Bußgelder in KRITIS

Für KRITIS-Betreiber sieht die KRITIS-Regulierung bei Verstößen gegen Pflichten Bußgelder vor, wie etwa bei mangelnder Umsetzung von Sicherheitsmaßnahmen oder Meldepflichten an Behörden. Die Sanktionen sind im BSIG definiert und früher eher begrenzter Natur — was sich mit dem IT-Sicherheitsgesetz 2.0 und vor allem der NIS2-Umsetzung geändert hat.

Sanktionen im BSIG (bis 2024)
Sanktionen in NIS2 (ab 2024)
NIS2-Tatbestände

Bestimmte Verstöße gegen KRITIS-Regularien sind durch das BSIG als Ordnungswidrigkeit definiert und je nach Verstoss und Unternehmen mit Sanktionen belegt. Kommen Betreiber ihren Pflichten nicht nach, kann dies finanzielle Konsequenzen fürs Unternehmen und die Geschäftsleitung haben.

Mit der NIS2-Umsetzung ändern sich Sanktionen und Bußgelder ab 2024 deutlich, diese sind im Anschluss an die bisherigen Regeln vom BSIG aufgeführt.

Sanktionen im BSIG (bis 2024)

Ordnungswidrigkeiten

In §14 (1) bis (4) BSIG-E sind vorsätzliche und fahrlässige Verstöße von KRITIS-Betreibern und Anbietern Digitaler Dienste als Ordnungswidrigkeiten definiert. Seit dem Jahr 2021 wurden mit dem IT-Sicherheitsgesetz 2.0 mehr Tatbestände als Verstöße definiert.

Ordnungswidrigkeiten im IT-Sicherheitgesetz 2.0, ohne Gewähr
Stand Juni 2021
Nr.	Verstoß	BSIG-E
Nachweise
1	KRITIS-Nachweise nicht richtig oder nicht vollständig erbringen	§8a (3)
2	KRITIS-Nachweise nicht oder nicht rechtzeitig erbringen	§8a (3)
Störungen
3	Systeme auf Verlangen des BSI nicht wiederherstellen oder keine Maßnahmen zur Gefahrenabwehr treffen	§5b (6) §7c (1) §8a (3)
4	Fehlende Mitwirkung bei Störungsbeseitigung	§8b (6)
5	Fehlende, unvollständige oder verspätete Meldung von Störungen bei KRITIS, Digitalen Diensten oder UBI	§8b (4) §8c (3) §8f (7)
Maßnahmen
6	Fehlende Umsetzung von KRITIS Cyber Security Maßnahmen	§8a (1)
7	Fehlende Maßnahmen von Anbietern digitaler Dienste (DSP)	§8c (1)
8	Fehlende, unvollständige Selbsterklärung zur IT-Sicherheit von UBI	§8f (1)
Registrierung
9	Fehlende Registrierung als KRITIS, fehlende Kontaktstelle, keine Erreichbarkeit	§8b (3)
10	Fehlende Registrierung als UBI	§8f (5)
Informationen
11	Hersteller-Informationen für Untersuchungen nicht herausgeben	§7a (2)
12	Fehlende Auskünfte von Anbietern Digitaler Dienste	§8c (4)
13	Dem BSI Zutritt, Informationen oder Unterstützung bei der Überprüfung von Maßnahmen oder KRITIS-Registrierung verweigern	§8a (4) §8b (3a)
Zertifizierungen
14	Als Konformitätsbewertungsstelle ohne Genehmigung tätig werden	§9a (2)
15	Sicherheitskennzeichen ohne Freigabe verwenden	§9c (4)
16	Sicherheitsangaben zertifizierter Produkte nicht öffentlich machen	Art. 55 (EU) 2019/881
17	Sicherheitslücken zertifizierter Produkte nicht öffentlich machen	Art. 56 (EU) 2019/881

Bußgelder

§14 (5) BSIG-E legt teils hohe Bußgelder für die Ordnungswidrigkeiten fest: Geldbuße bis 2 Mio. EUR, mit §30 Abs. 2 OWiG bis 20 Mio. EUR für juristische Personen. Die Bußgelder haben sich seit 2021 mit dem IT-Sicherheitsgesetz 2.0 bei Verstößen deutlich erhöht.

