Das NIS 2 Bußgeldverfahren Schritt für Schritt
Artikel 34 NIS 2 setzt den Rahmen. Das Ordnungswidrigkeitengesetz setzt das Verfahren. §65 BSIG verbindet beides.
Worum es in diesem Artikel geht
NIS 2 verpflichtet die Mitgliedstaaten, Bußgelder für Einrichtungen vorzusehen, die ihren Pflichten zum Risikomanagement oder zur Meldung nicht nachkommen. Artikel 34 NIS 2 legt die Höchstbeträge und die Bemessungskriterien fest. Jeder Mitgliedstaat setzt diesen Rahmen in seinem eigenen Ordnungswidrigkeitenrecht um.
In Deutschland setzt das BSI Gesetz den Bußgeldkatalog in §65 BSIG um. Das Verfahren selbst steht im Gesetz über Ordnungswidrigkeiten (OWiG): Anhörung nach §55 OWiG, Bußgeldbescheid nach §41 OWiG, Einspruch binnen zwei Wochen nach §67 OWiG. Die Bemessungsregeln des §17 OWiG gelten neben den NIS 2 spezifischen Faktoren aus Artikel 34 Absatz 7.
Diese Seite beschreibt, wie das Verfahren von außen aussieht. Sie sagt nicht, wie auf ein konkretes Schreiben zu reagieren ist. Eine konkrete Verteidigung in einem §65 BSIG Verfahren erfordert straf und ordnungswidrigkeitenrechtliche Beratung.
EU Ebene: Artikel 34 NIS 2
Die Mitgliedstaaten stellen sicher, dass die nach diesem Artikel gegen wesentliche und wichtige Einrichtungen verhängten Geldbußen im Hinblick auf Verstöße gegen diese Richtlinie im Einzelfall wirksam, verhältnismäßig und abschreckend sind.
Artikel 34 Absatz 4 setzt den Höchstbetrag für wesentliche Einrichtungen auf 10 Millionen Euro oder 2 Prozent des weltweit erzielten Gesamtjahresumsatzes des vorangegangenen Geschäftsjahres. Artikel 34 Absatz 5 setzt 7 Millionen Euro oder 1,4 Prozent für wichtige Einrichtungen, je nachdem welcher Betrag höher ist.
Nationale Ebene: §65 BSIG
Eine Ordnungswidrigkeit kann bei einer besonders wichtigen Einrichtung mit einer Geldbuße bis zu zehn Millionen Euro oder bis zu zwei Prozent des im vorangegangenen Geschäftsjahr weltweit erzielten Gesamtumsatzes des Unternehmens, dem die Einrichtung angehört, geahndet werden, je nachdem, welcher Betrag höher ist. Bei einer wichtigen Einrichtung beträgt die Geldbuße bis zu sieben Millionen Euro oder bis zu 1,4 Prozent des Gesamtumsatzes.
§65 BSIG bildet den Artikel 34 NIS 2 Rahmen nach. Der Katalog in §65 Absatz 1 BSIG erfasst unter anderem Verstöße gegen die Risikomanagementmaßnahmen nach §30 BSIG, versäumte Meldungen nach §32 BSIG und versäumte Registrierungen nach §33 BSIG.
Verfahrensrecht: OWiG
Vor Erlass eines Bußgeldbescheids ist dem Betroffenen Gelegenheit zu geben, sich zu der Beschuldigung zu äußern. (§55 OWiG)
Das OWiG regelt das Verfahren. §55 OWiG verlangt eine Anhörung vor dem Bußgeldbescheid. §41 OWiG bestimmt die Form des Bußgeldbescheids. §67 OWiG gibt der Einrichtung zwei Wochen ab Zustellung Zeit für den Einspruch. §17 OWiG regelt die Bemessung, angewendet zusammen mit den Kriterien aus Artikel 34 Absatz 7 NIS 2.
