Cybersicherheit ist nicht mehr nur Sache der technischen Abteilung. Für mehrere Unternehmen in Griechenland ist sie zu einer rechtlichen Pflicht, einer Leitungsfrage und einer Frage der Geschäftskontinuität geworden. Die NIS2-Richtlinie und das griechische Gesetz 5160/2024 ändern den Umgang mit Cyberrisiken in kritischen Sektoren: Energie, Verkehr, Gesundheit, Finanzdienstleistungen, digitale Infrastrukturen, Lebensmittel, Kurierdienste, Herstellung, Forschung, Produktion bestimmter Waren und andere Tätigkeiten, die Wirtschafts- und Gesellschaftsleben beeinflussen können.
Einfach gesagt fragt der Staat nicht mehr nur: "Haben Sie Antivirus?" Er fragt, ob das Unternehmen weiß, welche Systeme es hat, welche Lieferanten Zugriff haben, wer bei einem Vorfall entscheidet, wann die Behörde informiert wird, ob Backups bestehen, ob die Leitung Richtlinien genehmigt hat und ob all das nachgewiesen werden kann.
NIS2 ist nicht nur eine technische Checkliste
Die Unternehmensleitung braucht ein dokumentiertes Bild von Systemen, Lieferanten, Backups, Rollen, Vorfällen und Meldungen. Das bedeutet Entscheidungen, Aufzeichnungen und Kontrolle der Umsetzung, nicht nur den Kauf neuer Software.
Dieser Artikel erklärt praktisch, wen NIS2 in Griechenland betrifft, was ein Unternehmen prüfen muss und welche ersten Schritte sinnvoll sind, bevor das Thema dringend wird.
Was NIS2 ist und warum es uns jetzt betrifft
NIS2 ist die zweite europäische Richtlinie zur Sicherheit von Netz- und Informationssystemen. Sie ersetzte die frühere NIS1 und erweiterte den Anwendungsbereich erheblich. Griechenland hat sie mit Gesetz 5160/2024 in nationales Recht umgesetzt, veröffentlicht im Regierungsblatt A' 195/27.11.2024.
Die Grundidee ist einfach: Wenn ein Unternehmen oder eine Stelle einen Dienst erbringt, der für Markt, Gesellschaft oder öffentliche Funktion kritisch ist, kann Cybersicherheit nicht als freiwillige Ausgabe behandelt werden. Es muss ein organisiertes System für Prävention, Risikomanagement, Vorfallbehandlung und Meldung schwerwiegender Ereignisse geben.
NIS2 betrifft nicht nur "große Banken" oder "staatliche Stellen". Sie betrifft auch private Unternehmen, die in bestimmten Sektoren tätig sind und Größenkriterien oder besondere Voraussetzungen erfüllen. Deshalb lautet die erste praktische Frage für jedes Unternehmen: "Falle ich in den Anwendungsbereich oder nicht?"
Welche Unternehmen betroffen sein können
Das griechische Gesetz bewegt sich um zwei Kategorien: "wesentliche Einrichtungen" und "wichtige Einrichtungen". Das sind keine bloßen Etiketten. Die Kategorie beeinflusst Aufsicht, Pflichten und die Art, wie das Unternehmen seine Compliance organisieren muss.
In der Regel werden zwei Dinge geprüft: Tätigkeitssektor und Unternehmensgröße. Mittlere und große Unternehmen in kritischen Sektoren sind die ersten, die eine Betroffenheitsprüfung durchführen müssen. Es gibt aber auch Fälle, in denen die Einbeziehung unabhängig von der Größe gelten kann, etwa bei bestimmten Anbietern digitaler oder elektronischer Dienste, Vertrauensdiensteanbietern, Registern für Domainnamen und DNS-Diensten.
