Volljurist und Compliance-Experte
21 Mar 2026
7 min
.svg)
§65 BSIG definiert 7 Bußgeldstufen von 100.000 € bis 10 Mio. €, je nach Verstoß und Einrichtungstyp.
Bei besonders wichtigen Einrichtungen mit über 500 Mio. € Umsatz greift die umsatzbasierte Obergrenze: 2% des weltweiten Jahresumsatzes.
Das BSI kann als Ultima Ratio die Geschäftstätigkeit vorübergehend untersagen, ein Hebel der in der Praxis schwerer wiegt als jedes Bußgeld.
Ein ISMS nach ISO 27001 deckt die meisten NIS2-Anforderungen ab und senkt damit das Bußgeldrisiko systematisch.
Seit dem 6. Dezember 2025 gilt das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in Deutschland. Damit sind auch die Bußgeldvorschriften in §65 BSIG scharf geschaltet. Unternehmen, die ihre Pflichten nicht erfüllen, müssen mit Geldbußen von bis zu zehn Millionen Euro rechnen. Dieser Artikel ordnet die Tatbestände ein, erklärt die Bußgeldstufen und zeigt anhand konkreter Szenarien, wo die größten Risiken liegen.
Das NIS2-Umsetzungsgesetz definiert in §65 BSIG insgesamt 17 Bußgeldtatbestände. Diese lassen sich in vier Kategorien gruppieren, die in der Praxis unterschiedlich häufig relevant werden.
Betroffene Unternehmen mussten sich bis zum 6. März 2026 beim BSI registrieren und eine 24/7 erreichbare Kontaktstelle benennen. Wer diese Frist versäumt hat, begeht bereits eine Ordnungswidrigkeit. Das betrifft sowohl die verspätete Übermittlung der Angaben (§65 Abs. 2 Nr. 6) als auch die fehlende Erreichbarkeit der Kontaktperson (§65 Abs. 2 Nr. 7).
Erhebliche Sicherheitsvorfälle müssen dem BSI innerhalb von 24 Stunden gemeldet werden. Es folgen ein Update nach 72 Stunden und ein Abschlussbericht nach spätestens einem Monat. Wer eine dieser Fristen reißt oder unvollständig meldet, erfüllt den Tatbestand nach §65 Abs. 2 Nr. 4 und 5. Die genauen Abläufe und Zuständigkeiten für den Meldeprozess erklären wir im Detail in unserem Artikel zu den Meldepflichten bei Sicherheitsvorfällen.
§30 BSIG verpflichtet betroffene Einrichtungen zu Risikomanagementmaßnahmen in der Informationssicherheit. Wer diese Maßnahmen nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig umsetzt, riskiert die höchsten Bußgelder im gesamten Katalog (§65 Abs. 2 Nr. 2). Dasselbe gilt für die fehlende Dokumentation der Umsetzung (§65 Abs. 2 Nr. 3). Was genau §30 im Einzelnen verlangt, behandeln wir im Überblick zu den NIS2-Anforderungen.
Betreiber kritischer Anlagen müssen dem BSI regelmäßig nachweisen, dass sie ihre Sicherheitsmaßnahmen umgesetzt haben. Das geschieht durch Audits, Prüfungen oder Zertifizierungen. Wer diesen Nachweis nicht oder nicht rechtzeitig erbringt, fällt unter §65 Abs. 1 bzw. Abs. 2 Nr. 10.
Die meisten Quellen nennen nur die Obergrenze: zehn Millionen Euro. Was dabei untergeht: §65 Abs. 5 BSIG staffelt die Bußgelder in sieben Stufen, abhängig vom Verstoß und vom Einrichtungstyp. Die Spanne reicht von 100.000 Euro für kleinere Verstöße bis zu den vollen zehn Millionen Euro für die schwerwiegendsten Fälle.
