Begründung zu § 65 BSIG

Begründung der Bundesregierung

Die Vorschrift führt den bisherigen § 14 fort. Die Bußgeldtatbestände wurden insbesondere entsprechend der Vorgaben der NIS-2-Richtlinie ergänzt und der Bußgeldrahmen angepasst.

Zu Absatz 1

Absatz 1 führt den bisherigen § 14 Absatz 1 fort. Absatz 1 sanktioniert, wie bisher, Fälle, in denen die von den Betreibern Kritischer Anlagen zu erbringenden Nachweisen, Nachforderungen, Auskünfte und Kennzahlen vorsätzlich nicht richtig oder nicht vollständig erbracht werden.

Zu Absatz 2

Mit Absatz 2 Nummer 1 Buchstaben a, b, c und d werden Fälle von Zuwiderhandlungen gegen vollziehbare Anordnungen erfasst. Eine separate Aufzählung soll, aufgrund unterschiedlicher Schwere der Zuwiderhandlungen, eine entsprechende Bebußung in unterschiedlicher Höhe ermöglichen.

Zu Nummer 1

Zu Buchstabe a

Der genannte § 11 Absatz 6 führt den bisherigen § 5b Absatz 6, § 16 Absatz 1 Satz 1 den bisherigen § 7c Absatz 1 Satz 1, § 17 den bisherigen § 7d und § 39 Absatz 1 Satz 5 den bisherigen § 8a Absatz 3 Satz 5 fort.

Zu Buchstabe b

Dieser Bußgeldtatbestand führt den bisherigen aus § 7a Absatz 2 Satz 1 bebußten Tatbestand fort.

Zu Buchstabe c

§ 8c Absatz 4 Satz 1 entfällt, da die Kategorie „Anbieter digitaler Dienste“ in den neuen Einrichtungskategorien aufgeht.

Mit Variante 1 wurde ein neuer Bußgeldtatbestand geschaffen, der die Weigerung der Herausgabe notwendiger Informationen zur Bewältigung einer Störung bei Betreibern kritischer Anlagen ahnden soll.

Ebenfalls werden neue Bußgeldtatbestände entsprechend der Vorgaben nach Artikel 32 Absatz 4 Buchstabe i NIS-2-Richtlinie für besonders wichtige und nach Artikel 33 Absatz 4 Buchstabe h NIS-2-Richtlinie für wichtige Einrichtungen ergänzt:

Es wurde entsprechend der Vorgaben der NIS-2-Richtlinie nach Artikel 32 Absatz 4 Buchstabe d für besonders wichtige sowie nach Artikel 33 Absatz 4 Buchstabe d für wichtige Einrichtungen – umgesetzt in § 61 Absatz 3 Satz 1, in Verbindung mit § 62 – eine Bebußung aufgenommen: Dies gilt für Zuwiderhandlungen gegen Anweisungen innerhalb einer bestimmten Frist sicherzustellen, dass Risikomanagementmaßnahmen im Bereich der Cybersicherheit mit Artikel 21 im Einklang stehen, bzw. die in Artikel 23 festgelegten Berichtspflichten erfüllt werden.

§ 61 Absatz 6 Satz 1 oder 3, auch in Verbindung mit § 62 sieht eine Bebußung bei Verstößen besonders wichtiger und wichtiger Einrichtungen gegen Anordnungen nach § 61 Absatz 6 vor. Dieser bestimmt, dass das Bundesamt gegenüber besonders wichtigen und wichtigen Einrichtungen Anweisungen in Bezug auf Maßnahmen anordnen kann, die zur Verhütung oder Behebung eines Sicherheitsvorfalls oder eines Mangels erforderlich sind. Ferner kann das Bundesamt die Berichterstattung den nach Satz 1 angeordneten Maßnahmen verlangen. Es werden hiermit Vorgaben aus Artikel 32 Absatz 4 Buchstabe i und Artikel 33 Absatz 4 Buchstabe h NIS-2-Richtlinie umgesetzt. Demnach ist eine Bebußung bei Zuwiderhandlung nach Artikel 32 Absatz 4 Buchstabe b bzw. Artikel 33 Absatz 4 Buchstabe b vorzunehmen.

