Die KRITIS-Verordnung stellt hohe Anforderungen an Betreiber kritischer Infrastrukturen in Deutschland. Doch was passiert eigentlich, wenn Unternehmen die BSI-KRITIS-Verordnung nicht einhalten? Die Konsequenzen reichen von empfindlichen Bußgeldern bis hin zu weitreichenden geschäftlichen Einschränkungen.
Verstöße gegen KRITIS-Anforderungen werden vom Bundesamt für Sicherheit in der Informationstechnik (BSI) streng verfolgt. Die rechtlichen Folgen treffen dabei nicht nur das Unternehmen selbst, sondern können auch die Geschäftsführung persönlich betreffen. In diesem Artikel erfährst du, welche konkreten Sanktionen drohen und wie sich diese auf deinen Geschäftsbetrieb auswirken können.
Was sind die direkten Bußgelder bei Verstößen gegen die KRITIS-Verordnung?
Bei Verstößen gegen die KRITIS-Verordnung drohen Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes des Unternehmens – je nachdem, welcher Betrag höher ist. Diese Höchststrafen orientieren sich an den Sanktionsmöglichkeiten der DSGVO und zeigen die ernste Haltung des Gesetzgebers gegenüber IT-Sicherheitsverstößen in kritischen Infrastrukturen.
Die Höhe der Bußgelder richtet sich nach verschiedenen Faktoren. Dazu gehören die Schwere des Verstoßes, die Dauer der Nichteinhaltung und die Frage, ob bereits frühere Verstöße vorlagen. Besonders schwer wiegen Verstöße gegen die Meldepflicht bei IT-Sicherheitsvorfällen oder das Fehlen angemessener technischer und organisatorischer Maßnahmen.
Das BSI kann auch bei weniger schwerwiegenden Verstößen Verwarnungsgelder verhängen. Diese bewegen sich typischerweise im vier- bis fünfstelligen Bereich und sollen präventiv wirken. Unternehmen sollten beachten, dass bereits die Nichtvorlage erforderlicher Nachweise oder die verspätete Meldung von Sicherheitsvorfällen zu Sanktionen führen kann.
Welche rechtlichen Konsequenzen drohen Geschäftsführern persönlich?
Geschäftsführer können bei KRITIS-Verstößen persönlich haftbar gemacht werden, wenn sie ihre Aufsichts- und Organisationspflichten verletzt haben. Dies umfasst sowohl zivilrechtliche Schadensersatzansprüche als auch strafrechtliche Verfolgung bei vorsätzlichen oder grob fahrlässigen Verstößen gegen IT-Sicherheitsbestimmungen.
Die persönliche Haftung tritt besonders dann ein, wenn Geschäftsführer notwendige Sicherheitsmaßnahmen nicht implementiert oder Sicherheitsvorfälle nicht ordnungsgemäß gemeldet haben. Dabei spielt es keine Rolle, ob der Schaden durch externe Angriffe oder interne Schwachstellen entstanden ist – entscheidend ist die Verletzung der Sorgfaltspflicht.
Zusätzlich zu finanziellen Konsequenzen können Geschäftsführer mit einem Tätigkeitsverbot belegt werden. Dies bedeutet, dass sie vorübergehend oder dauerhaft von der Führung von Unternehmen ausgeschlossen werden können, die unter die KRITIS-Verordnung fallen. Solche Maßnahmen werden besonders bei wiederholten oder besonders schwerwiegenden Verstößen verhängt.
Wie wirken sich KRITIS-Verstöße auf Geschäftstätigkeiten aus?
KRITIS-Verstöße können zu erheblichen Einschränkungen der Geschäftstätigkeit führen, einschließlich behördlicher Anordnungen zur Aussetzung bestimmter Dienste oder zur Implementierung zusätzlicher Sicherheitsmaßnahmen. In extremen Fällen kann das BSI sogar die vorübergehende Stilllegung kritischer Systeme anordnen, bis angemessene Sicherheitsstandards erreicht sind.
