Verwaltungsstrafen, Suspendierung, Veröffentlichung: Das Sanktionsregime des NISG 2026

In den Diskussionen um NIS2 dominiert seit Monaten die 10-Millionen-Frage: Wie hoch sind die Strafen eigentlich? Die Antwort liefert das österreichische NISG 2026 in § 45 — aber die wirklich unangenehme Bestimmung steht in § 39: Die Aufsichtsbehörde kann Geschäftsführerinnen und Geschäftsführer vorübergehend von der Ausübung ihrer Leitungsfunktion ausschließen.

Dieser Beitrag ordnet die fünf Sanktionsstufen des NISG 2026 ein und beantwortet die Frage, die nach jeder Aufsichtsratssitzung im Raum steht: Was muss die Geschäftsführung der eigenen Eigentümer- und Aufsichtsebene jetzt konkret kommunizieren?

Die Sanktionspalette im Überblick

Das NISG 2026 stellt der Cybersicherheitsbehörde fünf eskalierende Werkzeuge zur Verfügung. Vier davon stehen in § 39 (Durchsetzungsmaßnahmen), die fünfte — die Geldstrafe — in § 45 (Verwaltungsstrafbestimmungen). Die Reihenfolge ist nicht zwingend, aber für die Behörde Verhältnismäßigkeits-Maßstab.

Stufe	Sanktion	Rechtsgrundlage
1	Aufforderung / Anordnung Behebungsmaßnahmen	§ 39 Abs. 1–2
2	Anordnung Diensteempfänger-Unterrichtung + Öffentlichmachung	§ 39 Abs. 3
3	Aussetzung von Zertifizierungen	§ 39 Abs. 4 Z. 1
4	Untersagung von Leitungsaufgaben (nur wesentliche Einrichtungen)	§ 39 Abs. 4 Z. 2
5	Geldstrafe (bis 10 Mio EUR / 2 % Umsatz)	§ 45 Abs. 2–4

Die letzten beiden Stufen — Untersagung der Leitungsfunktion und Geldstrafe — sind die einzigen mit unmittelbarer persönlicher und finanzieller Sprengkraft. Die Stufen davor sind organisatorische Belastungen, die in Summe genauso disruptiv wirken können — eine veröffentlichte Behördenrüge ist für ein mittelständisches Unternehmen mit Großkunden ein massiver Reputationsschaden.

§ 39 — Was die Behörde anordnen darf

§ 39 NISG 2026 trägt die Überschrift „Durchsetzungsmaßnahmen in Bezug auf wesentliche und wichtige Einrichtungen” und ist der zentrale Werkzeugkasten der Cybersicherheitsbehörde gegen säumige Einrichtungen.

Stufe 1 — Aufforderung / Anordnung (Abs. 1–2): Die Behörde kann zunächst Maßnahmen anfordern und — bei Nichtbeachtung — per Bescheid konkrete Behebungsmaßnahmen anordnen. Das reicht von der Behebung eines technischen Defizits bis zur Implementierung eines vollständigen Risikomanagementprozesses. Frist und Maßstab werden im Bescheid festgelegt.

Stufe 2 — Diensteempfänger-Unterrichtung + Öffentlichmachung (Abs. 3): § 39 Abs. 3 enthält zwei eng verwandte Instrumente. Die Behörde kann die Einrichtung anweisen, ihre Diensteempfänger über bestehende Cyberbedrohungen zu informieren. Sie kann zusätzlich den Verstoß und die Identität der Einrichtung öffentlich machen — beides allerdings nur, „sofern dies erforderlich ist, um das damit verbundene Risiko auf ein vertretbares Ausmaß zu reduzieren”. Diese Verhältnismäßigkeits-Klausel ist die zentrale Hürde — die Behörde muss begründen, warum die Öffentlichmachung das mildere geeignete Mittel ist.

Stufe 3 — Aussetzung von Zertifizierungen (Abs. 4 Z. 1): Wenn die Einrichtung bestimmte Tätigkeiten nur aufgrund einer Zertifizierung oder Zulassung ausüben darf (typisch im Energie- oder Finanzbereich), kann die Behörde diese Zertifizierung aussetzen lassen. Das ist faktisch ein partielles Betriebsverbot.