Es wird ein Zuwiderhandeln gegen eine verbindliche Anweisung nach § 61 Absatz 7 Satz 1 oder 3, jeweils in Verbindung mit § 62 geahndet. Mit der Schaffung dieses Bußgeldtatbestandes werden Artikel 32 Absatz 4 Buchstabe i in Verbindung mit Buchstabe c und f, und Artikel 33 Absatz 4 Buchstaben h in Verbindung mit Buchstabe c und f der NIS-2-Richtlinie umgesetzt, die eine respektive Bebußung von wichtigen und besonders wichtigen Einrichtungen vorsehen.

§ 61 Absatz 8 oder auch in Verbindung mit § 62 sehen respektive für besonders wichtige und wichtige Einrichtungen vor, dass das Bundesamt sie anweisen kann, die natürlichen oder juristischen Personen, für die sie Dienste erbringen oder Tätigkeiten ausüben und die potenziell von einer erheblichen Cyberbedrohung betroffen sind, über die Art der Bedrohung und mögliche Abwehr- oder Abhilfemaßnahmen zu unterrichten, die von diesen natürlichen oder juristischen Personen als Reaktion auf diese Bedrohung ergriffen werden können. Zudem kann es wichtige und besonders wichtige Einrichtungen anweisen, Informationen zu Verstößen gegen diese Richtlinie nach bestimmten Vorgaben öffentlich bekannt zu machen. Mit der Schaffung dieses Bußgeldtatbestandes wird den Anforderungen aus Artikel 32 Absatz 4 Buchstabe i in Verbindung mit Buchstaben e und g der NIS-2-Richtlinie sowie Artikel 33 Absatz 4 Buchstabe h in Verbindung mit Buchstaben e und g nachgekommen.

Zu Buchstabe d

Es wird mit Buchstabe d entsprechend der Vorgaben der NIS-2-Richtlinie ein neuer Bußgeldtatbestand aufgenommen

§ 35 Absatz 1 Satz 1 sieht vor, dass das Bundesamt im Falle eines erheblichen Sicherheitsvorfalls besonders wichtige Einrichtungen und wichtige Einrichtungen anweisen kann, die Empfänger ihrer Dienste unverzüglich über diesen erheblichen Sicherheitsvorfall zu unterrichten, der die Erbringung des jeweiligen Dienstes beeinträchtigen könnte. Artikel 34 Absatz 4 der NIS-2-Richtlinie setzt eine Bebußung des Artikel 23 Absatz 1 NIS-2-Richtlinie fest

Eine Bebußung von Zuwiderhandlungen gegen § 36 Absatz 2 Satz 1 sieht Artikel 34 Absatz 7 der NIS-2-Richtlinie vor.

Zu Nummer 2

In Nummer 2 wurden die Verweise angepasst. Der bisherige Bußgeldtatbestand schuf eine Sanktionsmöglichkeit dafür, dass entgegen § 8a Absatz 1 Satz 1 in Verbindung mit einer Rechtsverordnung nach § 10 Absatz 1 Satz 1 eine dort genannte Vorkehrung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig getroffen wird. Dieser sah vor, dass angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu getroffen werden, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. er Verweis wurde angepasst und bezieht sich nunmehr auf Verstöße gegen den neugeschaffenen § 30 (Risikomanagementmaßnahmen), der § 8a Absatz 1 Satz 1 ersetzt. Zudem wird hiermit den Anforderungen der NIS-2- Richtlinie (Artikel 34 Absatz 4 in Verbindung mit Artikel 21 NIS-2-Richtlinie) nach einer Bebußung bei Verstößen gegen Risikomanagementmaßnahmen nachgekommen.

Zu Nummer 3

In Nummer 3 wurde ein neuer Bußgeldtatbestand geschaffen, der Verstöße gegen § 30 Absatz 1 Satz 3 (die Einhaltung der Dokumentationspflicht) ahndet. Es wird hiermit den Anforderungen der NIS-2-Richtlinie, Artikel 34 Absatz 4 in Verbindung mit Artikel 21 NIS-2-Richtlinie, hier Absatz 4, Rechnung getragen.

Zu Nummer 4

§ 32 Absatz 1 Satz 1 definiert die Meldepflichten für besonders wichtige und wichtige Einrichtungen (Umsetzung des Artikels 23 der NIS-2-Richtlinie). Es wird hiermit die Anforderung nach einer Bebußung aus Artikel 34 Absatz 4 in Verbindung mit Artikel 23 Absatz 4 NIS-2-Richtlinie umgesetzt.