Indikative Prüftabelle
| Frage | Warum sie wichtig ist | Praktischer Schritt |
|---|---|---|
| In welchem Sektor ist das Unternehmen tätig? | NIS2 gilt für bestimmte Sektoren hoher oder anderer Kritikalität. | Vergleichen Sie Unternehmenszweck, tatsächliche Tätigkeit und Verträge mit den Anhängen des Gesetzes 5160/2024. |
| Ist es ein mittleres oder großes Unternehmen? | Die Größe ist für viele Kategorien ein zentrales Einbeziehungskriterium. | Prüfen Sie Beschäftigte, Umsatz und Bilanz anhand der KMU-Kriterien. |
| Erbringt es kritische Dienste für andere Unternehmen? | Die Auswirkung einer Unterbrechung kann die Bedeutung der Einrichtung erhöhen. | Kartieren Sie Kunden, SLA, öffentliche Dienste und kritische Abhängigkeiten. |
| Hat es digitale Infrastrukturen, Cloud, Managed Services oder Security Services? | Digitale Anbieter sind in NIS2 besonders wichtig. | Prüfen Sie, ob Sie unter DNS, Cloud, Data Center, MSP, MSSP oder Online-Marktplätze fallen. |
| Besteht eine Pflicht zur Registrierung auf der Selbstmeldeplattform? | Die Registrierung ist eine rechtliche Pflicht für erfasste Einrichtungen. | Führen Sie eine dokumentierte Bewertung durch und registrieren Sie sich, soweit erforderlich, auf nis2register.cyber.gov.gr. |
Beispiele für Unternehmen, die NIS2 ernsthaft prüfen sollten
Ein Kurierunternehmen mit ausgedehntem Liefernetz riskiert nicht nur den Verlust von E-Mails. Wenn Routing-, Paketverfolgungs- oder Abrechnungssysteme ausfallen, kann die Unterbrechung Kunden, Partner und den Markt betreffen. Ein Lebensmittelunternehmen mit industrieller Produktion hat nicht nur ein Handelsrisiko. Wenn ein Vorfall Produktionslinie, Rückverfolgbarkeit oder Kühlkette betrifft, kann das Problem betrieblich und regulatorisch werden.
Dasselbe gilt für Technologieanbieter. Ein Unternehmen, das Managed IT für viele Kunden anbietet, kann zum "zentralen Korridor" eines Angriffs werden. Wenn das Fernverwaltungswerkzeug kompromittiert wird, ist nicht nur das Unternehmen selbst betroffen, sondern auch seine Kunden. Hier betont NIS2 die Sicherheit der Lieferkette und die Beziehungen zu unmittelbaren Lieferanten oder Dienstleistern.
Praktisch werden viele griechische Unternehmen die Antwort nicht nur aus ihrer Bezeichnung finden. Sie müssen ansehen, was sie tatsächlich tun. Ein "IT-Unternehmen", das Geräte im Einzelhandel verkauft, ist etwas anderes als ein Unternehmen, das Cloud-, Data-Center-, Cybersicherheits- oder Infrastrukturmanagementdienste für kritische Kunden betreibt.
Was "wesentliche" und "wichtige" Einrichtung bedeutet
Wesentliche Einrichtungen sind mit höherer Kritikalität verbunden. Praktisch bedeutet das erhöhte Aufmerksamkeit, größere Wahrscheinlichkeit präventiver Aufsicht und höhere Dokumentationsanforderungen. Wichtige Einrichtungen sind keine "lockere" Kategorie. Auch sie haben substanzielle Pflichten; nur Art der Aufsicht und Intensität der Kontrollen können sich unterscheiden.
Der Unterschied ist auch bei Bußgeldern wichtig. Für Verstöße im Zusammenhang mit Risikomanagementmaßnahmen oder Pflichten zur Vorfallmeldung sieht Gesetz 5160/2024 Höchstgrenzen vor, die für wesentliche Einrichtungen bis zu 10.000.000 Euro oder 2% des weltweiten Jahresumsatzes und für wichtige Einrichtungen bis zu 7.000.000 Euro oder 1,4% des weltweiten Jahresumsatzes erreichen können, je nachdem, welcher Betrag höher ist.