Bußgelder im IT-Sicherheitgesetz 2.0, ohne Gewähr, Stand Juni 2021
Verstoß	Referenz
Bis 2 Mio. EUR
Anordnungen zur Wiederherstellung oder Gefahrenabwehr zuwiderhandeln	3
Bis 1 Mio. EUR
KRITIS-Maßnahmen nicht umsetzen oder nachweisen	1 2 6
Bis 500 Tsd.
Fehlende Mitwirkung bei Störungsbeseitigung	4
Fehlende Auskünfte von DSPs	12
Fehlende Registrierung als KRITIS oder UBI	9 10
Meldungen nicht absetzen bei KRITIS, DSP und UBI	5
DSP Maßnahmen nicht umsetzen	7
Selbsterklärung von UBI nicht vorlegen	8
Konformitätsbewertung ohne Genehmigung durchführen	14
Sicherheitskennzeichen ohne Genehmigung verwenden	15
Sicherheitsangaben oder Lücken zertifizierter Produkte nicht veröffentlichen	16 17
Bis 100 Tsd.
Herstellerinformationen nicht herausgeben	11
Zugang oder Unterlagen zu KRITIS-Maßnahmen/Registrierung verweigern	13
Fehlende Erreichbarkeit als KRITIS	9
Bis 20 Mio. als juristische Person/Organ (§30 Abs. 2 OWiG)
Anordnungen zur Wiederherstellung oder Gefahrenabwehr zuwiderhandeln	3
Bis 10 Mio. als juristische Person/Organ (§30 Abs. 2 OWiG)
KRITIS-Maßnahmen nicht umsetzen oder nachweisen	1 2 6

Sanktionen in NIS2 (ab 2024)

Situation ab 2024

Das Gesetz zur Umsetzung von NIS2 und Stärkung der Cybersicherheit, die NIS2-Umsetzung, tritt ab 2024 in Kraft. Es überführt EU-weite Mindeststandards für Cybersecurity in deutsche Regulierung und erweitert Bußgelder und Tatbestände (Vergehen) deutlich.

Das NIS2-Umsetzungsgesetz definiert keine Übergangsfristen für die Umsetzung der Security-Maßnahmen und Pflichten. Die Sanktionen und Bußgelder können ab Inkrafftreten der NIS2-Umsetzung im Oktober 2024 verhängt werden, z.B. Verstöße bei Vorfällen, Registrierung.

Dieser Abschnitt baut auf dem letzten Diskussionspapier NIS2UmsuCG von Mai 2024 auf.

Sanktionen und Bußgelder

Die Struktur der Aufzählung der Tatbestände wurde im Stand von Mai 2024 stark angepasst.

Das NIS2-Umsetzungsgesetz definiert Bußgeldvorschriften in §61. Die bisherigen KRITIS-Bußgelder werden dabei um einige neue Tatbestände erweitert und bestehende Bußgelder teils deutlich erhöht.

Geschäftsleitung

Geschäftsleitungen von Einrichtungen müssen die Risikomanagement-Maßnahmen für Cybersecurity billigen und die Umsetzung in der Einrichtung überwachen. §38 (1) Werden diese Pflichten verletzt, ergibt sich aus allgemeinen Grundsätzen (bspw. §93 AktG) eine Binnenhaftung der Geschäftsleitung gegenüber der Einrichtung B. Besonderer Teil, zu §38 (2). Die Einrichtung kann Ersatzansprüche stellen, ein Verzicht oder ein in einem groben Missverhältnis zu einer bestehenden Ungewissheit über das Rechtsverhältnis stehender Vergleich ist unwirksam. §38 (2)

Geschäftsleiter müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Bewertung von Risiken und Maßnahmen sicherzustellen. §38 (3)

Leiter von Einrichtungen der Bundesverwaltung gelten nicht als Geschäftsleitung.