§ 8c und 8f entfallen, da die Regelungsadressaten in den neuen Einrichtungskategorien aufgehen.

Zu Nummer 5

Nummer 5 sieht eine Bebußung vor, wenn entgegen § 32 Absatz 2 Satz 2 eine Abschlussmeldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig gemacht wird. Es wird hiermit Artikel 34 Absatz 4 in Verbindung mit Artikel 23 Absatz 4 Buchstabe e) NIS-2-Richtlinie umgesetzt.

Zu Nummer 6

Nach Nummer 6 handelt ordnungswidrig, wer eine Angabe oder eine Änderung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt. § 8b Absatz 3 Satz 1 wird durch § 33 Absatz 1 und 2 ersetzt und auf die neugeschaffenen Einrichtungskategorien angepasst: Absatz 1 definiert die Registrierungspflichten für wichtige und besonders wichtige Einrichtungen, Absatz 2 die Anforderungen für Betreiber kritischer Anlagen.

§ 8f Absatz 5 Satz 1 entfällt, da dieser in den neuen Einrichtungskategorien aufgeht. Ein Ersatz erfolgt jedoch durch § 34 Absatz 1 und 2, der Registrierungspflichten für andere Einrichtungsarten vorsieht.

Zu Nummer 7

Nummer 7 sieht eine Bebußung für Betreiber kritischer Anlagen vor. Diese haben nach § 33 Absatz 2 Satz 2 sicherzustellen, dass sie über ihre in Absatz 1 genannten Kontaktdaten jederzeit erreichbar sind.

Zu Nummer 8

In Nummer 8 wurde ein neuer Bußgeldtatbestand geschaffen. § 34 Absatz 2 sieht vor, dass Änderungen der nach § 34 Absatz 1 zu übermittelnden Angaben unverzüglich, spätestens jedoch zwei Wochen ab dem Zeitpunkt der Änderung dem Bundesamt zu übermitteln sind.

ine Sanktionierung ist erforderlich, um eine bessere Durchsetzbarkeit der Registrierungspflichten zu ermöglichen. Zweck dieser ist es, die unverzügliche Weiterleitung wichtiger Sicherheitsinformationen an betroffene Betreiber sicherzustellen. So kann bei Störungen und sonstigen IT-Sicherheitsinformationen, die für die Verfügbarkeit und Funktionsfähigkeit der Betreiber maßgeblich sind, ein verlässlicher, beständiger und schneller Informationsfluss gewährleistet werden. Nur durch eine Erweiterung der Pflicht zur zeitnahen Mitteilung von Änderungen kann diese effektiv gewährleistet werden.

Zu Nummer 9

Eine Bebußung von Zuwiderhandlungen gegen § 35 Absatz 2 Satz 1, auch in Verbindung mit Satz 2 sieht Artikel 34 Absatz 4 in Verbindung mit Artikel 23 Absatz 2 NIS-2 Richtlinie vor.

Zu Nummer 10

Hier wurde der Verweis zur Aktualisierung der Nachweispflichten (siehe bereits unter Absatz 1) angepasst: Hier bestimmt § 39 Absatz 1 Satz 1 die für kritische Einrichtungen.

Zu Nummer 11

Nummer 11 sanktioniert, sofern nach § 49 Absatz 3 Satz 1 dort genannte Vorgaben oder Verfahren nicht vorgehalten werden. Mit den Nummern 11, 12 und 13 wird die in Artikel 36 der NIS-2-Richtline vorgesehene Möglichkeit, die Nichtbefolgung der Vorgaben für Maßnahmen auch für Top Level Domain Name Registries und Domain-Name-Registry-Dienstleister zu sanktionieren, umgesetzt. Das schafft eine Durchsetzbarkeit der gesetzlich festgelegten Verpflichtung, eine Datenbank über die Domains und ihre Domain-Namen-Registrierungsdaten vorzuhalten und auf berechtigten Antrag diese Daten für Anfragende zugänglich machen zu können.

