Wählen Sie Ihre Region: Singapur & Asien-Pazifik Europa Lateinamerika
RESGUARD
solutions

NIS2-Compliance in Zypern: Was jedes Unternehmen wissen muss

Die Digitale Sicherheitsbehörde, Sektorverpflichtungen und der Weg zur Compliance

Compliance Security Platform APAC
Startseite / Blog / Informationssicherheit
14. April 2026 Informationssicherheit 10 Min. Lesezeit

Die NIS2-Richtlinie (EU 2022/2555) erweitert den Geltungsbereich der Cybersicherheitsregulierung in der Europäischen Union erheblich. Für Zypern bedeutet dies eine wesentliche Zunahme der Anzahl von Organisationen, die nun verbindlichen Cybersicherheitsanforderungen, Meldepflichten bei Vorfällen und Managementhaftungsregeln unterliegen. Ob Sie im Energie-, Finanzdienstleistungs-, digitalen Infrastruktur-, Gesundheits- oder einem anderen Sektor tätig sind – NIS2 gilt wahrscheinlich für Ihre Organisation.

Zypern und die NIS2-Umsetzung

Die EU-Mitgliedstaaten mussten die NIS2-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen. Zypern befindet sich im Prozess der Umsetzung der Richtlinie durch nationales Recht, das die Aufsichtsverantwortung der Digitalen Sicherheitsbehörde (DSA) zuweist, die dem Ministerium für Forschung, Innovation und Digitalpolitik untersteht. Die DSA fungiert als zuständige Behörde und nationaler CSIRT-Koordinator in Zypern.

Organisationen in Zypern sollten nicht auf den Abschluss der nationalen Umsetzung warten, bevor sie mit ihrer NIS2-Compliance-Arbeit beginnen. Die Anforderungen der Richtlinie sind klar, und Aufsichtsbehörden werden erwarten, dass Organisationen ab dem Zeitpunkt des Inkrafttretens des nationalen Gesetzes Bereitschaft demonstrieren.

Welche Organisationen in Zypern betroffen sind

NIS2 unterscheidet zwischen zwei Kategorien von Einrichtungen, die jeweils unterschiedlichen Aufsichtsregimes und Sanktionsniveaus unterliegen:

Wesentliche Einrichtungen (WE)

Wesentliche Einrichtungen unterliegen einer proaktiven Ex-ante-Aufsicht und sind mit den höchsten Sanktionen konfrontiert (bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes). In Zypern als wesentlich eingestufte Sektoren umfassen:

  • Energie (Strom, Öl, Gas, Fernärme und -kälte, Wasserstoff)
  • Verkehr (Luft, Schiene, Wasser, Straße)
  • Banken- und Finanzmarktinfrastruktur
  • Gesundheitssektor (Krankenhäuser, Labore, Pharmahersteller, Medizinproduktehersteller)
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur (Internetknoten, DNS-Anbieter, TLD-Register, Cloud-Computing-Anbieter, Rechenzentren, CDN, Vertrauensdiensteanbieter, elektronische Kommunikationsnetze)
  • IKT-Dienstleistungsmanagement (Managed Service Provider und Managed Security Service Provider)
  • Öffentliche Verwaltung (Zentralregierung)
  • Raumfahrt

Wichtige Einrichtungen (WI)

Wichtige Einrichtungen unterliegen einer reaktiven Ex-post-Aufsicht (typischerweise ausgelöst durch Vorfälle oder Beschwerden) und haben niedrigere Sanktionsobergrenzen (bis zu 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes). Sektoren umfassen:

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Herstellung, Produktion und Vertrieb von Chemikalien
  • Lebensmittelproduktion, -verarbeitung und -vertrieb
  • Produktion (Medizinprodukte, Computer, Elektronik, Maschinen, Kraftfahrzeuge)
  • Digitale Anbieter (Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerkplattformen)
  • Forschungsorganisationen

Warum NIS2 für Zypern besonders relevant ist

Zypern hat ein einzigartiges wirtschaftliches Profil, das NIS2 besonders bedeutsam macht. Die Insel beherbergt eine große Konzentration von Finanzdienstleistungsunternehmen, Investmentgesellschaften, Fintech-Unternehmen und Schifffahrtsunternehmen – viele davon reguliert durch die Cyprus Securities and Exchange Commission (CySEC) und die Zentralbank von Zypern. Diese Sektoren fallen klar in den Geltungsbereich von NIS2 und müssen gleichzeitig Cybersicherheitspflichten nach NIS2 neben ihren bestehenden DSGVO-, MiFID-II- und AML-Compliance-Programmen managen.