Diese Beträge bedeuten nicht, dass jeder Verstoß automatisch zum Höchstbußgeld führt. Sie bedeuten aber, dass Compliance nicht in einem Ordner mit allgemeinen Richtlinien verbleiben kann. Die Leitung muss zeigen können, dass sie das Risiko verstanden, Maßnahmen genehmigt, Ressourcen bereitgestellt und die Umsetzung überwacht hat.
Selbstmeldeplattform und erste Verwaltungspflicht
Die Nationale Cybersicherheitsbehörde hat eine Registrierungsplattform für Einrichtungen nach Gesetz 5160/2024 in Betrieb genommen. Die Registrierung betrifft keine natürlichen Personen, sondern juristische Personen und Stellen, die in den Anwendungsbereich fallen. Die Plattform verlangt Angaben wie Grunddaten der Einrichtung, gesetzlichen Vertreter, Art der Dienste, IP-Ranges und Domainnamen.
Das ist wichtig, weil es die Logik des Gesetzes zeigt. Die Behörde will nicht nur wissen, "wer existiert". Sie will ein Bild der digitalen Oberflächen haben, die kritische Dienste unterstützen. Ein Unternehmen, das Domains, Systeme, öffentliche IPs, Anbieter und Zugangspunkte nicht erfasst hat, wird sich sowohl bei der Registrierung als auch bei der eigentlichen Compliance schwertun.
Der richtige Ansatz ist nicht: "Registrieren wir uns schnell und sehen dann weiter." Richtig ist eine interne Prüfung: Betroffenheit, Kategorie, Dienste, Systeme, Verantwortliche, Lieferanten, einzureichende Angaben und Verfahren zur Aktualisierung bei Änderungen.
Was ein Unternehmen praktisch tun muss
NIS2 verlangt nicht von allen Unternehmen dieselben Werkzeuge. Sie verlangt aber geeignete und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen. Das bedeutet: Ein Unternehmen mit 250 Beschäftigten, Cloud-ERP, Produktionssystemen und Dutzenden Lieferanten kann nicht dieselbe Reife haben wie ein kleines Büro. Verhältnismäßigkeit ist keine Entschuldigung für Untätigkeit. Sie ist ein Weg, Maßnahmen passend zum realen Risiko zu gestalten.
Erste Compliance-Schritte
| Schritt | Was wir tun | Was als Nachweis bleiben sollte |
|---|---|---|
| 1. Betroffenheitsprüfung | Sektor, Größe, Dienste und besondere Kategorien prüfen. | Kurzes Betroffenheitsmemo mit rechtlicher und technischer Dokumentation. |
| 2. Systemkartierung | Kritische Systeme, Domains, IP, Anwendungen, Cloud, Backups erfassen. | Asset Register, Netzwerkdiagramm, Liste von Anbietern und Verantwortlichen. |
| 3. Risk Assessment | Wahrscheinlichkeit, Auswirkung und Risikoprioritäten bewerten. | Risikotabelle, Datum, Teilnehmer, Managemententscheidung. |
| 4. Risk Treatment Plan | Maßnahmen wählen: MFA, Backups, Logging, Patching, Endpoint Security, Incident Response. | Maßnahmenplan mit Verantwortlichem, Frist und Status. |
| 5. Incident-Response-Verfahren | Festlegen, wer bei einem Vorfall was tut. | Playbook, Kontaktliste, Meldetemplate, Übungen. |
| 6. Schulung | Leitung und Personal mindestens jährlich schulen. | Teilnehmerlisten, Schulungsmaterial, kurze Verständnischecks. |
| 7. Lieferantenprüfung | Sicherheitsanforderungen für IT, Cloud, ERP, MSP, MSSP, Payroll, Logistics festlegen. | Vertragsklauseln, Security Questionnaires, SLA, DPA soweit erforderlich. |
Die Maßnahmen sind nicht nur technisch
Viele Unternehmen hören "Cybersicherheit" und denken an Firewall. NIS2 ist breiter. Sie umfasst Richtlinien zur Risikoanalyse, Vorfallmanagement, Geschäftskontinuität, Backups und Wiederherstellung, Sicherheit der Lieferkette, sichere Entwicklung und Wartung von Systemen, Bewertung der Wirksamkeit von Maßnahmen, Cyberhygiene, Schulung, Verschlüsselung, Zugriffskontrolle, Asset Management und Multifaktor-Authentifizierung.