Zu Nummer 12

Nummer 12 bestimmt eine Bebußung, wenn entgegen § 49 Absatz 3 Satz 2 oder Absatz 4 dort genannte Vorgaben, Verfahren oder Daten nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig zugänglich gemacht werden.

Zu Nummer 13

Nummer 13 nimmt eine Bebußung vor, wenn entgegen § 50 Absatz 1 Satz 1 ein Zugang nicht oder nicht rechtzeitig gewährt wird.

Zu Nummer 14

it Nummer 14 wurde ein neuer Bußgeldtatbestand geschaffen: § 52 Absatz 2 Satz 4 bestimmt, dass ein Zertifikat nach Satz 1 nur dann für ein Produkt, eine Leistung, eine Person oder einen IT-Sicherheitsdienstleister verwendet werden darf, wenn das Bundesamt ein entsprechendes Zertifikat erteilt hat und dieses nicht aufgehoben wurde oder auf andere Weise ungültig geworden ist. Eine Ahndung im Rahmen eines Bußgeldes bei Verwendung entgegen angeführter Voraussetzungen ist aufgrund des Missbrauchspotentials sowie damit einhergehender unbefugter Nutzung erforderlich; auch da hier keine effektive Verwaltungszwangsmöglichkeit besteht. Ebenfalls wird eine Bebußung für Fälle vorgesehen, in denen entgegen § 53 Absatz 1 Satz 4 eine Erklärung nach § 53 Absatz 1 Satz 2 verwendet wird.

Bei § 54 Absatz 6 Satz 2 handelt es sich um einen neuen Bußgeldtatbestand, der das Verwenden widerrufener Cybersicherheitszertifikate oder für ungültig erklärte EU-Konformitätserklärungen bebußt. Eine Notwendigkeit für die Ahndung ergibt sich aus vergleichbarem Missbrauchspotential, Folgen einer unbefugten Nutzung und der fehlenden effektiven Verwaltungszwangsmöglichkeit.

§ 55 Absatz 4 Satz 1 führt den bisherigen § 9c Absatz 4 Satz 1 fort.

Zu Nummer 15

it § 53 wurde die Möglichkeit geschaffen, selbst eine Konformitätserklärung nach den Vorgaben des Bundesamtes und unter deren Aufsicht abzugeben. Obwohl der Aussteller dabei selbst die Verantwortung für seine Konformitätserklärung trägt, besteht ein Vertrauen des Marktes in die Möglichkeiten des Bundesamtes nach § 53, gegen erkannte Abweichungen von den zugrunde liegenden Anforderungen vorzugehen. Dieses Vertrauen setzt aber voraus, dass das Bundesamt auch gegen solche Akteure vorgehen kann, die über keine gültige Konformitätserklärung im Sinne des § 53 verfügen und nur bewusst oder fahrlässig (beispielsweise durch das Verwenden eines entsprechenden Kennzeichens) vorgeben, sich den Anforderungen des § 53 unterworfen zu haben. § 53 Absatz 3 Satz 2 sieht eine Bebußung vor, wenn ohne eine Befugniserteilung als Konformitätsbewertungsstelle gehandelt wird.

§ 54 Absatz 2 Satz 2 führt den bisherigen § 9a Absatz 2 Satz 2 fort. Es wurde eine Ergänzung vorgenommen: Nach § 53 Absatz 3 Satz 2 bedarf es zur Konformitätsbewertung, soweit eine Akkreditierung der in der Technischen Richtlinie durch das Bundesamt vorgesehen wurde, einer Befugniserteilung. Führt eine Stelle Konformitätsbewertungstätigkeiten durch, ohne eine solche Befugnis zu haben, gefährdet dies die Vergleichbarkeit der Konformitätsbewertungs-verfahren und in der Folge das besondere Vertrauen in die Konformitätserklärung, das durch die Vorgabe erzeugt werden sollte.

Zu Nummer 16

Der bisherige § 14 Absatz 2 Nummer 8 mit einer Bußgeldahndung für Verstöße gegen § 8c Absatz 1 Satz 1 wurde gestrichen, da dieser in den neuen Einrichtungskategorien aufgeht. Die Vorschrift sieht eine Bebußung bei besonders wichtigen Einrichtungen vor (§ 61 Absatz 5 Satz 3). Sofern das Betreten eines dort genannten Raums nicht gestattet, eine dort genannte Unterlage nicht oder nicht rechtzeitig vorlegt, eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder Unterstützung nicht oder nicht rechtzeitig gewährt.

