Artikel 36 Sanktionen

Summary What does Article 36 of the NIS 2 directive say?

This is a brief but important enforcement article that places an obligation on Member States to establish penalty frameworks for breaches of national measures implementing this Directive.

It sits alongside the more detailed Articles 32, 33, and 34, which deal with supervisory powers and administrative fines for specific entity types.

Article 36 acts as the overarching penalty mandate, ensuring that Member States have rules in place and that those rules meet a baseline standard.

Important points:

Member States must establish rules on penalties for infringements of national implementing measures, ensuring those penalties are effective, proportionate and dissuasive.
Member States are required to notify the Commission of their penalty rules and implementing measures by 17 January 2025.
Member States must also notify the Commission without delay of any subsequent amendments to those rules or measures.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

Die Mitgliedstaaten erlassen Vorschriften über Sanktionen, die bei Verstößen gegen die gemäß dieser Richtlinie erlassenen nationalen Maßnahmen zu verhängen sind, und treffen alle für die Anwendung der Sanktionen erforderlichen Maßnahmen. Die vorgesehenen Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein. Die Mitgliedstaaten teilen der Kommission diese Vorschriften und Maßnahmen bis zum 17. Januar 2025 mit und melden ihr unverzüglich alle diesbezüglichen Änderungen.

Relevant recitals

Erwägungsgrund 127 Consistent framework for enforcement powers

Für eine wirksame Durchsetzung sollte eine Mindestliste von Durchsetzungsbefugnissen, die bei Verstößen gegen die Verpflichtungen im Bereich des Cybersicherheitsrisikomanagements und die Berichtspflichten gemäß dieser Richtlinie ausgeübt werden können, festgelegt werden, womit für die gesamte Union ein klarer und kohärenter Rahmen für solche Durchsetzung geschaffen wird. Folgendem sollte gebührend Rechnung getragen werden: der Art, Schwere und Dauer des Verstoßes gegen diese Richtlinie, dem entstandenen materiellen oder immateriellen Schaden, der Frage, ob der Verstoß vorsätzlich oder fahrlässig begangen wurde, den Maßnahmen zur Vermeidung oder Minderung des entstandenen materiellen oder immateriellen Schadens, dem Grad der Verantwortlichkeit oder jeglichem früheren Verstoß, dem Umfang der Zusammenarbeit mit der Aufsichtsbehörde sowie jedem anderen erschwerenden oder mildernden Umstand. Die Durchsetzungsmaßnahmen, einschließlich Geldbußen, sollten verhältnismäßig sein, und für die Verhängung sollte es angemessene Verfahrensgarantien geben, die den allgemeinen Grundsätzen des Unionsrechts und der Charta der Grundrechte der Europäischen Union (die „Charta“), einschließlich des Rechts auf einen wirksamen Rechtsbehelf und ein faires Verfahren sowie der Unschuldsvermutung und des Rechts der Verteidigung, entsprechen.

Erwägungsgrund 128 No requirement for criminal or civil liabilities

Mit dieser Richtlinie werden die Mitgliedstaaten nicht verpflichtet, eine strafrechtliche oder zivilrechtliche Haftung gegenüber natürlichen Personen vorzusehen, die dafür verantwortlich sind, dass eine Einrichtung die Bestimmungen dieser Richtlinie für Schäden einhält, die Dritten infolge eines Verstoßes gegen diese Richtlinie entstanden sind.

Erwägungsgrund 129 Administrative fines

Um die wirksame Durchsetzung der in dieser Richtlinie festgelegten Verpflichtungen zu gewährleisten, sollte jede zuständige Behörde befugt sein, Geldbußen aufzuerlegen oder ihre Auferlegung zu beantragen.

