Bußgelder in KRITIS
Für KRITIS-Betreiber sieht die KRITIS-Regulierung bei Verstößen gegen Pflichten Bußgelder vor, wie etwa bei mangelnder Umsetzung von Sicherheitsmaßnahmen oder Meldepflichten an Behörden.
Die Sanktionen sind im BSIG definiert und früher eher begrenzter Natur — was sich mit dem IT-Sicherheitsgesetz 2.0 und vor allem der NIS2-Umsetzung geändert hat.
- Sanktionen im BSIG (bis 2024)
- Sanktionen in NIS2 (ab 2024)
- NIS2-Tatbestände
Bestimmte Verstöße gegen KRITIS-Regularien sind durch das BSIG als Ordnungswidrigkeit definiert und je nach Verstoss und Unternehmen mit Sanktionen belegt.
Kommen Betreiber ihren Pflichten nicht nach, kann dies finanzielle Konsequenzen fürs Unternehmen und die Geschäftsleitung haben.
Mit der NIS2-Umsetzung ändern sich Sanktionen und Bußgelder ab 2024 deutlich, diese sind im Anschluss an die bisherigen Regeln vom BSIG aufgeführt.
Sanktionen im BSIG (bis 2024)
Ordnungswidrigkeiten
In §14 (1) bis (4) BSIG-E sind vorsätzliche und fahrlässige Verstöße von KRITIS-Betreibern und Anbietern Digitaler Dienste als Ordnungswidrigkeiten definiert.
Seit dem Jahr 2021 wurden mit dem IT-Sicherheitsgesetz 2.0 mehr Tatbestände als Verstöße definiert.
Ordnungswidrigkeiten im IT-Sicherheitgesetz 2.0, ohne Gewähr
Stand Juni 2021
| Nr. |
Verstoß |
BSIG-E |
| Nachweise |
| 1 |
KRITIS-Nachweise nicht richtig oder nicht vollständig erbringen |
§8a (3) |
| 2 |
KRITIS-Nachweise nicht oder nicht rechtzeitig erbringen |
§8a (3) |
| Störungen |
| 3 |
Systeme auf Verlangen des BSI nicht wiederherstellen oder keine Maßnahmen zur Gefahrenabwehr treffen |
§5b (6)
§7c (1)
§8a (3) |
| 4 |
Fehlende Mitwirkung bei Störungsbeseitigung |
§8b (6) |
| 5 |
Fehlende, unvollständige oder verspätete Meldung von Störungen bei KRITIS, Digitalen Diensten oder UBI |
§8b (4)
§8c (3) §8f (7) |
| Maßnahmen |
| 6 |
Fehlende Umsetzung von KRITIS Cyber Security Maßnahmen |
§8a (1) |
| 7 |
Fehlende Maßnahmen von Anbietern digitaler Dienste (DSP) |
§8c (1) |
| 8 |
Fehlende, unvollständige Selbsterklärung zur IT-Sicherheit von UBI |
§8f (1) |
| Registrierung |
| 9 |
Fehlende Registrierung als KRITIS, fehlende Kontaktstelle, keine Erreichbarkeit |
§8b (3) |
| 10 |
Fehlende Registrierung als UBI |
§8f (5) |
| Informationen |
| 11 |
Hersteller-Informationen für Untersuchungen nicht herausgeben |
§7a (2) |
| 12 |
Fehlende Auskünfte von Anbietern Digitaler Dienste |
§8c (4) |
| 13 |
Dem BSI Zutritt, Informationen oder Unterstützung bei der Überprüfung von Maßnahmen oder KRITIS-Registrierung verweigern |
§8a (4) §8b (3a) |
| Zertifizierungen |
| 14 |
Als Konformitätsbewertungsstelle ohne Genehmigung tätig werden |
§9a (2) |
| 15 |
Sicherheitskennzeichen ohne Freigabe verwenden |
§9c (4) |
| 16 |
Sicherheitsangaben zertifizierter Produkte nicht öffentlich machen |
Art. 55 (EU) 2019/881 |
| 17 |
Sicherheitslücken zertifizierter Produkte nicht öffentlich machen |
Art. 56 (EU) 2019/881 |
Bußgelder
§14 (5) BSIG-E legt teils hohe Bußgelder für die Ordnungswidrigkeiten fest: Geldbuße bis 2 Mio. EUR, mit §30 Abs. 2 OWiG bis 20 Mio. EUR für juristische Personen.