Zu Absatz 3

Absatz 3 führt den bisherigen § 14 Absatz 3 fort.

Zu Absatz 4

Zu Nummer 1

Nummer 1 führt den bisherigen § 14 Absatz 4 Nummer 1 fort.

Zu Nummer 2

Nummer 2 führt den bisherigen § 14 Absatz 4 Nummer 2 fort.

Zu Absatz 5

Absatz 5 regelt die Höhe der jeweiligen Bußgelder. Das bisherige Stufensystem wurde beibehalten, wobei die Stufen angepasst wurden. Die Stufen sind auf den Werten 10 bzw. 7 Millionen, (höchste Stufe), 2 Millionen Euro (zweite Stufe), 1 Millionen (dritte Stufe), 500.000 Euro (vierte Stufe) und 100.000 Euro (fünfte Stufe) angesetzt. Vorgaben aus Artikel 34 NIS-2-Richtlinie bedingen Modifizierungen im Rahmen von Umsatzregelungen.

Zu Nummer 1

Auf höchster Stufe sind Verstöße gegen Absatz 2 Nummer 1 Buchstabe d, Nummer 2 bis 5 sowie Nummer 9 einzuordnen. In diesen Nummern werden Verstöße gegen Risikomanagementmaßnahmen und Meldepflichten bebußt (höchste Bußgeldstufe).

Zu Buchstabe a

Für Verstöße gegen Absatz 2 Nummer 1 Buchstabe d, Nummern 2 bis 5 sowie Nummer 9 bei besonders wichtigen Einrichtungen traf Artikel 34 Absatz 4 NIS-2-Richtlinie dezidierte Vorgaben: 10 Millionen Euro oder mindestens 2 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem der Betroffene angehört.

Zu Buchstabe b

Für Verstöße gegen Absatz 2 Nummer 1 Buchstabe d, Nummern 2 bis 5 sowie Nummer 9 bei wichtigen Einrichtungen sieht Artikel 34 Absatz 5 der NIS-2-Richtlinie eine Höhe von 7 Millionen Euro oder mindestens 1,4 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem der Betroffene angehört, vor.

Zu Nummer 2

Auf zweiter Stufe (2 Millionen Euro) sind Verstöße gegen Absatz 2 Nummer 1 Buchstabe a angesiedelt. Es wurde keine Veränderung der Bußgeldhöhe vorgenommen; durch den übernommenen Verweis auf § 30 Absatz 2 Satz 3 OWiG in § 14 Absatz 5 alte Fassung ist eine Modifizierung in Form einer Verzehnfachung möglich.

Zu Nummer 3

Auf dritter Stufe (eine Millionen Euro) sind Verstöße gegen Absatz 1 und Absatz 2 Nummer 10 einzuordnen: Es tritt keine Veränderung der Bußgeldhöhe ein, der frühere Verweis auf § 30 Absatz 2 Satz 3 OWiG, wurde übernommen.

Zu Nummer 4

Für die vierte Stufe wurde ein Wert von 500.000 Euro angesetzt.

Für einen Verstoß gegen Absatz 2 Nummer 1 Buchstabe c (§ 18) ergab sich hierbei keine Veränderung. Verstöße gegen Aufsichts- und Durchsetzungsmaßnahmen nach § 63 Absatz 3 Satz 1, Absatz 6 Satz 1 und3 und Absatz 7 Satz 1 und 3 und Absatz 8, jeweils auch in Verbindung mit § 64, wurden aufgrund Ihrer Bedeutung ebenfalls auf dieser Stufe aufgenommen.

Auf dieser Stufe wurde ebenfalls ein Verstoß gegen Absatz 2 Nummer 6 und 8 aufgenommen. Bei diesem handelt es sich um einen Verstoß gegen die Registrierungspflichten.

Verstöße gegen Absatz 2 Nummern 11 bis 13 für Nichtbefolgung der Vorgaben für Maßnahmen auch für Top Level Domain Name Registries und Domain-Name-Registry-Dienstleister fallen ebenfalls unter diese Einstufung.