Stufe 4 — Untersagung von Leitungsaufgaben (Abs. 4 Z. 2): Die schärfste Sanktion vor der Geldstrafe. Die Behörde kann natürlichen Personen, die in der Einrichtung Leitungsaufgaben wahrnehmen, die Ausübung dieser Funktion vorübergehend untersagen. Diese Bestimmung ist die österreichische Umsetzung von Art. 32 Abs. 5 der NIS2-Richtlinie und gilt ausdrücklich nur für wesentliche Einrichtungen — wichtige Einrichtungen sind hier ausgenommen. Stufe 3 und Stufe 4 stehen also gleichrangig in Abs. 4 als zwei alternative oder kumulative Maßnahmen.

Auflösungs-Klausel (Abs. 5): Sowohl die Aussetzung der Zertifizierung als auch die Untersagung der Leitungsaufgaben werden „unverzüglich aufgehoben, sobald die betreffende wesentliche Einrichtung nachweislich die gemäß Abs. 2 angeordneten Maßnahmen ergriffen hat”. Das Gesetz nennt keine feste Maximaldauer — die Dauer richtet sich nach der Behebungsgeschwindigkeit. Wer schnell nachbessert, ist schnell wieder im Geschäft. Wer verzögert, riskiert eine faktisch unbefristete Sanktion.

Wichtig: § 39 Abs. 6 enthält eine Ausnahme für die öffentliche Verwaltung — diese kann nicht in gleicher Weise sanktioniert werden. Stattdessen greift hier § 46 mit einem eigenen Verfahren über die Bezirksverwaltungsbehörden.

§ 39 Abs. 4 Z. 2 — Die personalbezogene Sanktion im Detail

Die Untersagung von Leitungsaufgaben ist die Bestimmung, die in NIS2-Briefings regelmäßig für Verstummen im Raum sorgt. Drei Punkte sind zentral:

Was wird untersagt: Die Ausübung der Leitungsfunktion — nicht die Bestellung als solche. Die formelle Stellung als Geschäftsführerin oder Geschäftsführer im Firmenbuch bleibt bestehen. Was wegfällt, ist die operative Vertretungs- und Entscheidungsbefugnis. Praktisch heißt das: Verträge dürfen nicht unterschrieben werden, Anweisungen nicht erteilt werden, Beschäftigungsverhältnisse nicht begründet werden.

Wer wird ersetzt: Das Gesetz regelt die Nachfolge nicht direkt. In der Praxis greifen die gesellschaftsrechtlichen Mechanismen: Die Gesellschafter bestellen einen Notgeschäftsführer oder einen weiteren Geschäftsführer mit alleiniger Vertretungsbefugnis. In einer GmbH mit einem einzigen Geschäftsführer entsteht damit faktisch ein gesellschaftsrechtliches Notfall-Szenario, das innerhalb von Tagen gelöst sein muss.

Wie lange: Die Untersagung ist „vorübergehend” — § 39 Abs. 5 NISG 2026 regelt die Auflösung explizit: Die Sanktion wird „unverzüglich aufgehoben, sobald die betreffende wesentliche Einrichtung nachweislich die gemäß Abs. 2 angeordneten Maßnahmen ergriffen hat.” Eine feste Maximaldauer nennt das Gesetz nicht. Die Dauer hängt damit faktisch von der Behebungsgeschwindigkeit ab — wer schnell nachbessert, ist schnell wieder im Geschäft. Wer verzögert, riskiert eine faktisch unbefristete Sanktion.

Diese Sanktion ist kein zusätzliches Strafverfahren im klassischen Sinne. Sie ist eine Verwaltungsmaßnahme, gegen die nach § 41 NISG 2026 das Bundesverwaltungsgericht angerufen werden kann. Die aufschiebende Wirkung ist nicht garantiert — die Beschwerde hebt die Wirkung der Untersagung nicht automatisch auf.