Der entscheidende Punkt ist die Verbindung technischer Maßnahmen mit Leitungsverantwortung. Wenn das Unternehmen MFA hat, aber nicht weiß, auf welchen Konten es nicht angewandt wird, besteht eine Lücke. Wenn es Backups hat, aber Restore nie getestet hat, besteht eine Lücke. Wenn es einen IT-Anbieter hat, aber keinen Vertrag, der sagt, wann er über einen Vorfall informiert, besteht eine Lücke. Wenn es eine Sicherheitsrichtlinie hat, die Beschäftigte nicht kennen, besteht eine Lücke.
Der Gemeinsame Ministerialbeschluss 1689/2025 über den Nationalen Rahmen für Cybersicherheitsanforderungen macht diese Logik noch praktischer. Er spricht über technische, betriebliche und organisatorische Maßnahmen, einen ganzheitlichen Risikoansatz, Verhältnismäßigkeit und Nachweise: Richtlinien, Verfahren, Sitzungsprotokolle des Verwaltungsrats, Verträge, Schulungsnachweise, Netzwerkdiagramme, Pläne zur Geschäftskontinuität, Auditberichte und andere Elemente, die zeigen, dass Compliance umgesetzt wird.
Vorfallmeldung: die 24 Stunden und 72 Stunden
Einer der praktischsten und schwierigsten Punkte ist die Meldung erheblicher Vorfälle. Das Gesetz sieht vor, dass wesentliche und wichtige Einrichtungen erhebliche Vorfälle der zuständigen CSIRT der Nationalen Cybersicherheitsbehörde melden. Als erheblich gilt unter anderem ein Vorfall, der eine schwerwiegende betriebliche Störung oder finanzielle Verluste verursacht hat oder verursachen kann, oder der andere natürliche oder juristische Personen mit erheblichem materiellem oder immateriellem Schaden betreffen kann.
Der Zeitdruck ist groß. Eine Frühwarnung muss ohne unangemessene Verzögerung und jedenfalls innerhalb von 24 Stunden ab dem Zeitpunkt erfolgen, zu dem die Einrichtung von dem erheblichen Vorfall Kenntnis erlangt hat. Eine vollständigere Vorfallmeldung muss innerhalb von 72 Stunden folgen. Ein Abschlussbericht wird grundsätzlich spätestens innerhalb eines Monats nach der Meldung eingereicht.
Das bedeutet, dass Incident Response nicht erst nach dem Ereignis geschrieben werden kann. Sie muss vorher bestehen. Wer entscheidet, dass ein Vorfall "erheblich" ist? Wer spricht mit der technischen Mannschaft? Wer informiert Rechtsberater, DPO, Leitung, Kunden oder Behörde? Wer sichert Beweise, ohne sie zu verändern? Wenn das nicht vorher entschieden ist, gehen die ersten 24 Stunden verloren.
NIS2, DSGVO und personenbezogene Daten
NIS2 hebt die DSGVO nicht auf. Häufig wirken sie zusammen. Ein Ransomware-Vorfall im ERP kann zugleich ein Cybersicherheitsvorfall und eine Verletzung personenbezogener Daten sein. Ein Kundendatenleck kann sowohl nach DSGVO als auch nach Gesetz 5160/2024 zu bewerten sein, wenn das Unternehmen wesentliche oder wichtige Einrichtung ist.
Die praktische Folge ist, dass das Unternehmen drei Rollen koordinieren muss: technische Mannschaft oder externer IT-Anbieter, Rechtsberater und Datenschutzbeauftragter, soweit vorhanden. Es reicht nicht, dass IT "die Lücke schließt". Es muss bewertet werden, ob eine Meldepflicht besteht, welche Daten vorliegen, wer betroffen ist, was gesagt werden muss und innerhalb welcher Frist.