| Bußgeldstufe | Typische Verstöße | Rechtsgrundlage |
|---|---|---|
| Bis 10 Mio. € (bwE) | Maßnahmen nicht umgesetzt, Meldepflicht verletzt, BSI-Anordnung missachtet | §65 Abs. 5 Nr. 1a |
| Bis 7 Mio. € (wE) | Gleiche Tatbestände wie bwE, niedrigere Obergrenze | §65 Abs. 5 Nr. 1b |
| Bis 5 Mio. € | Verstöße bei kritischen Komponenten (§41 BSIG) | §65 Abs. 5 Nr. 2 |
| Bis 2 Mio. € | Nichtbefolgung bestimmter BSI-Anordnungen (§11 BSIG) | §65 Abs. 5 Nr. 3 |
| Bis 1 Mio. € | Fehlerhafte oder verspätete Nachweise (§39 BSIG) | §65 Abs. 5 Nr. 4 |
| Bis 500.000 € | Registrierung verspätet, Angaben unvollständig, Zertifikatsmissbrauch | §65 Abs. 5 Nr. 5 |
| Bis 100.000 € | Kontaktstelle nicht erreichbar, BSI-Zutritt verweigert, fahrlässige Nachweisfehler | §65 Abs. 5 Nr. 6 |
Für besonders wichtige Einrichtungen (bwE) nach §28 Abs. 1 BSIG liegt die Obergrenze bei zehn Millionen Euro. Bei Unternehmen mit einem weltweiten Gesamtumsatz von über 500 Millionen Euro greift jedoch die umsatzbasierte Grenze: 2% des Jahresumsatzes (§65 Abs. 6). Es gilt jeweils der höhere Betrag. Bei einem Konzern mit zwei Milliarden Euro Umsatz wären das bis zu 40 Millionen Euro.
Für wichtige Einrichtungen (wE) nach §28 Abs. 2 BSIG gelten niedrigere Obergrenzen: sieben Millionen Euro oder 1,4% des Jahresumsatzes bei über 500 Millionen Euro Umsatz (§65 Abs. 7). Die Tatbestände sind identisch mit denen der bwE.
Ein Detail, das in der Praxis für Überraschungen sorgt: §65 Abs. 8 BSIG definiert den Gesamtumsatz als die Summe aller Umsatzerlöse des Unternehmens, dem die Einrichtung angehört. Nicht der Umsatz der einzelnen Tochter-GmbH zählt, sondern der Konzernumsatz. Das BSI darf den Umsatz sogar schätzen, wenn keine genauen Zahlen vorliegen. Für Konzernunternehmen bedeutet das: Selbst eine kleine operative Einheit kann Bußgelder in Millionenhöhe auslösen, weil der Konzernumsatz als Berechnungsbasis dient.
"Die meisten Unternehmen fokussieren sich auf die Zehn-Millionen-Euro-Obergrenze. In der Praxis sind es aber die Aufsichtsmaßnahmen des BSI, die den eigentlichen Hebel darstellen. Ein Bußgeld tut weh. Eine Untersagung der Geschäftstätigkeit kann existenzbedrohend sein."
Niklas Hanitsch, Gründer & Geschäftsführer bei SECJUR
Bußgelder sind nur ein Teil des Sanktionsrahmens. Die Aufsichtsmaßnahmen nach §61 und §62 BSIG geben dem BSI Werkzeuge an die Hand, die in der Praxis deutlich wirksamer sind als jede Geldbuße.
Bei besonders wichtigen Einrichtungen darf das BSI proaktiv tätig werden: Es kann Audits anordnen (§61 Abs. 1), Nachweise über die Umsetzung der Sicherheitsmaßnahmen verlangen (§61 Abs. 3), vor Ort prüfen (§61 Abs. 5) und Mängelbeseitigungspläne mit konkreten Fristen einfordern (§61 Abs. 6). Bei wichtigen Einrichtungen greift das BSI dagegen erst, wenn konkrete Anhaltspunkte für Verstöße vorliegen (§62 BSIG). Das heißt: bwE stehen unter proaktiver Aufsicht, wE unter reaktiver.
