NIS 2 Status in Estland
Was die Richtlinie fordert, wie Estland sie über das Cybersicherheitsgesetz umsetzt, und wo die RIA im Bild steht.
Überblick
Die NIS 2 Richtlinie ist die EU-Ebene. Sie bindet jeden Mitgliedstaat, auch Estland, mit einem einheitlichen Mindestniveau für wesentliche und wichtige Einrichtungen. Estland muss dieses Niveau in estnisches Recht überführen und eine Aufsicht darunter führen.
Estland setzt NIS 2 über Änderungen am bestehenden Küberturvalisuse seadus (Cybersicherheitsgesetz) um, nicht über ein völlig neues Gesetz. Das Riigikogu (estnisches Parlament) hat die Änderungen im Dezember 2025 verabschiedet, in Kraft sind sie seit dem 1. Januar 2026. Die EU-Umsetzungsfrist vom 17. Oktober 2024 wurde verfehlt, weshalb die Europäische Kommission Estland im Mai 2025 eine begründete Stellungnahme zugestellt hat.
Die Riigi Infosüsteemi Amet (RIA, Behörde für das staatliche Informationssystem) ist die zuständige nationale Behörde und zentrale Anlaufstelle. CERT-EE, das nationale CSIRT, sitzt organisatorisch innerhalb der RIA. Die Selbstregistrierung in scope befindlicher Einrichtungen läuft über die RIA. Berichten zufolge gilt nach Inkrafttreten ein anfängliches Selbstregistrierungsfenster, das in das Frühjahr 2026 reicht.
EU Richtlinie
Richtlinie (EU) 2022/2555 (NIS 2)
Die EU-weite Cybersicherheitsrichtlinie. Sie legt die Pflichten fest, die jeder Mitgliedstaat umzusetzen hat, einschließlich der Größen- und Sektorprüfung für wesentliche und wichtige Einrichtungen.
EU Durchführung
Durchführungsverordnung (EU) 2024/2690
Technische und methodische Maßnahmen für Anbieter digitaler Infrastruktur. In Estland unmittelbar anwendbar, ohne nationale Umsetzung.
Estnische Umsetzung
Küberturvalisuse seadus, NIS 2 Änderungen seit 1. Januar 2026 in Kraft
Die estnische NIS 2 Umsetzung ist ein Änderungspaket zum bestehenden Cybersicherheitsgesetz, ergänzt durch untergesetzliche Verordnungen und RIA-Leitlinien. Der regulierte Perimeter wächst nach Angaben der Gesetzesbegründung deutlich über die bisherigen rund 3.500 Einrichtungen hinaus, vor allem in Energie, Verkehr, Gesundheit, digitaler Infrastruktur und öffentlicher Verwaltung.
Küberturvalisuse seadus, für NIS 2 geändert
Estland hat kein neues Cybersicherheitsgesetz geschrieben. Das bestehende Küberturvalisuse seadus wurde geändert, um die NIS 2 Pflichten aufzunehmen: die Kategorien wesentliche und wichtige Einrichtung, die Aufsichtsbefugnisse der RIA, Meldepflichten und Sanktionen. Der operative Detailrahmen wird über Durchführungsverordnungen und RIA-Leitlinien geregelt.
RIA als zuständige Behörde, CERT-EE als CSIRT
Die RIA (Riigi Infosüsteemi Amet, Behörde für das staatliche Informationssystem) ist die zuständige nationale Behörde und zentrale Anlaufstelle nach NIS 2. CERT-EE, das nationale CSIRT, sitzt organisatorisch in der RIA und bearbeitet Vorfallmeldungen sowie die Koordination. Sektorregulatoren behalten ihre Rolle dort, wo Lex specialis gilt.
Registrierung und Meldung
Die Änderungen am Cybersicherheitsgesetz sind am 1. Januar 2026 in Kraft getreten. Berichten zufolge gilt für betroffene Einrichtungen ein anfängliches Selbstregistrierungsfenster von rund drei Monaten ab Inkrafttreten. Den genauen Ablauf prüfen Unternehmen am besten gegen die aktuelle RIA-Leitlinie. Erhebliche Sicherheitsvorfälle folgen der Richtlinie: Frühwarnung in 24 Stunden, Meldung in 72 Stunden, Abschlussbericht in einem Monat.
In Estland gilt estnisches Recht
Aktivitäten auf estnischem Staatsgebiet folgen der estnischen Umsetzung. Ein deutscher Geschäftsführer mit estnischer Tochter liest für diese Tochter das Küberturvalisuse seadus, nicht das BSIG. Die Richtlinienpflichten sind identisch. Verfahren, Anlaufstelle und Sanktionen liegen jedoch im estnischen Recht und unter Aufsicht der RIA.
Estland darf nicht unter das EU Niveau fallen
Die Richtlinie ist eine Mindestharmonisierung. Estland darf strenger werden und ist es angesichts der hohen digitalen Reife in einzelnen Sektoren auch. Estland darf aber nicht unter die Richtlinie fallen, weder bei den Pflichten für wesentliche und wichtige Einrichtungen, noch bei Meldefristen, noch bei der Verantwortung des Leitungsorgans.