Tatbestände

Die Bußgeldtatbestände nach §61 (5)-(7) gelten größtenteils allgemein für alle Betreiber-Gruppen – an einzelnen Stellen wird in der Bußgeldbewährung zwischen den unterschiedlichen Betreiber-Gruppen unterschieden.

eigene Zusammenstellung aus NIS2-Referentenentwurf Stand Mai 2024
Höhe	Verstöße
10 Mio. EUR	Betreiber kritischer Anlagen: Nachweise über Erfüllung der Anforderungen werden nicht richtig oder nicht vollständig erbracht. §39 (1) Satz 1 i.V.m. VO nach §58 (4) Satz 1 Betreiber kritischer Anlagen: Nachweise über Erfüllung der Anforderungen werden nicht erbracht. §39 (1) Satz 1 i.V.m. VO nach §58 (4) Satz 1 besonders wichtige Einrichtungen: Vorkehrungen zur Cybersicherheit nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig getroffen. §30 (1) i.V.m. § VO nach 58 (4) Satz 1 wenn Umsatz größer 500 Mio. Euro: Bußgeldhöhe 2% vom weltweiten Umsatz besonders wichtige Einrichtungen: Meldungen werden nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt. §32 (1) wenn Umsatz größer 500 Mio. Euro: Bußgeldhöhe 2% vom weltweiten Umsatz
7 Mio. EUR	wichtige Einrichtungen: Vorkehrungen zur Cybersicherheit nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig getroffen. §30 (1) i.V.m. § VO nach 58 (4) Satz 1 wenn Umsatz größer 500 Mio. Euro: Bußgeldhöhe 1,4% vom weltweiten Umsatz wichtige Einrichtungen: Meldungen werden nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt. §32 (1) wenn Umsatz größer 500 Mio. Euro: Bußgeldhöhe 1,4% vom weltweiten Umsatz
2 Mio. EUR	Hersteller von IT-Systemen: durch das BSI angewiesene Mitwirkung an der Wiederherstellung der Sicherheit oder Funktionsfähigkeit eines IT-Systems wird verweigert. §11 (6) TK-Anbieter: durch das BSI angewiesene Maßnahmen zur Abwehr konkreter erheblicher Gefahren werden nicht getroffen. §16 (1) 1 auch i.V.m. §16 (3) TMD-Anbieter: durch das BSI angewiesene Maßnahmen zur Abwehr konkreter erheblicher Gefahren werden nicht getroffen. §17 Betreiber kritischer Anlagen: ein geeigneter Nachweises über die erfolgte Mängelbeseitigung wird nicht vorgelegt. §39 (1) Satz 6 Hinweis: Anwendung von §30 (2) 3 OWiG
500.000 EUR	Hersteller von IT-Systemen: durch das BSI angewiesene Mitwirkung an der Beseitigung oder Vermeidung von erheblichen Sicherheitsvorfällen bei betroffenen IKT-Produkten wird verweigert. §18 besonders wichtige und wichtige Einrichtungen: durch das BSI angewiesene erforderliche Maßnahmen zur Verhütung oder Behebung eines Sicherheitsvorfalls oder Mangels oder die Berichterstattung darüber werden verweigert. §65 (6) Satz 1-2 oder i.V.m. §66 besonders wichtige und wichtige Einrichtungen: ein durch das BSI geforderter Nachweis wird nicht oder nicht rechtzeitig erbracht. §65 (3) Satz 1 oder i.V.m. §66 Angabe oder Änderung bei Registrierung wird nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt. §33 (1) oder (2) i.V.m. VO nach §58 (4) Satz 1, oder §34 (1) Das BSI wird über Änderungen an Registrierungsdaten nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterichtet. §34 (2) Betreiber kritischer Anlagen: Nachweise