Die schärfste Waffe des Gesetzgebers findet sich in §61 Abs. 9 BSIG. Wenn eine besonders wichtige Einrichtung den Anordnungen des BSI trotz Fristsetzung nicht nachkommt, kann die zuständige Aufsichtsbehörde als letztes Mittel die Betriebsgenehmigung vorübergehend aussetzen und der Geschäftsleitung die Ausübung ihrer Tätigkeit untersagen. Dieser Hebel ist bewusst als Ultima Ratio konzipiert und dürfte selten zum Einsatz kommen. Aber allein die Möglichkeit verändert die Risikoabwägung für Geschäftsführer fundamental. Die persönliche Haftung der Geschäftsführung nach §38 NIS2UmsuCG kommt dabei noch obendrauf.
Die Bußgeldtatbestände klingen abstrakt. Was das in der Praxis bedeutet, zeigen drei Szenarien, die typische Compliance-Lücken abbilden.
Szenario 1: Fehlende BSI-Registrierung
Ein mittelständisches IT-Unternehmen mit 800 Mitarbeitern hat die Registrierungsfrist am 6. März 2026 verpasst. Die 24/7-Kontaktstelle wurde nicht benannt.
Tatbestand: §65 Abs. 2 Nr. 6 (verspätete Angaben) und Nr. 7 (fehlende Erreichbarkeit)
Bußgeldrahmen: Bis zu 500.000 € für die Registrierung, bis zu 100.000 € für die fehlende Kontaktstelle
Einordnung: Das ist der häufigste Verstoß in der Anfangsphase. Die Konsequenz ist vergleichsweise mild, aber das BSI kann zusätzlich die Nachregistrierung anordnen. Wer auch dieser Anordnung nicht folgt, eskaliert in höhere Bußgeldstufen.
Szenario 2: Verspätete Vorfallmeldung
Ein Logistikunternehmen (wichtige Einrichtung) wird von Ransomware getroffen. Die IT-Abteilung versucht zunächst intern zu reagieren. Die Erstmeldung ans BSI erfolgt erst nach fünf Tagen statt der vorgeschriebenen 24 Stunden.
Tatbestand: §65 Abs. 2 Nr. 4 (Erstmeldung verspätet) und Nr. 5 (Abschlussmeldung verspätet)
Bußgeldrahmen: Bis zu 7 Mio. € (wE) pro Verstoß
Einordnung: Meldepflichtverstöße gehören zu den schwerwiegendsten Tatbeständen, weil sie die Koordinationsfähigkeit der Behörden beeinträchtigen. Die 24-Stunden-Frist ist in der Praxis die Anforderung, an der Unternehmen am häufigsten scheitern. Der Grund ist selten technisch: Es fehlt an klaren Zuständigkeiten und definierten Eskalationswegen.
Szenario 3: Kein dokumentiertes Risikomanagement
Ein Energieversorger (besonders wichtige Einrichtung, 1.200 Mitarbeiter, 600 Mio. € Konzernumsatz) hat kein dokumentiertes ISMS. Ein BSI-Audit deckt auf, dass die zehn Maßnahmenbereiche aus §30 BSIG weder umgesetzt noch dokumentiert sind.
Tatbestand: §65 Abs. 2 Nr. 2 (Maßnahmen nicht umgesetzt) und Nr. 3 (fehlende Dokumentation)
Bußgeldrahmen: 2% von 600 Mio. € = 12 Mio. € (umsatzbasierte Obergrenze nach §65 Abs. 6 greift, da Umsatz >500 Mio. €)
Einordnung: Das ist das Worst-Case-Szenario. Fehlende Risikomanagementmaßnahmen treffen auf die umsatzbasierte Bußgeldobergrenze. Zusätzlich kann das BSI einen Mängelbeseitigungsplan anordnen und bei Nichtbefolgung die Eskalation bis hin zur Geschäftsuntersagung einleiten.
Alle drei Szenarien haben eine Gemeinsamkeit: Sie lassen sich durch ein strukturiertes ISMS vermeiden. SECJUR bildet die NIS2-Anforderungen auf einer zentralen Plattform ab, von der Risikoanalyse über die Meldeprozesse bis zur Nachweisdokumentation. Der interne Aufwand sinkt erfahrungsgemäß um bis zu 50%, weil die Plattform Workflows, Vorlagen und Mappings mitbringt.