Kernpflichten aus NIS2

NIS2 Artikel 21 legt die Mindestmaßnahmen des Cybersicherheits-Risikomanagements fest, die alle in den Anwendungsbereich fallenden Einrichtungen umsetzen müssen:

  • Risikoanalyse und Sicherheitsrichtlinien für Informationssysteme
  • Incident Handling – Erkennung, Analyse, Eindämmung und Wiederherstellung
  • Geschäftskontinuität – Backup-Management, Notfallwiederherstellung und Krisenmanagement
  • Lieferkettensicherheit – Sicherheit in Beziehungen mit direkten Lieferanten und Dienstleistern
  • Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen – einschließlich Schwachstellenbehandlung und -offenlegung
  • Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Cybersicherheits-Risikomanagementmaßnahmen
  • Grundlegende Cyber-Hygienepraktiken und Cybersicherheitsschulungen
  • Richtlinien und Verfahren zum Einsatz von Kryptographie und Verschlüsselung
  • Personalsicherheit, Zugangskontrollrichtlinien und Asset-Management
  • Einsatz von Multi-Faktor-Authentifizierung, gesicherten Sprach-, Video- und Textkommunikationen sowie verschlüsselten Kommunikationen

Meldepflichten bei Vorfällen

NIS2 führt strenge, rechtsverbindliche Meldefristen ein, die sich grundlegend von der freiwilligen Meldung nach bestehenden Rahmenwerken unterscheiden:

  • Frühwarnung – innerhalb von 24 Stunden nach Bekanntwerden eines erheblichen Vorfalls
  • Vorfallsmeldung – innerhalb von 72 Stunden mit einer ersten Einschätzung von Schwere und Auswirkungen
  • Abschlussbericht – innerhalb eines Monats nach der Vorfallsmeldung, einschließlich Grundursache, Auswirkungen und Abhilfemaßnahmen

Ein Vorfall gilt als „erheblich“, wenn er schwere Betriebsunterbrechungen, finanzielle Verluste oder materielle Schäden für andere Personen verursacht hat oder verursachen könnte. Organisationen in Zypern sollten diese Fristen in ihre Incident-Response-Verfahren einbauen, bevor ein Vorfall eintritt.

Managementhaftung nach NIS2

Eine der bedeutendsten Neuerungen von NIS2 ist die persönliche Haftung, die sie Managementorganen auferlegt. Nach Artikel 20 müssen Leitungsorganmitglieder Cybersicherheits-Risikomanagementmaßnahmen genehmigen, deren Umsetzung überwachen und Cybersicherheitsschulungen absolvieren, die ausreichen, um Risiken zu verstehen und zu bewerten. Einzelne Manager können bei Compliance-Versagen persönlich haftbar gemacht werden und bei wiederholten schwerwiegenden Verstößen vorübergehend von Führungsaufgaben ausgeschlossen werden.

NIS2-Readiness in Zypern erreichen

  1. Klassifizierung bestimmen: Bestätigen Sie, ob Ihre Organisation als wesentliche oder wichtige Einrichtung nach dem nationalen Umsetzungsgesetz eingestuft wird
  2. Bei der DSA registrieren: Sobald Registrierungsmechanismen etabliert sind, müssen betroffene Einrichtungen sich formal bei der Digitalen Sicherheitsbehörde registrieren
  3. Gap-Assessment durchführen: Messen Sie Ihre aktuelle Cybersicherheitslage gegenüber den NIS2-Artikel-21-Anforderungen
  4. Incident-Response-Verfahren aktualisieren: Integrieren Sie die 24h/72h/1-Monat-Meldefristen in Ihren IR-Prozess
  5. Vorstand einbeziehen: Stellen Sie sicher, dass das Management Cybersicherheitsmaßnahmen genehmigt und die erforderlichen Schulungen abschließt
  6. Lieferkettensicherheit stärken: Bewerten Sie die Sicherheitspraktiken Ihrer Hauptlieferanten und aktualisieren Sie Verträge entsprechend
  7. MFA und Verschlüsselung implementieren: Dies sind explizite Anforderungen nach Artikel 21(2)(j)

Fazit

NIS2 stellt eine grundlegende Veränderung der Cybersicherheitsregulierung für Zypern dar. Organisationen, die es als IT-Compliance-Checkliste statt als Governance-Transformation behandeln, werden sowohl bei der Umsetzung als auch bei der laufenden Aufsicht Schwierigkeiten haben. Ein strukturierter Ansatz – beginnend mit der Einrichtungsklassifizierung und Gap-Assessment, aufbauend durch Richtlinien, Schulungen und technische Kontrollen – ist der wirksamste Weg zur Compliance.

Zypern NIS2 Cybersicherheit DSA Zypern Informationssicherheit

Weiterlesen

Verwandte Artikel

DSGVO-Leitfaden für Zypern

Gesetz 125(I)/2018 und der Beauftragte für den Schutz personenbezogener Daten erklärt.

ISO 27001 für zypriotische Unternehmen

Ein Fahrplan zur ISO-27001-Zertifizierung in Zypern.

NIS2-Richtlinie EU-Leitfaden

Vollständiger Überblick über NIS2-Pflichten in allen EU-Mitgliedstaaten.

Bleiben Sie Informiert

Entdecken Sie Unsere Compliance-Lösungen

Durchstöbern Sie alle unsere Cyber-Compliance-Ressourcen oder erfahren Sie, wie unsere Plattform und Expertendienste Ihrer Organisation helfen können, Compliance zu erreichen und aufrechtzuerhalten.

Alle Artikel Kontakt
Kontaktformular