Lieferantenverträge: der oft vergessene Punkt
Die Lieferkette ist einer der wichtigsten Punkte der NIS2. Praktisch laufen viele Angriffe über Lieferanten: Remote-Access-Tools, Cloud-Konsolen, ERP-Software, E-Mail-Dienste, Hosting, Domain Management, outsourced Support, Backup-Dienste. Wenn der Lieferant schwache Zugriffskontrollen hat, Updates schlecht verwaltet oder verspätet informiert, wird das Hauptunternehmen exponiert.
Verträge mit IT-Anbietern müssen konkreter werden. Sie sollten Sicherheitsniveaus, Pflicht zur Benachrichtigung über Vorfälle, Reaktionszeiten, Zuständigkeiten bei forensischer Prüfung, Zugriff auf Logs, Backup-Politik, Geografie der Datenspeicherung, Pflichten von Unterauftragnehmern und Exit-Verfahren festlegen. Das ist kein "juristisches Detail". Es ist der Unterschied zwischen einem Unternehmen, das weiß, wer was tut, und einem Unternehmen, das in der Krise Verträge sucht.
Praktisches Beispiel
Nehmen wir ein mittleres griechisches Logistikunternehmen, das Cloud-ERP, Bestellanwendung, Tracking-System, Unternehmens-E-Mail, Handheld-Geräte in Lagern und einen externen IT-Anbieter nutzt. Die Leitung meint, "das hat der Anbieter". In Wirklichkeit muss das Unternehmen wissen, ob es NIS2 unterliegt, welche Systeme kritisch sind, welche Daten es hält, welche Unterbrechung Lieferungen stoppen würde und wer Administratorrechte hat.
Der erste ernste Schritt ist nicht, noch ein Werkzeug zu kaufen. Er besteht darin, eine Karte zu erstellen: Systeme, Rollen, Lieferanten, Risiken, Backups, Zugriff, Verträge, Vorfallplan. Danach kann es priorisieren: MFA auf allen kritischen Konten, Begrenzung von Adminrechten, Backup-Restore-Test, Logging, Endpoint Protection, Patch Management, Schulung des Personals, Klauseln mit Lieferanten und Übung zur Vorfallbehandlung.
Wenn ein Vorfall eintritt, kann das Unternehmen antworten: wann es ihn bemerkte, was betroffen war, ob er erheblich ist, wer informiert wurde, welche Maßnahmen ergriffen wurden, welche Daten gesichert wurden und ob eine Meldepflicht besteht. Das ist der praktische Wert von Compliance.
Was ein Unternehmen ab morgen früh tun sollte
Es muss nicht mit einem perfekten Programm beginnen. Es muss in der richtigen Reihenfolge beginnen.
Erstens eine Betroffenheitsprüfung nach Sektor, Größe und tatsächlichen Diensten durchführen. Zweitens eine Projektverantwortung mit Beteiligung der Leitung festlegen, nicht nur IT. Drittens kritische Systeme, Lieferanten, Domains und IP-Ranges erfassen. Viertens ein Risk Assessment und einen Maßnahmenplan vorbereiten. Fünftens prüfen, ob eine Pflicht zur Registrierung auf der Selbstmeldeplattform besteht. Sechstens ein Incident-Response-Playbook mit 24/72-Stunden-Verfahren erstellen. Siebtens Verträge mit wichtigen Anbietern überprüfen.
Das nützlichste Kriterium ist einfach: Wenn morgen der Zugang zu E-Mail, ERP oder Produktionssystem verloren geht, wissen wir, wer entscheidet, wer informiert, wer wiederherstellt und was gemeldet werden muss? Wenn die Antwort nein lautet, hat das Unternehmen Arbeit vor sich.
Häufige Fragen
Betrifft NIS2 kleine Unternehmen?