Die Bußgelder haben sich seit 2021 mit dem IT-Sicherheitsgesetz 2.0 bei Verstößen deutlich erhöht.
Bußgelder im IT-Sicherheitgesetz 2.0, ohne Gewähr, Stand Juni 2021
| Verstoß |
Referenz |
| Bis 2 Mio. EUR |
| Anordnungen zur Wiederherstellung oder Gefahrenabwehr zuwiderhandeln |
3 |
| Bis 1 Mio. EUR |
| KRITIS-Maßnahmen nicht umsetzen oder nachweisen |
1 2 6 |
| Bis 500 Tsd. |
| Fehlende Mitwirkung bei Störungsbeseitigung |
4 |
| Fehlende Auskünfte von DSPs |
12 |
| Fehlende Registrierung als KRITIS oder UBI |
9 10 |
| Meldungen nicht absetzen bei KRITIS, DSP und UBI |
5 |
| DSP Maßnahmen nicht umsetzen |
7 |
| Selbsterklärung von UBI nicht vorlegen |
8 |
| Konformitätsbewertung ohne Genehmigung durchführen |
14 |
| Sicherheitskennzeichen ohne Genehmigung verwenden |
15 |
| Sicherheitsangaben oder Lücken zertifizierter Produkte nicht veröffentlichen |
16 17 |
| Bis 100 Tsd. |
| Herstellerinformationen nicht herausgeben |
11 |
| Zugang oder Unterlagen zu KRITIS-Maßnahmen/Registrierung verweigern |
13 |
| Fehlende Erreichbarkeit als KRITIS |
9 |
| Bis 20 Mio. als juristische Person/Organ (§30 Abs. 2 OWiG) |
| Anordnungen zur Wiederherstellung oder Gefahrenabwehr zuwiderhandeln |
3 |
| Bis 10 Mio. als juristische Person/Organ (§30 Abs. 2 OWiG) |
| KRITIS-Maßnahmen nicht umsetzen oder nachweisen |
1 2 6 |
up
Sanktionen in NIS2 (ab 2024)
Situation ab 2024
Das Gesetz zur Umsetzung von NIS2 und Stärkung der Cybersicherheit, die NIS2-Umsetzung, tritt ab 2024 in Kraft.
Es überführt EU-weite Mindeststandards für Cybersecurity in deutsche Regulierung und erweitert Bußgelder und Tatbestände (Vergehen) deutlich.
Das NIS2-Umsetzungsgesetz definiert keine Übergangsfristen für die Umsetzung der Security-Maßnahmen und Pflichten.
Die Sanktionen und Bußgelder können ab Inkrafftreten der NIS2-Umsetzung im Oktober 2024 verhängt werden, z.B. Verstöße bei Vorfällen, Registrierung.
Dieser Abschnitt baut auf dem letzten Diskussionspapier NIS2UmsuCG von Dezember 2023 auf.
Sanktionen und Bußgelder
Das NIS2-Umsetzungsgesetz definiert Bußgeldvorschriften in §60.
Die bisherigen KRITIS-Bußgelder werden dabei um einige neue Tatbestände erweitert und bestehende Bußgelder teils deutlich erhöht.
