Bußgelder in KRITIS

Laws and sanctions picture

Für KRITIS-Betreiber sieht die KRITIS-Regulierung bei Verstößen gegen Pflichten Bußgelder vor, wie etwa bei mangelnder Umsetzung von Sicherheits­maßnahmen oder Meldepflichten an Behörden. Die Sanktionen sind im BSIG definiert und früher eher begrenzter Natur — was sich mit dem IT-Sicherheitsgesetz 2.0 und vor allem der NIS2-Umsetzung geändert hat.

  1. Sanktionen im BSIG (bis 2024)
  2. Sanktionen in NIS2 (ab 2024)
  3. NIS2-Tatbestände

Bestimmte Verstöße gegen KRITIS-Regularien sind durch das BSIG als Ordnungs­widrigkeit definiert und je nach Verstoss und Unternehmen mit Sanktionen belegt. Kommen Betreiber ihren Pflichten nicht nach, kann dies finanzielle Konsequenzen fürs Unternehmen und die Geschäfts­leitung haben.

Mit der NIS2-Umsetzung ändern sich Sanktionen und Bußgelder ab 2024 deutlich, diese sind im Anschluss an die bisherigen Regeln vom BSIG aufgeführt.

Sanktionen im BSIG (bis 2024)

Ordnungswidrigkeiten

In §14 (1) bis (4) BSIG-E sind vorsätzliche und fahrlässige Verstöße von KRITIS-Betreibern und Anbietern Digitaler Dienste als Ordnungswidrigkeiten definiert. Seit dem Jahr 2021 wurden mit dem IT-Sicherheitsgesetz 2.0 mehr Tatbestände als Verstöße definiert.

Ordnungswidrigkeiten im IT-Sicherheitgesetz 2.0, ohne Gewähr
Stand Juni 2021
Nr. Verstoß BSIG-E
Nachweise
1 KRITIS-Nachweise nicht richtig oder nicht vollständig erbringen §8a (3)
2 KRITIS-Nachweise nicht oder nicht rechtzeitig erbringen §8a (3)
Störungen
3 Systeme auf Verlangen des BSI nicht wiederherstellen oder keine Maßnahmen zur Gefahrenabwehr treffen §5b (6)
§7c (1)
§8a (3)
4 Fehlende Mitwirkung bei Störungsbeseitigung §8b (6)
5 Fehlende, unvollständige oder verspätete Meldung von Störungen bei KRITIS, Digitalen Diensten oder UBI §8b (4)
§8c (3) §8f (7)
Maßnahmen
6 Fehlende Umsetzung von KRITIS Cyber Security Maßnahmen §8a (1)
7 Fehlende Maßnahmen von Anbietern digitaler Dienste (DSP) §8c (1)
8 Fehlende, unvollständige Selbsterklärung zur IT-Sicherheit von UBI §8f (1)
Registrierung
9 Fehlende Registrierung als KRITIS, fehlende Kontaktstelle, keine Erreichbarkeit §8b (3)
10 Fehlende Registrierung als UBI §8f (5)
Informationen
11 Hersteller-Informationen für Untersuchungen nicht herausgeben §7a (2)
12 Fehlende Auskünfte von Anbietern Digitaler Dienste §8c (4)
13 Dem BSI Zutritt, Informationen oder Unterstützung bei der Überprüfung von Maßnahmen oder KRITIS-Registrierung verweigern §8a (4) §8b (3a)
Zertifizierungen
14 Als Konformitäts­bewertungsstelle ohne Genehmigung tätig werden §9a (2)
15 Sicherheitskennzeichen ohne Freigabe verwenden §9c (4)
16 Sicherheitsangaben zertifizierter Produkte nicht öffentlich machen Art. 55 (EU) 2019/881
17 Sicherheitslücken zertifizierter Produkte nicht öffentlich machen Art. 56 (EU) 2019/881

Bußgelder

§14 (5) BSIG-E legt teils hohe Bußgelder für die Ordnungswidrigkeiten fest: Geldbuße bis 2 Mio. EUR, mit §30 Abs. 2 OWiG bis 20 Mio. EUR für juristische Personen. Die Bußgelder haben sich seit 2021 mit dem IT-Sicherheitsgesetz 2.0 bei Verstößen deutlich erhöht.