Wer bereits ein ISMS betreibt, etwa nach ISO 27001, hat einen strukturellen Vorteil: Die zehn Maßnahmenbereiche aus §30 BSIG decken sich zu großen Teilen mit den Anforderungen der ISO 27001. Eine Compliance-Plattform wie SECJUR macht diese Überschneidung nutzbar und hilft, beide Standards parallel zu erfüllen.
Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
Die häufigsten Fragen zum Thema
Bei NIS2-Verstößen drohen Bußgelder von bis zu 10 Millionen Euro für besonders wichtige Einrichtungen und bis zu 7 Millionen Euro für wichtige Einrichtungen. Bei Unternehmen mit über 500 Mio. € Umsatz greift eine umsatzbasierte Obergrenze von 2% bzw. 1,4% des weltweiten Jahresumsatzes.
§65 BSIG staffelt die NIS2-Bußgelder in 7 Stufen: von 100.000 € für fahrlässige Verstöße und fehlende Erreichbarkeit über 500.000 € für Registrierungsverstöße bis zu 10 Mio. € für die Nichtumsetzung von Risikomanagementmaßnahmen oder Meldepflichtverletzungen.
Neben Bußgeldern kann das BSI Audits anordnen, Mängelbeseitigungspläne mit Fristen einfordern und bei besonders wichtigen Einrichtungen als Ultima Ratio die Geschäftstätigkeit vorübergehend untersagen. Die Geschäftsleitung haftet zudem persönlich nach §38 NIS2UmsuCG. Ein dokumentiertes ISMS reduziert dieses Risiko erheblich – Plattformen wie SECJUR helfen, die NIS2-Anforderungen strukturiert umzusetzen und damit Bußgeldrisiken proaktiv zu minimieren.
Die Bußgelder nach §65 BSIG richten sich an die Einrichtung selbst. Zusätzlich haften Geschäftsführer und Vorstände persönlich nach §38 NIS2UmsuCG, wenn sie ihre Pflicht zur Umsetzung und Überwachung der Risikomanagementmaßnahmen verletzen.
Das NIS2-Umsetzungsgesetz ist am 6. Dezember 2025 in Kraft getreten. Bußgelder nach §65 BSIG können seitdem verhängt werden. Eine Übergangsfrist für die Umsetzung der Sicherheitsmaßnahmen gibt es nicht.
Cybersicherheit ist für die Europäische Union und ihre Mitgliedstaaten, einschließlich Deutschland, von wachsender Bedeutung, insbesondere aufgrund zunehmender Hackerangriffe auf Infrastrukturen. Die EU veröffentlicht und aktualisiert aktiv Rechtsvorschriften, darunter die neueste NIS2 Richtlinie, die zusätzliche Maßnahmen zur Gewährleistung eines hohen gemeinsamen Niveaus der Cybersicherheit in der Union enthält. In Deutschland liegt nun ein Entwurf für ein NIS2 Umsetzungsgesetz vor, um die Vorgaben der NIS2 Richtlinie umzusetzen.
Seit dem Inkrafttreten der DSGVO im Mai 2018 ist es für den Benutzer im Web zum Alltag geworden: Beim Öffnen einer neuen Website wird man aufgefordert, seine Einwilligung zum Sammeln von Daten zu geben, sogenannte Cookies. Laut den ersten Informationen einer Studie der Ruhr-Uni Bochum sind diese Einwilligungen in den meisten Fällen nicht rechtskonform. Wie soll man Cookie-Banner also gestalten? Unsere Experten verraten es.
Ein ISO 9001 Audit endet nicht an der Unternehmensgrenze. Erfahren Sie, wie Sie externe Partner und Dienstleister effektiv in Ihr Qualitätsmanagement integrieren, Risiken steuern und Compliance sichern. Dieser praxisnahe Leitfaden zeigt, wie Audits von ausgelagerten Prozessen zum Erfolgsfaktor werden.
.svg)
.svg)
.svg){kind=small}