über Erfüllung der Anforderungen werden nicht rechtzeitig erbracht. §39 (1) Satz 1 i.V.m. VO nach §58 (4) Satz 1 Ein Nachweis ggü. dem BSI über eine vollständige Datenbank wird nicht erbracht. §51 (1) Auf Anträge wird nicht oder nicht rechtzeitig geantwortet oder der Zugang nicht gewährt. §52 Satz 1 Erforderliche Angaben werden nicht öffentlich gemacht. §51 (3)(4), §52 (2) Satz 1 Vorgabe, Inhaber einer Sicherheits- oder Personenzertifizierung oder einer Zertifizierung als IT-Sicherheitsdienstleister zu sein, ohne dass diese besteht. §54 (2) Vorgabe, Aussteller einer Konformitätserklärung zu sein, obwohl diese nicht besteht, widerrufen oder für ungültig erklärt wurde. §55 (1) Tätigwerden als Konformitätsbewertungsstelle ohne Erlaubnis. §55 (3) Satz 2 Vorsätzlicher oder fahrlässiger Verstoß gegen die Verordnung (EU) 2019/881 über die ENISA und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik: eine Angabe wird nicht, nicht richtig, nicht vollständig oder nicht binnen eines Monats nach Ausstellung zugänglich gemacht oder eine Information wird nicht, nicht richtig, nicht vollständig oder nicht unverzüglich nach Feststellung einer Schwachstelle oder Unregelmäßigkeit gegeben oder Vorgabe, Inhaber eines europäischen Cybersicherheitszertifikats oder Aussteller einer EU-Konformitätserklärung zu sein, obwohl diese nicht besteht, widerrufen oder für ungültig erklärt wurde.
100.000 EUR	Zuwiderhandlung durch Hersteller gegen Anordnung zur Auskunft zu Produkten und Sytemen, insb. auch technischen Details. §14 (2) Satz 1 Zuwiderhandlung gegen Anordnung zur Unterrichtung von Kunden und Einsetzung eines Überwachungsbeauftragen. §64 (8) oder i.V.m. §66 Zuwiderhandlung gegen Anordnung nach §40 (4) Satz 1 Ggf. ein Fehler im Entwurf – vermutlich ist §40 (5) gemeint: "durch das BSI zur Bewältigung einer Störung verlangte notwendige Informationen inkl. personenbezogenen Daten nicht herausgegeben". besonders wichtige und wichtige Einrichtungen: Zuwiderhandlung gegen Anordnung zur Umsetzung von im Rahmen einer Sicherheitsprüfung formulierten Empfehlungen. §65 (7) Satz 2 oder i.V.m. §66 Kontaktstelle ist nicht erreichbar. §33 (2) Satz 2 Tätigwerden als Konformitätsbewertungsstelle ohne Erlaubnis. §56 (2) Satz 2 Betreiber kritischer Anlagen: Fahrlässig einen Nachweis nicht richtig oder nicht vollständig erbringen. §39 (1) Satz 1

Weitere Informationen

Formulare

Fragen und Antworten zur Registrierung (§8b Absatz 3a BSIG), Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.

Quellen

Diskussionspapier des Bundesministeriums des Innern und für Heimat - NIS2UmsuCG, dritter Entwurf, AG KRITIS, 27.09.2023
Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
Gesetz über Ordnungswidrigkeiten (OWiG), in der Fassung der Bekanntmachung vom 19. Februar 1987 (BGBl. I S. 602), das zuletzt durch Artikel 9a des Gesetzes vom 30. März 2021 (BGBl. I S. 448) geändert worden ist
Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme vom 25.01.2021 (IT-Sicherheitsgesetz 2.0), Gesetzentwurf der Bundesregierung, Drucksache 19/26106