Bußgelder im IT-Sicherheitgesetz 2.0, ohne Gewähr, Stand Juni 2021
Verstoß Referenz
Bis 2 Mio. EUR
Anordnungen zur Wiederherstellung oder Gefahrenabwehr zuwiderhandeln 3
Bis 1 Mio. EUR
KRITIS-Maßnahmen nicht umsetzen oder nachweisen 1 2 6
Bis 500 Tsd.
Fehlende Mitwirkung bei Störungsbeseitigung 4
Fehlende Auskünfte von DSPs 12
Fehlende Registrierung als KRITIS oder UBI 9 10
Meldungen nicht absetzen bei KRITIS, DSP und UBI 5
DSP Maßnahmen nicht umsetzen 7
Selbsterklärung von UBI nicht vorlegen 8
Konformitätsbewertung ohne Genehmigung durchführen 14
Sicherheitskennzeichen ohne Genehmigung verwenden 15
Sicherheitsangaben oder Lücken zertifizierter Produkte nicht veröffentlichen 16 17
Bis 100 Tsd.
Herstellerinformationen nicht herausgeben 11
Zugang oder Unterlagen zu KRITIS-Maßnahmen/Registrierung verweigern 13
Fehlende Erreichbarkeit als KRITIS 9
Bis 20 Mio. als juristische Person/Organ (§30 Abs. 2 OWiG)
Anordnungen zur Wiederherstellung oder Gefahrenabwehr zuwiderhandeln 3
Bis 10 Mio. als juristische Person/Organ (§30 Abs. 2 OWiG)
KRITIS-Maßnahmen nicht umsetzen oder nachweisen 1 2 6

up

Sanktionen in NIS2 (ab 2024)

Situation ab 2024

Das Gesetz zur Umsetzung von NIS2 und Stärkung der Cyber­sicherheit, die NIS2-Umsetzung, tritt ab 2024 in Kraft. Es überführt EU-weite Mindest­standards für Cybersecurity in deutsche Regulierung und erweitert Bußgelder und Tatbestände (Vergehen) deutlich.

Das NIS2-Umsetzungs­gesetz definiert keine Übergangsfristen für die Umsetzung der Security-Maßnahmen und Pflichten. Die Sanktionen und Bußgelder können ab Inkrafftreten der NIS2-Umsetzung im Oktober 2024 verhängt werden, z.B. Verstöße bei Vorfällen, Registrierung.

Sanktionen und Bußgelder

Das NIS2-Umsetzungsgesetz definiert Bußgeldvorschriften in §65. Die KRITIS-Bußgelder werden dabei um neue Tatbestände erweitert und bestehende Bußgelder teils deutlich erhöht.

Geschäftsleitung

Geschäftsleitungen von Einrichtungen müssen die Risikomanagement-Maßnahmen für Cyber­security umsetzen und die Umsetzung in der Einrichtung überwachen. §38 (1) Werden diese Pflichten verletzt, ergibt sich aus allgemeinen Grundsätzen (bspw. §93 AktG) eine Binnenhaftung der Geschäftsleitung gegenüber der Einrichtung B. Besonderer Teil, zu §38 (2).

Die Einrichtung kann Ersatzansprüche stellen, ein Verzicht oder ein in einem groben Missverhältnis zu einer bestehenden Ungewissheit über das Rechtsverhältnis stehender Vergleich ist unwirksam. §38 (2)

Geschäftsleiter müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Bewertung von Risiken und Maßnahmen sicherzustellen. §38 (3) Leiter von Einrichtungen der Bundesverwaltung gelten nicht als Geschäftsleitung.