Einleitung
Ein Verfahren nach §65 BSIG beginnt typischerweise, nachdem die Aufsichtsbehörde einen Anlass festgestellt hat: Mängel bei den Maßnahmen nach §30 BSIG aus einer Prüfung oder Selbstmeldung, eine versäumte oder verspätete Meldung nach §32 BSIG (24 Stunden Frühwarnung, 72 Stunden Folgemeldung, ein Monat Abschlussbericht) oder eine versäumte Registrierung nach §33 BSIG. Die Behörde leitet das Ordnungswidrigkeitenverfahren ein und benachrichtigt die Einrichtung.
Anhörungsschreiben
Bevor ein Bußgeldbescheid ergehen darf, versendet die Behörde ein Anhörungsschreiben. Es benennt den Vorwurf, die Rechtsgrundlage nach §65 BSIG und eine Frist zur Stellungnahme. Das Anhörungsschreiben ist Verfahrensschritt, kein Urteil. Schweigen stoppt das Verfahren nicht. §65 BSIG sieht vor, dass die Sache nach Aktenlage entschieden werden kann, wenn keine Stellungnahme eingeht.
Bußgeldbescheid
Sieht die Behörde den Verstoß als erwiesen an, erlässt sie einen Bußgeldbescheid nach §41 OWiG. Die Höhe wird nach den Kriterien des Artikels 34 Absatz 7 NIS 2 bemessen (Schwere, Dauer, Vorsatz oder Fahrlässigkeit, Vorverstöße, wirtschaftlicher Vorteil, Mitwirkung, frühere Maßnahmen) zusammen mit §17 OWiG. Der Bescheid enthält die Rechtsbehelfsbelehrung nach §67 OWiG: zwei Wochen für den Einspruch.
Wirksam, verhältnismäßig, abschreckend
Artikel 34 Absatz 1 NIS 2 bindet die Behörde an die Verhältnismäßigkeit. Der Höchstbetrag von 10 Millionen Euro oder 2 Prozent ist eine Obergrenze, kein Tarif. §17 OWiG verlangt eine Abwägung zwischen Bedeutung des Verstoßes und wirtschaftlichen Verhältnissen. In der Praxis bewegt sich die Bemessung in beide Richtungen: nach oben bei Schwere und Wiederholung, nach unten bei nachweisbarer Mitwirkung und früheren Maßnahmen.
Mitwirkung zählt in die Bemessung
Artikel 34 Absatz 7 Buchstabe f NIS 2 nennt den Grad der Mitwirkung mit den zuständigen Behörden als mildernden Faktor. Eine freiwillige Offenlegung des Verstoßes, Nachweise zu Abhilfemaßnahmen und vollständiger Aktenzugriff zählen zur Bemessung. Die früheren Maßnahmen nach §30 BSIG (Artikel 34 Absatz 7 Buchstabe d NIS 2) werden an derselben Grundlinie gemessen.
Bundesamt für Sicherheit in der Informationstechnik
Das BSI ist nach §1 BSIG für die meisten NIS 2 Sektoren in Deutschland die zuständige Aufsicht. Es eröffnet und führt das Bußgeldverfahren nach §65 BSIG. Betreiber Kritischer Anlagen (KRITIS) liegen bei derselben Behörde. Bußgeldbescheide und Einspruchskorrespondenz laufen über das BSI.
ENISA und Kooperationsgruppe
ENISA verhängt keine Bußgelder. Sie veröffentlicht Leitlinien und koordiniert die NIS Kooperationsgruppe nach Artikel 14 NIS 2. ENISA Veröffentlichungen (Vorfalltaxonomie, sektorale Leitlinien) prägen, was als Stand der Technik nach Artikel 21 Absatz 2 NIS 2 gilt, und fließen damit in die Bemessung nach Artikel 34 Absatz 7 ein.
Sektorale Aufsichten
Für Finanzen, Energie, Verkehr und Gesundheit behalten Sektoraufsichten nach §61 BSIG und sektoralem Recht eine parallele Rolle. Der Höchstbetrag aus §65 BSIG gilt unverändert. Wo DORA eine Finanzeinrichtung erfasst, geht das DORA Sanktionsregime den NIS 2 Maßnahmen vor, die Registrierungspflicht nach Artikel 27 NIS 2 bleibt davon unberührt.