Die Bußgelder und Sanktionen unterscheiden sich nach Gruppe:
- Bußgelder für allgemeine Tatbestände §60 (5)
- Bußgelder für wichtige Einrichtungen §60 (6)
- Bußgelder für Betreiber kritischer Anlagen und besonders wichtige Einrichtungen §60 (7)
Geschäftsleitung
Geschäftsführer von Einrichtungen müssen die Risikomanagement-Maßnahmen für Cybersecurity billigen
und die Umsetzung in der Einrichtung überwachen.
§38 (1) Werden diese Pflichten verletzt, kann die Einrichtung Ersatzansprüche stellen, wobei ein Verzicht oder Vergleich unwirksam ist. §38 (2)
Geschäftsleiter müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und Maßnahmen sicherzustellen. §38 (3)
Allgemeine Tatbestände
Allgemeine Bußgeldtatbestände nach §60 (5) unterscheiden in der Bußgeldbewährung nicht zwischen den unterschiedlichen Betreiber-Gruppen.
eigene Zusammenstellung aus NIS2-Referentenentwurf Stand Dezember 2023
| Höhe |
Verstöße |
| 2 Mio. EUR |
- Hersteller von IT-Systemen: durch das BSI angewiesene Mitwirkung an der Wiederherstellung der Sicherheit oder Funktionsfähigkeit eines IT-Systems wird verweigert. §11 (6)
- TK-Anbieter: durch das BSI angewiesene Maßnahmen zur Abwehr konkreter erheblicher Gefahren werden nicht getroffen. §16 (1) 1 auch i.V.m. §16 (3)
- TMD-Anbieter: durch das BSI angewiesene Maßnahmen zur Abwehr konkreter erheblicher Gefahren werden nicht getroffen. §17
- Besonders wichtige Einrichtungen: die öffentlichen IP-Adressbereiche der Einrichtung werden bei der Registrierung nicht angegeben. §34 (1) Satz 6
Hinweis: vielleicht ein Fehler im Entwurf — der Dezemberentwurf führt in §34 (1) keine Sätze, sondern Nummern auf
Hinweis: Anwendung von §30 (2) 3 OWiG
|
| 500.000 EUR |
- Hersteller von IT-Systemen: durch das BSI angewiesene Mitwirkung an der Beseitigung oder Vermeidung von erheblichen Sicherheitsvorfällen bei betroffenen IKT-Produkten wird verweigert. §18
- Besonders wichtige und wichtige Einrichtungen: durch das BSI angewiesene erforderliche Maßnahmen zur Verhütung oder Behebung eines Sicherheitsvorfalls oder Mangels oder die Berichterstattung darüber werden verweigert. §64 (6) Satz 1-2 oder i.V.m. §65
- Registrierung wird nicht oder nicht rechtzeitig vorgenommen oder erforderliche Stelle nicht oder nicht rechtzeitig benannt. §33 (1) oder (5) i.V.m. VO nach §57 (4) Satz 1, und §34 (1)
- Das BSI wird über Änderungen an Registrierungsdaten nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterichtet. §34 (2)
- Besonders wichtige und wichtige Einrichtungen: Ein durch das BSI geforderter Nachweis wird nicht oder nicht rechtzeitig erbracht. §64 (3) Satz 1 oder i.V.m. §65
- Ein Nachweis ggü. dem BSI über eine vollständige Datenbank wird nicht erbracht. §51 (1)
- Auf Anträge wird nicht oder nicht rechtzeitig geantwortet oder der Zugang nicht gewährt. §52 Satz 1
- Erforderliche Angaben werden nicht öffentlich gemacht. §51 (3)(4), §52 Satz 2
- Vorgabe, Inhaber einer Sicherheits- oder Personenzertifizierung oder einer Zertifizierung als IT-Sicherheitsdienstleister zu sein, ohne dass diese besteht. §54 (2) Satz 1
- Tätigwerden als Konformitätsbewertungsstelle ohne Genehmigung. §55 (2) Satz 2
- Verwendung des IT-Sicherheitskennzeichen ohne Freigabe. §56 (4) Satz 1
- Vorsätzlicher oder fahrlässiger Verstoß gegen die Verordnung (EU) 2019/881 über die ENISA und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik: eine Angabe wird nicht, nicht richtig, nicht vollständig oder nicht binnen eines Monats nach Ausstellung zugänglich gemacht oder eine Information wird nicht, nicht richtig, nicht vollständig oder nicht unverzüglich nach Feststellung einer Schwachstelle oder Unregelmäßigkeit gegeben oder Vorgabe, Inhaber eines europäischen Cybersicherheitszertifikats oder Aussteller einer EU-Konformitätserklärung zu sein, obwohl diese nicht besteht, widerrufen oder für ungültig erklärt wurde.