Für einen Verstoß gegen Absatz 2 Nummer 14 Variante 4 ergab sich keine Veränderungen in der Bußgeldhöhe.

Auf der vierten Stufe wurden zudem Verstöße gegen den neueingeführten Absatz 2 Nummer 14 Variante 1, 2 und 3aufgenommen. Bei der Einstufung wurde sich an der Bußgeldhöhe von Nummern 14 Variante 4 und Nummer 15, die in der vormaligen und jetzigen Fassung ebenfalls in dieser Höhe angesiedelt sind und im Unrechtsgehalt eine Entsprechung finden, orientiert.

Für Absatz 4 ergaben sich keine Veränderungen.

Zu Nummer 5

Als niedrigste Stufe wurde die frühere 100.000 Euro Stufe übernommen.

Hierbei ergaben sich für Verstöße gegen Absatz 2 Nummer 1 Buchstabe b, Nummer 7, 16 und Absatz 3 in der Bußgeldhöhe keine Veränderungen.

Zu Absatz 6

Absatz 6 schafft die von Artikel 34 Absatz 4 NIS-2-Richtlinie vorgesehene Grundlage, zur Verhängung eines Bußgeldes in Höhe von mindestens 2 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem der Betroffene angehört bei besonders wichtigen Einrichtungen, sofern ein Verstoß gegen Risikomanagementmaßnahmen oder Meldepflichten vorliegt.

Zu Absatz 7

Absatz 7 schafft die von Artikel 34 Absatz 5 der NIS-2-Richtlinie vorgesehene Grundlage, zur Verhängung eines Bußgeldes in Höhe von mindestens 1,4 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem der Betroffene angehört bei wichtigen Einrichtungen, sofern ein Verstoß gegen Risikomanagementmaßnahmen oder Meldepflichten vorliegt.

Zu Absatz 8

Absatz 8 konkretisiert die Bedeutung des in Absatz 6 und 7 verwendeten Begriffs des Jahresumsatzes.

Zu Absatz 9

Der Absatz 9 dient der Umsetzung des Artikel 34 Absatz 4 und 5 der NIS-2-Richtlinie. Auch bei fahrlässigen Verstößen gilt demnach die Bußgeldobergrenze, da die Begehungsform lediglich als Zumessungsgesichtspunkt genannt wird. (vgl. Art. 32 Absatz 7 Buchstabe e NIS-2-Richtlinie). Die Begehungsform ist daher im Rahmen der Zumessung der Geldbuße angemessen zu würdigen.

Zu Absatz 10

Absatz 10 führt den bisherigen § 14 Absatz 6 fort.

Zu Absatz 11

Absatz 11 dient der Umsetzung von Artikel 35 Absatz 2 der NIS-2-Richtlinie. Unabhängig dessen gilt das sich aus Artikel 103 Absatz 3 des Grundgesetzes ergebende verfassungsrechtliche Verbot der doppelten Ahndung einer Handlung („ne bis in idem“).

Beschlussempfehlung und Bericht des Innenausschusses

Zu § 65:

§ 65 wird durch den folgenden § 65 ersetzt:

㤠65

Bußgeldvorschriften

  1. Ordnungswidrig handelt, wer entgegen § 39 Absatz 1 Satz 1 in Verbindung mit einer Rechtsverordnung nach § 56 Absatz 4 Satz 1 einen Nachweis nicht richtig oder nicht vollständig erbringt.
  2. Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig
    1. einer vollziehbaren Anordnung nach
      1. 11 Absatz 6, § 16 Absatz 1 Satz 1 Nummer 1, auch in Verbindung mit Absatz 3, Nummer 2, § 17 Satz 1 oder § 39 Absatz 1 Satz 5,
      2. § 14 Absatz 2 Satz 1,
      3. den §§ 18, 40 Absatz 5 Satz 1 oder nach § 61 Absatz 3 Satz 1 oder Absatz 6 Satz 1 oder 3 oder Absatz 7 Satz 1 oder 3 oder Absatz 8, jeweils auch in Verbindung mit § 62, oder
      4. § 35 Absatz 1 Satz 1 oder § 36 Absatz 2 Satz 1
      5. zuwiderhandelt,
    2. entgegen § 30 Absatz 1 Satz 1 eine dort genannte Maßnahme nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig ergreift,
    3. entgegen § 30 Absatz 1 Satz 3 die Einhaltung der Verpflichtung nicht, nicht richtig oder nicht vollständig dokumentiert,
    4. entgegen § 32 Absatz 1 Satz 1 eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht,
    5. entgegen § 32 Absatz 2 Satz 2 eine Abschlussmeldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig vorlegt,
    6. entgegen § 33 Absatz 1 oder 2 Satz 1, jeweils auch in Verbindung mit einer Rechtsverordnung nach § 56 Absatz 4 Satz 1, oder entgegen § 34 Absatz 1 eine Angabe nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt,
    7. entgegen § 33 Absatz 2 Satz 2 nicht sicherstellt, dass er erreichbar ist,
    8. entgegen § 34 Absatz 2 das Bundesamt nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet,
    9. entgegen § 35 Absatz 2 Satz 1, auch in Verbindung mit Satz 2, eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht,
    10. entgegen § 39 Absatz 1 Satz 1 in Verbindung mit einer Rechtsverordnung nach § 56 Absatz 4 Satz 1 einen Nachweis nicht oder nicht rechtzeitig erbringt,
    11. entgegen § 41 Absatz 5 Satz 2 eine Mitteilung oder Angabe nicht, nicht richtig, nicht vollständig, oder nicht rechtzeitig macht,
    12. entgegen § 49 Absatz 3 Satz 1 eine dort genannte Vorgabe oder ein dort genanntes Verfahren nicht vorhält,
    13. entgegen § 49 Absatz 3 Satz 2 oder Absatz 4 eine dort genannte Vorgabe, ein dort genanntes Verfahren oder Daten nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig zugänglich macht,
    14. entgegen § 50 Absatz 1 Satz 1 einen Zugang nicht oder nicht rechtzeitig gewährt,
    15. entgegen § 52 Absatz 2 Satz 4, § 53 Absatz 1 Satz 4, § 54 Absatz 6 Satz 2 oder § 55 Absatz 4 Satz 1 ein dort genanntes Zertifikat, eine dort genannte Erklärung oder ein dort genanntes Kennzeichen verwendet,
    16. entgegen § 53 Absatz 3 Satz 2 oder § 54 Absatz 2 Satz 2 tätig wird oder
    17. entgegen § 61 Absatz 5 Satz 3 das Betreten eines dort genannten Raums nicht gestattet, eine dort genannte Aufzeichnung, ein dort genanntes Schriftstück oder eine dort genannte Unterlage nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig vorlegt oder eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt.
  3. Ordnungswidrig handelt, wer eine in Absatz 1 bezeichnete Handlung fahrlässig begeht.
  4. Ordnungswidrig handelt, wer gegen die Verordnung (EU) 2019/881 in der Fassung vom 19. Dezember 2024 verstößt, indem er vorsätzlich oder fahrlässig
    1. entgegen Artikel 55 Absatz 1 eine dort genannte Angabe nicht, nicht richtig, nicht vollständig oder nicht binnen eines Monats nach Ausstellung zugänglich macht oder
    2. entgegen Artikel 56 Absatz 8 Satz 1 eine Information nicht, nicht richtig, nicht vollständig oder nicht unverzüglich nach Feststellung einer Sicherheitslücke oder Unregelmäßigkeit gibt.
  5. Die Ordnungswidrigkeit kann geahndet werden:
    1. in den Fällen des Absatzes 2 Nummer 1 Buchstabe d, Nummer 2 bis 5 und 9,
      1. bei besonders wichtigen Einrichtungen nach § 28 Absatz 1 Satz 1 mit einer Geldbuße bis zu zehn Millionen Euro,
      2. bei wichtigen Einrichtungen im Sinne des § 28 Absatz 2 Satz 1 mit einer Geldbuße bis zu sieben Millionen Euro,
    2. in den Fällen des Absatzes 2 Nummer 11 mit einer Geldbuße bis zu fünf Millionen Euro,
    3. in den Fällen des Absatzes 2 Nummer 1 Buchstabe a mit einer Geldbuße bis zu zwei Millionen Euro,
    4. in den Fällen des Absatzes 1 und des Absatzes 2 Nummer 10 mit einer Geldbuße bis zu einer Million Euro,
    5. in den Fällen des Absatzes 2 Nummer 1 Buchstabe c, Nummer 6, 8, 12 bis 16 und des Absatzes 4 mit einer Geldbuße bis zu fünfhunderttausend Euro und
    6. in den Fällen des Absatzes 2 Nummer 1 Buchstabe b, Nummer 7 und 17 und des Absatzes 3 mit einer Geldbuße bis zu hunderttausend Euro
    7. In den Fällen des Satzes 1 Nummer 3 und 4 ist § 30 Absatz 2 Satz 3 des Gesetzes über Ordnungswidrigkeiten anzuwenden.
  6. Gegenüber einer besonders wichtigen Einrichtung im Sinne des § 28 Absatz 1 Satz 1 mit einem Gesamtumsatz von mehr als 500 Millionen Euro kann abweichend von Absatz 5 Satz 1 Nummer 1 Buchstabe a, auch in Verbindung mit § 30 Absatz 2 Satz 2 des Gesetzes über Ordnungswidrigkeiten, eine Ordnungswidrigkeit in den Fällen des Absatzes 2 Nummer 1 Buchstabe d, Nummer 2 bis 5 und 9 mit einer Geldbuße bis zu 2 Prozent des Gesamtumsatzes geahndet werden.
  7. Gegenüber einer wichtigen Einrichtung im Sinne des § 28 Absatz 2 Satz 1 mit einem Gesamtumsatz von mehr als 500 Millionen Euro kann abweichend von Absatz 5 Satz 1 Nummer 1 Buchstabe b, auch in Verbindung mit § 30 Absatz 2 Satz 2 des Gesetzes über Ordnungswidrigkeiten, eine Ordnungswidrigkeit in den Fällen des Absatzes 2 Nummer 1 Buchstabe d, Nummer 2 bis 5 und 9 mit einer Geldbuße bis zu 1,4 Prozent des Gesamtumsatzes geahndet werden.
  8. Gesamtumsatz im Sinne der Absätze 6 und 7 ist die Summe aller Umsatzerlöse, die das Unternehmen, dem die besonders wichtige Einrichtung oder die wichtige Einrichtung angehört, in dem der Behördenentscheidung vorausgegangenen Geschäftsjahr weltweit erzielt hat. Der Gesamtumsatz kann geschätzt werden.
  9. § 17 Absatz 2 des Gesetzes über Ordnungswidrigkeiten ist in den Fällen des Absatzes 5 Satz 1 Nummer 1 sowie der Absätze 6 und 7 nicht anzuwenden.
  10. Verwaltungsbehörde im Sinne des § 36 Absatz 1 Nummer 1 des Gesetzes über Ordnungswidrigkeiten ist
    1. in den Fällen des Absatzes 2 Nummer 11 das Bundesministerium des Innern und
    2. in den Fällen der Absätze 1, 3 und 4 sowie in den Fällen des Absatzes 2, die nicht in Nummer 1 genannt sind, das Bundesamt.
  11. Verhängen die in Artikel 55 oder 56 der Verordnung (EU) 2016/679 genannten Aufsichtsbehörden gemäß Artikel 58 Absatz 2 Buchstabe i der Verordnung (EU) 2016/679 eine Geldbuße, so darf eine weitere Geldbuße für einen Verstoß nach diesem Gesetz, der sich aus demselben Verhalten ergibt wie jener Verstoß, der Gegenstand der Geldbuße nach Artikel 58 Absatz 2 Buchstabe i der Verordnung (EU) 2016/679 war, nicht verhängt werden.“

Begründung

Zu § 65 Absatz 2:

Mit der Ergänzung von Nummer 11 wird das Unterlassen der in § 41 Absatz 5 vorgesehenen Mitwirkung des Betreibers einer kritischen Infrastruktur bei der Ermittlung des Sachverhaltes bußgeldbewehrt. Damit wird der Bedeutung der Mitwirkung des Betreibers für die Sachverhaltsaufklärung bei der Anwendung von § 41 Rechnung getragen.

Zu § 65 Absatz 5:

Angesichts der Signifikanz eines Verstoßes ist die Ahndung mit der Maximalhöhe von 10 Millionen Euro angesetzt.

Zu § 65 Absatz 6, 7, 8 und 9:

Es wurden redaktionelle Versehen korrigiert.