Erwägungsgrund 130 Administrative fines for undertakings, persons and public authorities

Wird einer wesentlichen oder wichtigen Einrichtung, bei der es sich um ein Unternehmen handelt, eine Geldbuße auferlegt, sollte zu diesem Zweck der Begriff „Unternehmen“ im Sinne der Artikel 101 und 102 AEUV verstanden werden. Wird einer Person, bei der es sich nicht um ein Unternehmen handelt, eine Geldbuße auferlegt, so sollte die zuständige Behörde bei der geeigneten Bemessung der Geldbuße dem allgemeinen Einkommensniveau in dem betreffenden Mitgliedstaat und der wirtschaftlichen Lage der Personen Rechnung tragen. Die Mitgliedstaaten sollten bestimmen können, ob und inwieweit gegen Behörden Geldbußen verhängt werden können. Auch wenn die zuständigen Behörden bereits Geldbußen auferlegt haben, können sie ihre anderen Befugnisse ausüben oder andere Sanktionen verhängen, die in den nationalen Vorschriften zur Umsetzung dieser Richtlinie festgelegt sind.

Erwägungsgrund 131 Criminal penalties

Die Mitgliedstaaten sollten die strafrechtlichen Sanktionen für Verstöße gegen die nationalen Vorschriften zur Umsetzung dieser Richtlinie festlegen können. Die Verhängung von strafrechtlichen Sanktionen für Verstöße gegen solche nationalen Vorschriften und von entsprechenden verwaltungsrechtlichen Sanktionen sollte jedoch nicht zu einer Verletzung des Grundsatzes „ne bis in idem“, wie er vom Gerichtshof der Europäischen Union ausgelegt worden ist, führen.

Erwägungsgrund 132 National systems for administrative and criminal penalties

Soweit diese Richtlinie verwaltungsrechtliche Sanktionen nicht harmonisiert oder wenn es in anderen Fällen — beispielsweise bei einem schweren Verstoß gegen diese Richtlinie — erforderlich ist, sollten die Mitgliedstaaten eine Regelung anwenden, die wirksame, verhältnismäßige und abschreckende Sanktionen vorsieht. Die Art dieser Sanktionen und die Frage, ob es strafrechtliche oder verwaltungsrechtliche Sanktionen sind, sollte im nationalen Recht geregelt werden.

Erwägungsgrund 133 Temporary suspensions and prohibitions

Um die Wirksamkeit und Abschreckungskraft der Durchsetzungsmaßnahmen bei Verstößen gegen diese Richtlinie zu erhöhen, sollten die zuständigen Behörden befugt sein, die Zertifizierung oder Genehmigung für einen Teil oder alle von einer wesentlichen Einrichtung erbrachten relevanten Dienste vorübergehend auszusetzen oder dies zu beantragen, und zu verlangen, dass natürlichen Personen die Ausübung von Leitungsaufgaben auf Geschäftsführungs- bzw. Vorstandsebene oder Ebene des rechtlichen Vertreters vorübergehend untersagt wird. Angesichts ihrer Schwere und ihrer Auswirkungen auf die Tätigkeiten der Einrichtungen und letztlich auf die Nutzer sollten solche vorübergehenden Aussetzungen oder Verbote lediglich im Verhältnis zur Schwere des Verstoßes und unter Berücksichtigung der besonderen Umstände des Einzelfalls verhängt werden; hierzu zählen auch die Frage, ob der Verstoß vorsätzlich oder fahrlässig begangen wurde, sowie die zur Verhinderung oder Minderung des materiellen oder immateriellen erlittenen Schadens ergriffenen Maßnahmen. Solche vorübergehenden Aussetzungen oder Verbote sollten nur als letztes Mittel verhängt werden, also erst nachdem die anderen einschlägigen Durchsetzungsmaßnahmen nach dieser Richtlinie ausgeschöpft wurden, und nur so lange, bis die betreffende Einrichtung die erforderlichen Maßnahmen zur Behebung der Mängel ergreifen oder die Anforderungen der zuständigen Behörde, auf die sich solche vorübergehenden Aussetzungen oder Verbote beziehen, erfüllen. Für die Anwendung solcher vorübergehenden Aussetzungen oder Verbote sollte es angemessene Verfahrensgarantien geben, die den allgemeinen Grundsätzen des Unionsrechts und der Charta, einschließlich des Rechts auf wirksamen Rechtsschutz und ein faires Verfahren, der Unschuldsvermutung und der Verteidigungsrechte, entsprechen.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.