|
| 100.000 EUR |
- Zuwiderhandlung durch Hersteller gegen Anordnung zur Auskunft zu Produkten und Sytemen, insb. auch technischen Details. §14 (2) Satz 1
- Zuwiderhandlung gegen Anordnung zur Unterrichtung von Kunden und Einsetzung eines Überwachungsbeauftragen. §64 (8) Satz 1-2, §64 (9) Satz 1 oder i.V.m. §65
- Besonders wichtige und wichtige Einrichtungen: Zuwiderhandlung gegen Anordnung zur Umsetzung von im Rahmen einer Sicherheitsprüfung formulierten Empfehlungen. §64 (7) Satz 2 oder i.V.m. §65
- Betreiber kritischer Anlagen: Fahrlässig einen Nachweis nicht richtig oder nicht vollständig erbringen. §39 (1) Satz 1
|
Wichtige Einrichtungen
Folgende zusätzliche Bußgelder sind nach §60 (6) für wichtige Einrichtungen definiert.
eigene Zusammenstellung aus NIS2-Referentenentwurf Stand Dezember 2023
| Höhe |
Verstöße |
7 Mio. EUR oder
1,4 % Umsatz |
- Vorkehrungen zur Cybersicherheit nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig getroffen. §30 (1) i.V.m. § VO nach 57 (4) Satz 1
- Meldungen werden nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt. §32 (1)
|
Besonders wichtige Einrichtungen
Folgende zusätzliche Bußgelder sind nach §60 (7) für besonders wichtige Einrichtungen (folglich auch Betreiber kritischer Anlagen) definiert.
eigene Zusammenstellung aus NIS2-Referentenentwurf Stand Dezember 2023
| Höhe |
Verstöße |
10 Mio. EUR oder
2 % Umsatz |
- Vorkehrungen zur Cybersicherheit nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig getroffen. §30 (1) i.V.m. § VO nach 57 (4) Satz 1
- Meldungen werden nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt. §32 (1)
|
| 10 Mio. EUR |
- Nachweise über Erfüllung der Anforderungen werden nicht richtig oder nicht vollständig erbracht. §39 (1) Satz 1 i.V.m. VO nach §57 (4) Satz 1
- Nachweise über Erfüllung der Anforderungen werden nicht oder nicht rechtzeitig erbracht. §39 (1) Satz 1 i.V.m. VO nach §57 (4) Satz 1
|
| 500.000 EUR |
- Das Betreten eines Raums wird nicht gestattet, eine Unterlage wird nicht oder nicht rechtzeitig vorgelegt, eine Auskunft wird nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder Unterstützung wird nicht oder nicht rechtzeitig gewährt. §64 (5) Satz 3
|
| 100.000 EUR |
- Durch das BSI verlangte Informationen zur Bewältigung einer Störung werden nicht herausgegeben. §40 (4) Satz 1
- Kontaktstelle ist nicht erreichbar. §33 (2) Satz 2
Hinweis: Erreichbarkeit der Kontaktstelle nur für Betreiber kritischer Anlagen relevant.
|
up
Detaillierte NIS2-Bußgeldtatbestände
eigene Zusammenstellung, Stand Oktober 2023
| Ordnungswidrigkeit und Verstoß |
Bußgelder nach §60 (5)(6)(7) |
| §60 (1) |
- Nachweiserbringung §39 (1) über Erfüllung der Anforderungen ist nicht richtig oder nicht vollständig.