§ 44 — Wer verhängt, wer zeigt an, wann nicht

Die Geldstrafen werden nicht von der Cybersicherheitsbehörde selbst verhängt. § 44 NISG 2026 verteilt die Rollen klar:

• Bezirksverwaltungsbehörden sind für die Verhängung der Verwaltungsstrafen zuständig — das ist die übliche österreichische Vollziehungsstruktur.
• Die Cybersicherheitsbehörde zeigt Verdachtsfälle bei der zuständigen Bezirksverwaltungsbehörde an und liefert die fachliche Beurteilung.
• Geldstrafen können auch gegen juristische Personen verhängt werden, wenn Führungspersonen (Geschäftsführerinnen, Vorstandsmitglieder, Aufsichtsorgane) in den Verstoß involviert waren.
• Wenn die Organisation bereits bestraft wurde, können die einzelnen Verantwortlichen entlastet werden — keine Doppelbestrafung.
• Hat die Datenschutzbehörde bereits eine Geldbuße nach Art. 58 Abs. 2 lit. i DSGVO für ein Verhalten verhängt, darf die Bezirksverwaltungsbehörde für dasselbe Verhalten keine Geldstrafe nach dem NISG verhängen. Das DSGVO-Verfahren hat Vorrang — eine konkret formulierte Schutzklausel gegen Doppelbestrafung.

Jahresberichte über eingeleitete Verfahren sind bis 31. März des Folgejahres an die Cybersicherheitsbehörde zu übermitteln. Das schafft erstmals eine konsolidierte Datenbasis über die tatsächliche Sanktionspraxis in Österreich — bisher gab es solche Statistiken zur NIS-G-Vollziehung nicht.

§ 45 — Die Geldstrafen im 3-Klassen-Modell

§ 45 NISG 2026 unterscheidet drei Strafklassen, abhängig von der Schwere des Verstoßes und der Einstufung der Einrichtung.

Klasse 1 — Wesentliche Einrichtungen, schwere Verstöße

Wer als wesentliche Einrichtung gegen einen der sechs Kerntatbestände aus § 45 Abs. 1 verstößt, riskiert eine Geldstrafe bis zu 10 Millionen EUR oder 2 % des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ausfällt. Die sechs Tatbestände sind:

1. Keine Cybersicherheitsschulungen für Leitungsorgane (§ 31 Abs. 2 NISG 2026)
2. Keine Cybersicherheitsschulungen für Mitarbeiter (§ 31 Abs. 2 zweiter Satz)
3. Nichtumsetzen der Risikomanagementmaßnahmen nach § 32 (sofern nicht nur durch Selbstdeklaration bekanntgeworden)
4. Versäumte Meldung erheblicher Vorfälle nach § 34 Abs. 1+2 und damit zusammenhängende Berichtspflichten
5. Unterlassene Unterrichtung der Diensteempfänger nach § 34 Abs. 3
6. Nichtbeachtung der nach § 39 Abs. 2 angeordneten Durchsetzungsmaßnahmen

Klasse 2 — Wichtige Einrichtungen, schwere Verstöße

Dieselben sechs Verstoßtatbestände aus § 45 Abs. 1 kosten wichtige Einrichtungen bis zu 7 Millionen EUR oder 1,4 % des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist. Die niedrigeren Höchstgrenzen spiegeln das reaktivere Aufsichtsregime wider, dem wichtige Einrichtungen unterliegen — sie werden in der Regel nur bei Anlass geprüft.

Klasse 3 — Organisatorische Verstöße

§ 45 Abs. 4 listet 19 weitere Verstoßtatbestände, die als organisatorische Verstöße eingestuft sind: Registrierungs- und Datenbankführungs-Pflichten, Pflichten zur Offenlegung von Domänen-Inhaberdaten, Scan- und Informationspflichten, Behinderung von Inspektionen und weitere Überwachungs- und Mitwirkungspflichten. Diese werden mit bis zu 50.000 EUR sanktioniert, im Wiederholungsfall bis zu 100.000 EUR.

Diese dritte Klasse ist die in der Praxis wahrscheinlichste. Eine vergessene Registrierung, eine verspätete Aktualisierung der Selbstdeklaration, ein nicht koordinierter Inspektionstermin — solche Fehltritte sind im operativen Tagesgeschäft realistischer als ein vorsätzlich unterlassener Vorfall.

Was die Geschäftsleitung jetzt kommunizieren sollte

Die meisten Aufsichtsräte, Beiräte und Eigentümer in mittelständischen österreichischen Unternehmen haben bisher kein konkretes Bild der NIS2-Sanktionspalette. Wenn die Geschäftsleitung diese Lücke nicht aktiv schließt, entsteht ein doppeltes Risiko: Die Sanktionsdrohung wird in der Aufsicht entweder unterschätzt (kein Druck für die nötigen Investitionen) oder überschätzt (Panik-Investitionen ohne Priorisierung).

