichbarkeit §8b (3)
10 Fehlende Registrierung als UBI §8f (5)
Informationen
11 Hersteller-Informationen für Untersuchungen nicht herausgeben §7a (2)
12 Fehlende Auskünfte von Anbietern Digitaler Dienste §8c (4)
13 Dem BSI Zutritt, Informationen oder Unterstützung bei der Überprüfung von Maßnahmen oder KRITIS-Registrierung verweigern §8a (4) §8b (3a)
Zertifizierungen
14 Als Konformitäts­bewertungsstelle ohne Genehmigung tätig werden §9a (2)
15 Sicherheitskennzeichen ohne Freigabe verwenden §9c (4)
16 Sicherheitsangaben zertifizierter Produkte nicht öffentlich machen Art. 55 (EU) 2019/881
17 Sicherheitslücken zertifizierter Produkte nicht öffentlich machen Art. 56 (EU) 2019/881

up

Bußgelder

§14 (5) BSIG-E legt teils hohe Bußgelder für die Ordnungswidrigkeiten fest: Geldbuße bis 2 Mio. EUR, mit §30 Abs. 2 OWiG bis 20 Mio. EUR für juristische Personen. Die Bußgelder haben sich seit 2021 mit dem IT-Sicherheitsgesetz 2.0 bei Verstößen deutlich erhöht.

Bußgelder im IT-Sicherheitgesetz 2.0, ohne Gewähr, Stand Juni 2021
Verstoß Referenz
Bis 2 Mio. EUR
Anordnungen zur Wiederherstellung oder Gefahrenabwehr zuwiderhandeln 3
Bis 1 Mio. EUR
KRITIS-Maßnahmen nicht umsetzen oder nachweisen 1 2 6
Bis 500 Tsd.
Fehlende Mitwirkung bei Störungsbeseitigung 4
Fehlende Auskünfte von DSPs 12
Fehlende Registrierung als KRITIS oder UBI 9 10
Meldungen nicht absetzen bei KRITIS, DSP und UBI 5
DSP Maßnahmen nicht umsetzen 7
Selbsterklärung von UBI nicht vorlegen 8
Konformitätsbewertung ohne Genehmigung durchführen 14
Sicherheitskennzeichen ohne Genehmigung verwenden 15
Sicherheitsangaben oder Lücken zertifizierter Produkte nicht veröffentlichen 16 17
Bis 100 Tsd.
Herstellerinformationen nicht herausgeben 11
Zugang oder Unterlagen zu KRITIS-Maßnahmen/Registrierung verweigern 13
Fehlende Erreichbarkeit als KRITIS 9
Bis 20 Mio. als juristische Person/Organ (§30 Abs. 2 OWiG)
Anordnungen zur Wiederherstellung oder Gefahrenabwehr zuwiderhandeln 3
Bis 10 Mio. als juristische Person/Organ (§30 Abs. 2 OWiG)
KRITIS-Maßnahmen nicht umsetzen oder nachweisen 1 2 6

up

Weitere Informationen

Formulare

Quellen

  1. Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie, Regierungsentwurf 25.07.2025, BMI
  2. Regierungsentwurf des Bundesregierung: KRITIS-Dachgesetz (KRITISDachG) 10. September 2025, Bundesinnenministerium
  3. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
  4. Gesetz über Ordnungswidrigkeiten (OWiG), in der Fassung der Bekanntmachung vom 19. Februar 1987 (BGBl. I S. 602), das zuletzt durch Artikel 9a des Gesetzes vom 30. März 2021 (BGBl. I S. 448) geändert worden ist