§39 (1) Satz 1 i.V.m. VO nach §57 (4) Satz 1
Hinweis: nur für Betreiber kritischer Anlagen relevant. |
- Besonders wichtige Einrichtungen: 10 Mio. EUR
|
| §60 (2) 1. a) |
- Hersteller von IT-Systemen: durch das BSI angewiesene Mitwirkung §11 (6) an der Wiederherstellung der Sicherheit oder Funktionsfähigkeit eines IT-Systems wird verweigert.
- TK-Anbieter: durch das BSI angewiesene Maßnahmen §16 (1) 1 zur Abwehr konkreter erheblicher Gefahren werden nicht getroffen.
§16 (1) 1 auch i.V.m. §16 (3)
- TMD-Anbieter: durch das BSI angewiesene Maßnahmen §17 zur Abwehr konkreter erheblicher Gefahren werden nicht getroffen.
- Besonders wichtige Einrichtungen: die öffentlichen IP-Adressbereiche der Einrichtung werden bei der Registrierung nicht angegeben §34 (1) Satz 6
Hinweis: vielleicht ein Fehler im Entwurf — der Dezemberentwurf führt in §34 (1) keine Sätze, sondern Nummern auf
|
- Allgemein: 2 Mio. EUR
Hinweis: Anwendung von §30 (2) 3 OWiG
|
| §60 (2) 1. b) |
- Zuwiderhandlung durch Hersteller gegen Anordnung zur Auskunft §14 (2) 1 zu Produkten und Sytemen, insb. auch technischen Details.
- Zuwiderhandlung gegen Anordnung zur Unterrichtung §64 (8) 1 §64 (9) 1 von Kunden und Einsetzung eines Überwachungsbeauftragen.
- Zuwiderhandlung gegen Aufsichtsmaßnahmen gegen Einrichtungen. §65
|
|
| §60 (2) 1. c) |
- Hersteller von IT-Systemen: durch das BSI angewiesene Mitwirkung §18 an der Beseitigung oder Vermeidung von erheblichen Sicherheitsvorfällen bei betroffenen IKT-Produkten wird verweigert.
- Besonders wichtige und wichtige Einrichtungen: durch das BSI angewiesene erforderliche Maßnahmen §64 (6) zur Verhütung oder Behebung eines Sicherheitsvorfalls oder Mangels oder die Berichterstattung darüber werden verweigert. §64 (6) Satz 1-2 oder i.V.m. §65
|
|
| §60 (2) 1. d) |
- Durch das BSI verlangte Informationen zur Bewältigung einer Störung §40 (4) 1 werden nicht herausgegeben.
|
- Besonders wichtige Einrichtungen: 100.000 EUR
|
| §60 (2) 2. |
- Vorkehrungen zur Cybersicherheit §30 (1) werden nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig getroffen.
§30 (1) i.V.m. § VO nach 57 (4) Satz 1 |
- Wichtige Einrichtungen: 7 Mio. EUR oder 1,4 % vom Umsatz
- Besonders wichtige Einrichtungen: 10 Mio. EUR oder 2 % vom Umsatz
|
| §60 (2) 3. |
- Meldungen §32 (1) werden nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt.
|
- Wichtige Einrichtungen: 7 Mio. EUR oder 1,4 % vom Umsatz
- Besonders wichtige Einrichtungen: 10 Mio. EUR oder 2 % vom Umsatz
|
| §60 (2) 4. |
- Registrierung §33 (1), (5) §34 (1) wird nicht oder nicht rechtzeitig vorgenommen oder erforderliche Stelle nicht oder nicht rechtzeitig benannt.