Grundsätzlich zielt sie vor allem auf mittlere und große Unternehmen in bestimmten kritischen Sektoren. Es gibt aber besondere Fälle, in denen die Einbeziehung unabhängig von der Größe gelten kann, insbesondere bei bestimmten digitalen Diensten. Ein kleines Unternehmen, das Lieferant einer wesentlichen oder wichtigen Einrichtung ist, kann außerdem strengere vertragliche Anforderungen erhalten, auch wenn es nicht unmittelbar unterliegt.
Wenn wir ISO 27001 haben, sind wir abgedeckt?
ISO 27001 hilft sehr, ist aber keine automatische Befreiung. Es braucht eine Zuordnung der Kontrollen zu den Anforderungen des Gesetzes 5160/2024 und des Gemeinsamen Ministerialbeschlusses 1689/2025, besonders bei Reporting, Leitungsverantwortung, Lieferkette und Dokumentation.
Müssen wir die Behörde immer bei jedem technischen Problem informieren?
Nein. Die Pflicht betrifft erhebliche Vorfälle, also Vorfälle mit schwerwiegender betrieblicher, finanzieller oder anderer Auswirkung im Sinne des Gesetzes. Deshalb braucht es ein internes Bewertungskriterium und keine Panik bei jedem Alert.
Wer sollte im Unternehmen übernehmen?
Das technische Team ist notwendig, aber Verantwortung ist nicht nur technisch. Es braucht Beteiligung von Leitung, Rechtsberater, Finanzleitung, DPO, soweit vorhanden, operativ Verantwortlichen und Einkauf. NIS2 ist ein Risikomanagementprogramm, kein einzelnes IT-Projekt.
Was riskiert ein Unternehmen zu zahlen?
Das Gesetz sieht hohe Bußgeldobergrenzen vor, besonders bei Verstößen gegen Risikomanagementmaßnahmen und Vorfallmeldungen. Neben Bußgeldern gibt es reale Kosten: Betriebsunterbrechung, Kundenverlust, Schadensersatz, Kontrollen, Veröffentlichung von Verstößen und Wiederherstellungskosten.
Fazit
NIS2 in Griechenland ist nicht noch ein Compliance-Papier. Es ist ein Mentalitätswechsel. Das Unternehmen muss seine Systeme kennen, Risiken bewerten, Menschen schulen, Lieferanten prüfen, einen Vorfallplan haben und nachweisen können, dass all das angewandt wird.
Für betroffene Unternehmen ist das schlechteste Szenario, auf den ersten schweren Vorfall zu warten, um sich zu organisieren. Besser ist, mit einer klaren Betroffenheitsprüfung und einem praktischen Compliance-Plan zu beginnen. Nicht um Ordner zu füllen, sondern damit das Unternehmen weiterarbeiten kann, wenn etwas schiefgeht.
Quellen und nützliche Hinweise
- Nationale Cybersicherheitsbehörde, NIS2-Richtlinie: Nationale Cybersicherheitsbehörde - NIS2-Richtlinie
- Registrierungsplattform für Einrichtungen nach Gesetz 5160/2024: Registrierungsplattform für NIS2-Einrichtungen
- FAQ der NIS2-Plattform: https://nis2register.cyber.gov.gr/app/content/faq/FAQs_NIS2.pdf
- Gesetz 5160/2024, Regierungsblatt A' 195/27.11.2024: Gesetz 5160/2024 - Umsetzung von NIS2 in Griechenland
- Gemeinsamer Ministerialbeschluss 1689/2025, Nationaler Rahmen für Cybersicherheitsanforderungen: https://cyber.gov.gr/wp-content/uploads/2025/05/20250202186.pdf
- Europäische Kommission, NIS2 Directive: https://digital-strategy.ec.europa.eu/en/policies/nis2-directive
- EUR-Lex, Directive (EU) 2022/2555: Richtlinie (EU) 2022/2555 - NIS2
Comments
Share your thoughts about this article.
No comments yet. Be the first to comment.
Submit a comment