RIA
Riigi Infosüsteemi Amet, die Behörde für das staatliche Informationssystem. Zuständige nationale Behörde, zentrale Anlaufstelle und Cybersicherheitsregulator nach NIS 2. Betreibt das nationale Cybersicherheitszentrum, veröffentlicht Leitlinien, führt die Aufsicht und koordiniert die Vorfallbearbeitung über CERT-EE.
CERT-EE
Das estnische nationale CSIRT, organisatorisch Teil der RIA. Nimmt Vorfallmeldungen entgegen, koordiniert die Reaktion über den öffentlichen Sektor und kritische Infrastrukturen hinweg und ist an das EU CSIRTs Netzwerk angebunden.
ENISA
Die EU Cybersicherheitsagentur. Veröffentlicht Leitlinien, betreibt die europäische Schwachstellendatenbank und koordiniert grenzüberschreitend. Keine Aufsicht für estnische Einrichtungen. Die liegt bei der RIA.
Estland ist EU-Mitglied, also gilt hier das deutsche NIS2UmsuCG.
Jeder Mitgliedstaat setzt die Richtlinie in eigenes nationales Recht um. Eine estnische Tochter folgt dem Küberturvalisuse seadus unter Aufsicht der RIA, auch wenn die Mutter in Deutschland sitzt. Vorfallmeldungen gehen an CERT-EE, nicht an das BSI. Die Pflichten sind auf Richtlinienebene angeglichen, Verfahren und Aufsicht aber estnisch.
Es gibt keine sichtbare NIS 2 Liste in Estland, also können wir warten.
Die Änderungen am Cybersicherheitsgesetz verlangen, dass in scope befindliche Einrichtungen sich nach Inkrafttreten am 1. Januar 2026 bei der RIA selbst registrieren. Ob ein öffentliches Verzeichnis nach außen sichtbar ist, ist eine andere Frage. Die Registrierungspflicht greift, sobald die Einrichtung die Größen- und Sektorprüfung erfüllt. Auf sichtbare Vollstreckung zu warten ist der häufigste Fehler.
Wir sind kein klassischer kritischer Sektor, NIS 2 gilt also nicht für uns.
Der NIS 2 Perimeter ist deutlich breiter als die alte NIS 1 OES Liste. Sektoren wie Abfallwirtschaft, Post- und Kurierdienste, bestimmte Fertigung, Lebensmittelproduktion und digitale Anbieter sind nach Anhang II erfasst, wenn die Größenprüfung greift. Öffentliche Verwaltungen und bestimmte digitale Anbieter sind unabhängig von der Größe drin. Die Prüfung läuft gegen den Sektorenanhang der Richtlinie, nicht über das eigene Gefühl, kritisch zu sein.
Estland ist mit hoher digitaler Reife in die NIS 2 Umsetzung gegangen. Die RIA betrieb bereits das nationale Cybersicherheitszentrum, CERT-EE war bereits operativ, das Cybersicherheitsgesetz existierte bereits. Der NIS 2 Schritt war keine neue Architektur, sondern ein breiterer Anwendungsbereich und eine schärfere Steuerung: mehr Sektoren erfasst, formalisierte Verantwortung des Leitungsorgans, Meldefristen an die Richtlinie angeglichen.
Der praktische Schritt ist der gleiche wie überall in der EU: Anwendbarkeit gegen die Richtlinie prüfen, sich bei der RIA selbst registrieren, die vier Dauerpflichten aufsetzen (Registrierungsdaten pflegen, Vorfallmeldung an CERT-EE, Lieferkettenrisiko, Aufsicht durch das Leitungsorgan) und das Minimum dokumentieren. Die estnische Grundlage hilft bei der technischen Reife, ersetzt aber das NIS 2 Pflichtenregister nicht.
Wir bauen das NIS 2 Pflichtenregister auf der EU Ebene, nicht auf einer einzelnen nationalen Umsetzung. Die gleiche Checkliste passt für eine estnische Einrichtung unter dem Küberturvalisuse seadus, eine deutsche Mutter unter BSIG und eine französische Schwester unter Ordonnance n° 2024-1093. Die Artikelverweise wechseln pro Land, die Pflichten in der Sache nicht.
Für den estnischen Scope startet man mit der Anwendbarkeitsprüfung, dann RIA Selbstregistrierung, Meldetakt an CERT-EE, Lieferkettenklauseln und Freigabe durch das Leitungsorgan. Wo die RIA Sektorleitlinien veröffentlicht, verlinken wir sie. Wir kopieren sie nicht.
- Richtlinie (EU) 2022/2555 (NIS 2) — EUR-Lex
- Durchführungsverordnung (EU) 2024/2690
- Küberturvalisuse seadus (Cybersicherheitsgesetz) — Riigi Teataja
- Europäische Kommission, NIS 2 Umsetzungstracker — Estland (digital-strategy.ec.europa.eu)
- RIA — Riigi Infosüsteemi Amet, offizielle Seite (ria.ee)
- CERT-EE — estnisches nationales CSIRT, innerhalb der RIA
- Riigikogu Pressemitteilungen zum NIS 2 Umsetzungsgesetz