Neben den direkten behördlichen Maßnahmen entstehen erhebliche indirekte Kosten. Unternehmen müssen oft externe Berater beauftragen, um Compliance-Lücken zu schließen und Sicherheitssysteme nachzurüsten. Diese Nachbesserungen sind in der Regel deutlich teurer als eine von Anfang an ordnungsgemäße Umsetzung der KRITIS-Anforderungen.
Der Reputationsschaden kann langfristig schwerer wiegen als die direkten finanziellen Verluste. Kunden und Geschäftspartner verlieren das Vertrauen in Unternehmen, die ihre IT-Sicherheitspflichten vernachlässigen. Dies führt häufig zu Auftragsverlusten und erschwert die Gewinnung neuer Kunden erheblich.
Zusätzlich können Versicherungen ihre Leistungen verweigern oder kürzen, wenn nachgewiesen wird, dass ein Sicherheitsvorfall durch mangelhafte Compliance-Maßnahmen begünstigt wurde. Dies verstärkt die finanziellen Auswirkungen von Cyberangriffen oder anderen Sicherheitsvorfällen zusätzlich.
Wann verjähren Verstöße gegen die KRITIS-Verordnung?
Verstöße gegen die KRITIS-Verordnung verjähren grundsätzlich nach drei Jahren ab dem Zeitpunkt, zu dem die Behörde von dem Verstoß und der verantwortlichen Person Kenntnis erlangt hat, spätestens jedoch nach fünf Jahren seit Begehung der Ordnungswidrigkeit. Diese Verjährungsfristen entsprechen den allgemeinen Bestimmungen des Ordnungswidrigkeitengesetzes.
Die Verjährung kann jedoch durch verschiedene Umstände unterbrochen oder gehemmt werden. Jede Ermittlungshandlung der Behörde, wie etwa die Anforderung von Unterlagen oder die Durchführung einer Prüfung, unterbricht die Verjährung. Nach einer Unterbrechung beginnt die Verjährungsfrist neu zu laufen.
Bei fortdauernden Verstößen, wie etwa dem dauerhaften Fehlen erforderlicher Sicherheitsmaßnahmen, beginnt die Verjährungsfrist erst mit der Beendigung des rechtswidrigen Zustands zu laufen. Das bedeutet, dass Unternehmen nicht darauf hoffen können, dass ihre Compliance-Mängel nach einiger Zeit automatisch „verjähren“, solange sie diese nicht beheben.
Wichtig ist auch, dass zivilrechtliche Schadensersatzansprüche anderen Verjährungsfristen unterliegen. Diese können deutlich länger bestehen und bei Personenschäden sogar bis zu 30 Jahre betragen. Unternehmen sollten daher nicht nur die ordnungsrechtlichen, sondern auch die zivilrechtlichen Aspekte der Verjährung im Blick behalten.
Wie CCVOSSEL bei der KRITIS-Compliance hilft
Wir unterstützen Unternehmen dabei, die komplexen Anforderungen der BSI-KRITIS-Verordnung zu erfüllen und rechtliche Risiken zu minimieren. Unser erfahrenes Team entwickelt maßgeschneiderte Sicherheitskonzepte und technische Schutzmaßnahmen, die speziell auf die Bedürfnisse kritischer Infrastrukturen zugeschnitten sind.
Unsere Leistungen umfassen:
- Umfassende Compliance-Bewertung und Gap-Analyse
- Entwicklung und Implementierung technischer und organisatorischer Maßnahmen
- Kontinuierliche Sicherheitsüberwachung und Incident Response
- Regelmäßige Penetrationstests und Vulnerability Assessments
- Schulungen und Awareness-Programme für Mitarbeiter
Kontaktieren Sie uns über unsere Kontaktseite, um eine individuelle Beratung zu Ihrer KRITIS-Compliance zu vereinbaren und rechtliche Risiken proaktiv zu vermeiden.