Eine saubere Kommunikation gegenüber der Aufsichtsebene sollte vier Punkte umfassen:

1. Die Sanktionspalette als Eskalationsmodell präsentieren — nicht nur die 10-Millionen-Zahl nennen. Die Treppe von Anordnung über Öffentlichmachung bis zur Untersagung der Leitungsfunktion macht klar: Es geht nicht um „eine Strafe”, sondern um einen abgestuften Werkzeugkasten, in dem die Behörde lange vor der Geldbuße viele andere Hebel hat.

2. Die personalbezogene Sanktion explizit ansprechen — § 39 Abs. 4 Z. 2 betrifft die Geschäftsleitung persönlich (gilt nur für wesentliche Einrichtungen). Aufsichtsräte und Eigentümer müssen verstehen, dass eine vorübergehende Untersagung der Geschäftsführer-Funktion auch ein gesellschaftsrechtliches Notfall-Szenario auslöst, auf das das Unternehmen vorbereitet sein muss (Vertretungsregelungen, Notgeschäftsführungs-Mandate, Eskalationspfade).

3. Die DSGVO-Schnittstelle erklären — viele Aufsichtsräte fragen, ob NIS2 zur DSGVO „dazukommt”. § 44 NISG 2026 enthält die Anti-Doppelbestrafungs-Regel: Wenn ein Verstoß zugleich DSGVO-relevant ist, hat das DSGVO-Verfahren Vorrang. Das ist eine Klarstellung. Erleichterung gibt es keine — die Strafe entsteht in beiden Fällen, nur die Behörde wechselt.

4. Den realistischen Wahrscheinlichkeitsrahmen einordnen — die 10-Millionen-Strafe ist die statistisch seltenste Sanktion. Die 50- bis 100-Tausend-Strafe für organisatorische Verstöße und die Öffentlichmachung sind die Sanktionen, mit denen Unternehmen real rechnen müssen. Eine vergessene Registrierung kostet 50.000 EUR — das ist nicht existenzbedrohend, aber genau die Art von Strafe, die in einem normalen Geschäftsjahr realistisch passieren kann.

Wer als Geschäftsführerin oder Geschäftsführer diese vier Punkte aktiv in die nächste Aufsichts- oder Beirats-Sitzung trägt, schafft drei Effekte: Erstens gewinnt das Cybersicherheits-Budget eine sachliche Begründung. Zweitens wird die persönliche Haftung der Geschäftsleitung als Aufsichts-Thema etabliert (siehe auch unseren Beitrag zur nicht delegierbaren Haftung). Drittens entsteht eine dokumentierte Entscheidungs-Grundlage — die im Ernstfall vor der Aufsichtsbehörde nachgewiesen werden kann.

Fazit

§ 39 und § 45 NISG 2026 bilden zusammen ein Sanktionsregime, das in Schärfe und Personenbezug deutlich über das bisherige NIS-G 2018 hinausgeht. Die Untersagung von Leitungsaufgaben ist die strukturell folgenreichste Neuerung — sie macht aus Cybersicherheits-Pflichtverletzung erstmals eine Frage der persönlichen beruflichen Existenz von Geschäftsführerinnen und Geschäftsführern.

Für die Praxis heißt das: Die Frage „Was kostet uns eine NIS2-Verletzung?” ist mehrdimensional. Sie kostet im schlimmsten Fall Geld (bis zu 10 Mio EUR), Reputation (öffentliche Behördenrüge), Geschäftsfähigkeit (ausgesetzte Zertifizierung) und persönliche Position (Untersagung der Leitungsfunktion). Wer das nicht aktiv strukturiert in die eigene Governance einbaut und gegenüber der Aufsicht kommuniziert, riskiert nicht nur Sanktionen — er riskiert auch, dass die Sanktionswahrscheinlichkeit unterschätzt und die Vorsorge entsprechend unzureichend dotiert wird.

Wer sich strukturiert vorbereitet, beginnt mit drei Schritten: Cyber Reality Check für die ehrliche Standortbestimmung, NIS2-Strategiebriefing für die Aufklärung der Geschäfts- und Aufsichtsebene, und — bei festgestellter Lücke — ein Cyber Governance Setup oder die laufende externe CISO-Begleitung. Das Sanktionsregime des NISG 2026 ist nicht das Problem. Es ist der späte Spiegel einer Governance-Lücke, die heute strukturiert geschlossen werden kann.