Die 2 Prozent Grenze bezieht sich auf den Umsatz der deutschen Einheit.
Artikel 34 Absatz 4 NIS 2 und §65 BSIG berechnen den Prozentsatz auf den weltweit erzielten Gesamtjahresumsatz des Unternehmens, dem die Einrichtung angehört, im vorangegangenen Geschäftsjahr. Bei Tochterunternehmen in einem größeren Konzern kann das den Höchstbetrag deutlich über den lokalen Umsatz heben.
Wer das Anhörungsschreiben ignoriert, lässt die Sache versanden.
§55 OWiG verlangt nur, dass der Einrichtung Gelegenheit zur Äußerung gegeben wird. Eine Antwort ist nicht Pflicht. §65 BSIG sieht vor, dass die Sache nach Aktenlage in einen Bußgeldbescheid münden kann, wenn keine Stellungnahme eingeht. Das Verfahrensrecht bremst bei Schweigen nicht.
Vollständige Offenlegung aller Details mindert das Bußgeld.
Artikel 34 Absatz 7 Buchstabe f NIS 2 honoriert Mitwirkung gegenüber der Behörde. Er verlangt nicht, dass die Einrichtung den Fall der Behörde selbst aufbaut. Die Grenze zwischen Mitwirkung und Selbstbelastung ist genau die Stelle, an der anwaltliche Beratung gehört. Eingeständnisse ohne Beratung lassen sich später nur schwer zurücknehmen.
Die Zwei Wochen Frist für den Einspruch nach §67 OWiG läuft ab Zustellung des Bußgeldbescheids. Sie ist gesetzlich, nicht verhandelbar. Wird sie versäumt, wird der Bescheid nach §66 OWiG rechtskräftig, danach bleiben nur enge Wiedereinsetzungsmöglichkeiten. Das Anhörungsschreiben nach §55 OWiG hat selbst keine gesetzliche Frist, aber die Behörde setzt im Schreiben eine.
Eine konkrete Verteidigung in einem §65 BSIG Verfahren erfordert straf und ordnungswidrigkeitenrechtliche Beratung. Dieser Artikel beschreibt das Verfahren und die rechtlichen Anker. Er sagt nicht, wie auf ein konkretes Anhörungsschreiben oder einen konkreten Bußgeldbescheid zu antworten ist. Alles, was die Substanz des Risikomanagements nach §30 BSIG, die Meldehistorie nach §32 BSIG oder frühere Maßnahmen nach Artikel 21 NIS 2 berührt, gehört vor dem Versand mit der Beratung besprochen.
Ein Verfahren nach §65 BSIG wird nach Aktenlage entschieden. Die Bemessung nach Artikel 34 Absatz 7 NIS 2 honoriert frühere Maßnahmen, Mitwirkung und eine dokumentierte Historie. Diese Historie entsteht vor jedem Schreiben: wer welche Maßnahme abgezeichnet hat, wann ein Vorfall gemeldet wurde, welche Nachweise hinter den Maßnahmen nach §30 BSIG standen.
Die Plattform protokolliert diese Historie laufend. Freigaben, Zuweisungsketten, Vorfallmeldungen und Richtlinienabnahmen tragen Zeitstempel und Identitäten. Nichts davon entscheidet ein Verfahren. Alles davon ist die Art von Akte, auf die §17 OWiG und Artikel 34 Absatz 7 NIS 2 bei der Bemessung blicken.
- Richtlinie (EU) 2022/2555 (NIS 2), Artikel 34: Allgemeine Bedingungen für die Verhängung von Geldbußen gegen wesentliche und wichtige Einrichtungen.
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), §65: Bußgeldvorschriften.
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), §30 (Risikomanagement), §32 (Meldepflichten), §33 (Registrierung).
- Gesetz über Ordnungswidrigkeiten (OWiG), §17 (Bemessung), §41 (Bußgeldbescheid), §55 (Anhörung), §66 (Rechtskraft), §67 (Einspruch).
- ENISA, Veröffentlichungen der NIS 2 Kooperationsgruppe und technische Umsetzungsleitlinien.