Tatbestände

Die Bußgeldtatbestände nach §65 (5)-(7) gelten meist für alle Einrichtungs-Gruppen – einzelne Stellen unterscheiden in der Bußgeldbewährung zwischen den Gruppen.

eigene Zusammenstellung aus NIS2-Referentenentwurf Stand Juli 2024
Höhe Verstöße
10 Mio. EUR
wenn Umsatz größer 500 Mio. Euro: Bußgeldhöhe 2% vom weltweiten Umsatz
  • Besonders wichtige Einrichtungen: Anordnung des BSI zur Information von Kunden oder Öffentlichkeit über Sicherheitsvorfall wird zuwidergehandelt. §35 (1) Satz 1 oder §36 (2) Satz
  • Besonders wichtige Einrichtungen: Vorkehrungen zur Cybersicherheit nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig getroffen. §30 (1) Satz 1
  • Besonders wichtige Einrichtungen:Einhaltung der Vorkehrungen nicht, nicht richtig oder nicht vollständig dokumentiert. §30 (1) Satz 3
  • Besonders wichtige Einrichtungen: Meldungen werden nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt. §32 (1) Satz 1
  • Besonders wichtige Einrichtungen: Abschlussmeldungen werden nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig vorgelegt. §32 (2) Satz 2
  • Besonders wichtige Einrichtungen: Mitteilungen (an Kunden oder Öffentlichkeit) werden nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig gemacht. §35 (2) Satz 1,2
7 Mio. EUR
wenn Umsatz größer 500 Mio. Euro: Bußgeldhöhe 1,4% vom weltweiten Umsatz
  • Wichtige Einrichtungen: Anordnung des BSI zur Information von Kunden oder Öffentlichkeit über Sicherheitsvorfall wird zuwidergehandelt. §35 (1) Satz 1 oder §36 (2) Satz
  • Wichtige Einrichtungen: Vorkehrungen zur Cybersicherheit nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig getroffen. §30 (1) Satz 1
  • Wichtige Einrichtungen:Einhaltung der Vorkehrungen nicht, nicht richtig oder nicht vollständig dokumentiert. §30 (1) Satz 3
  • Wichtige Einrichtungen: Meldungen werden nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt. §32 (1) Satz 1
  • Wichtige Einrichtungen: Abschlussmeldungen werden nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig vorgelegt. §32 (2) Satz 2
  • Wichtige Einrichtungen: Mitteilungen (an Kunden oder Öffentlichkeit) werden nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig gemacht. §35 (2) Satz 1,2
2 Mio. EUR
  • Hersteller von IT-Systemen: durch BSI angewiesene Mitwirkung an Wieder­herstellung der Sicherheit oder Funktionsfähigkeit eines IT-Systems wird verweigert. §11 (6)
  • TK-Anbieter: durch BSI angewiesene Maßnahmen zur Abwehr konkreter erheblicher Gefahren werden nicht getroffen. §16 (1) Satz 1 auch i.V.m. §16 (3)
  • Telemedien: durch BSI angewiesene Maßnahmen zur Abwehr konkreter erheblicher Gefahren werden nicht getroffen. §17 Satz 1
  • Betreiber kritischer Anlagen: geeigneter Nachweis über die erfolgte Mängelbeseitigung wird nicht vorgelegt. §39 (1) Satz 5