§33 (1) oder (5) i.V.m. VO nach §57 (4) Satz 1, und §34 (1) |
|
| §60 (2) 5. |
- Kontaktstelle ist nicht erreichbar. §33 (2) 2
Hinweis: nur für Betreiber kritischer Anlagen relevant.
|
- Besonders wichtige Einrichtungen: 100.000 EUR
|
| §60 (2) 6. |
- Das BSI wird über Änderungen an Registrierungsdaten §34 (2) nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterichtet.
|
|
| §60 (2) 7. |
- Nachweise über Erfüllung der Anforderungen §39 (1) werden nicht oder nicht rechtzeitig erbracht.
§39 (1) Satz 1 i.V.m. VO nach §57 (4) Satz 1
Hinweis: nur für Betreiber kritischer Anlagen relevant.
- Besonders wichtige und wichtige Einrichtungen: Ein durch das BSI geforderter Nachweis §64 (3) wird nicht oder nicht rechtzeitig erbracht. §64 (3) Satz 1 oder i.V.m. §65
|
- Allgemein (bzgl. §§64, 65): 500.000 EUR
- Besonders wichtige Einrichtungen: 10 Mio. EUR
|
| §60 (2) 8. |
- Ein Nachweis ggü. dem BSI §51 (1) über eine vollständige Datenbank wird nicht erbracht.
- Auf Anträge wird nicht oder nicht rechtzeitig geantwortet oder der Zugang nicht gewährt. §52 Satz 1
- Erforderliche Angaben §51 (3)(4)§52 Satz 2 werden nicht öffentlich gemacht.
|
|
| §60 (2) 9. |
- Vorgabe, Inhaber einer Sicherheits- oder Personenzertifizierung oder einer Zertifizierung als IT-Sicherheitsdienstleister zu sein, ohne dass diese besteht. §54 (2) 1
|
|
| §60 (2) 10. |
- Tätigwerden als Konformitätsbewertungsstelle ohne Genehmigung. §55 (2) 1
|
|
| §60 (2) 11. |
- Verwendung des IT-Sicherheitskennzeichen ohne Freigabe.§65 (4) 1
|
|
| §60 (2) 12. |
- Das Betreten eines Raums wird nicht gestattet, eine Unterlage wird nicht oder nicht rechtzeitig vorgelegt, eine Auskunft wird nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder Unterstützung wird nicht oder nicht rechtzeitig gewährt. §64 (5) 3
|
- Besonders wichtige Einrichtungen: 500.000 EUR
|
| §60 (2) 13. |
- Verbindlichen Anweisungen zur Umsetzung der Gesetzesanforderungen wird nicht nachgekommen. §64 (7) §65
|
|
| §60 (3) |
- Fahrlässigkeit bei der Nachweiserbringung §39 (1) über Erfüllung der Anforderungen (siehe §60 (1))
Hinweis: nur für Betreiber kritischer Anlagen relevant. |
|
| §60 (4) |
Vorsätzlicher oder fahrlässiger Verstoß gegen die Verordnung (EU) 2019/881 über die ENISA und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik:
- eine Angabe wird nicht, nicht richtig, nicht vollständig oder nicht binnen eines Monats nach Ausstellung zugänglich gemacht Art. 55 (1) Verordnung (EU) 2019/881
- eine Information wird nicht, nicht richtig, nicht vollständig oder nicht unverzüglich nach Feststellung einer Schwachstelle oder Unregelmäßigkeit gegeben Art. 56 (8) Satz 1 Verordnung (EU) 2019/881
- Vorgabe, Inhaber eines europäischen Cybersicherheitszertifikats oder Aussteller einer EU-Konformitätserklärung zu sein, obwohl diese nicht besteht, widerrufen oder für ungültig erklärt wurde.
|
- Allgemein: 500.000 EUR
Geregelt nach Art. 58 (2) i) der Verordnung (EU) 2019/881. Ein weiteres Bußgeld für einen Verstoß nach diesem Gesetz, der sich aus demselben Verhalten ergibt wie jener Verstoß, darf nicht verhängt werden.
|
up
Weitere Informationen