Hinweis: Anwendung von §30 (2) 3 OWiG
1 Mio. EUR
  • Betreiber kritischer Anlagen: Nachweis über Erfüllung der Anforderungen wird nicht richtig oder nicht vollständig erbracht. §39 (1) Satz 1 i.V.m. VO §56 (4) Satz 1
  • Betreiber kritischer Anlagen: Nachweis über Erfüllung der Anforderungen wird nicht oder nicht rechtzeitig erbracht. §39 (1) Satz 1 i.V.m. VO §56 (4) Satz 1
500.000 EUR
  • Hersteller von IT-Systemen: durch BSI angewiesene Mitwirkung an der Beseitigung oder Vermeidung von erheblichen Sicherheitsvorfällen bei IKT-Produkten verweigert. §18
  • Betreiber kritischer Anlagen: Zuwiderhandlung gegen Anordnung des BSI, zur Bewältigung einer Störung notwendige Informationen inkl. personenbezogenen Daten herauszugegeben. §40 (5) Satz 1
  • Besonders wichtige und wichtige Einrichtungen: Zuwiderhandlung gegen Anordnung des BSI zur Vorlage von Nachweisen über die Erfüllung von Verpflichtungen. §61 (3) Satz 1, auch i.V.m. §62
  • Besonders wichtige und wichtige Einrichtungen: Anordnung des BSI zur Umsetzung erforderlicher Maßnahmen nach § 30 (1) Satz 1 inkl. Mängelbeseitigungsplan und Nachweiserbringung wird zuwidergehandelt, oder Frist wird nicht eingehalten. §61 (6) Satz 1 und 3, auch i.V.m. §62
  • Besonders wichtige und wichtige Einrichtungen: Zuwiderhandlung gegen Anordnung des BSI zur Umsetzung von im Rahmen einer Sicherheitsprüfung formulierten Empfehlungen, oder nicht fristgerechte Umsetzung. §61 (7) Satz 1 und 3, auch i.V.m. §62
  • Besonders wichtige und wichtige Einrichtungen: Anordnung des BSI zur Unterrichtung oder Öffentlichmachung von Informationen wird zuwidergehandelt. §61 (8), auch i.V.m. §62
  • Angabe oder Änderung bei Registrierung wird nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt. §33 (1) oder (2) Satz 1 i.V.m. VO nach §56 (4) Satz 1, oder §34 (1)
  • Das BSI wird über Änderungen an Registrierungsdaten nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterichtet. §34 (2)
  • TLDN-Registries und Domain-Name-Registry-Dienstleister: Vorgaben oder Verfahren zur Sicherstellung genauer und vollständiger Angaben in Datenbank werden nicht eingehalten oder nicht, nicht in der vorgeschrieben Weise oder nicht rechtzeitig zugänglich gemacht. §49 (3) Satz 1 oder §49 (3) Satz 2 oder (4)
  • TLDN-Registries und Domain-Name-Registry-Dienstleister: Zugang zu den Domain-Namen-Registrierungsdaten wird nicht oder nicht rechtzeitig gewährt. §50 (1) Satz 1
  • Nicht-konforme Verwendung eines Zertifikats, einer Erklärung oder eines Kennzeichens nach §52 (2) Satz 4, §53 (1) Satz 4, §54 (6) Satz 2 oder §55 (4) Satz 1
  • Tätig als akkreditierte Konformitätsbewertungsstelle ohne Erlaubnis. §53 (3) Satz 2 oder §54 (2) Satz 2
  • Vorsätzlicher oder fahrlässiger Verstoß gegen (EU) 2019/881 über ENISA und Zertifizierung: Angaben oder Information nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig.
100.000 EUR
  • Zuwiderhandlung durch Hersteller gegen Anordnung zur Auskunft zu Produkten und Sytemen, insb. auch technischen Details. §14 (2) Satz 1
  • Kontaktstelle ist nicht erreichbar. §33 (2) Satz 2
  • Besonders wichtige Einrichtungen: Betreten eines Raums nicht gestattet oder Aufzeichnung, Schriftstück oder Unterlage nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig vorgelegt oder Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt. §61 (5) Satz 3
  • Betreiber kritischer Anlagen: Fahrlässig einen Nachweis nicht richtig oder nicht vollständig erbringen. §39 (1) Satz 1

up

Weitere Informationen

Formulare

Quellen

  1. Diskussionspapier des Bundesministeriums des Innern und für Heimat - NIS2UmsuCG, dritter Entwurf, AG KRITIS, 27.09.2023
  2. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
  3. Gesetz über Ordnungswidrigkeiten (OWiG), in der Fassung der Bekanntmachung vom 19. Februar 1987 (BGBl. I S. 602), das zuletzt durch Artikel 9a des Gesetzes vom 30. März 2021 (BGBl. I S. 448) geändert worden ist
  4. Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme vom 25.01.2021 (IT-Sicherheitsgesetz 2.0), Gesetzentwurf der Bundesregierung, Drucksache 19/26106