NIS 2 Status Griechenland

NIS 2 Status in Griechenland

Was die Richtlinie fordert, wie Griechenland sie umsetzt, und wo die Nationale Cybersicherheitsbehörde im Bild steht.

Simon OrzelSimon Orzel·

Überblick

Die NIS 2 Richtlinie ist die EU-Ebene. Sie bindet jeden Mitgliedstaat, auch Griechenland, mit einem einheitlichen Mindestniveau für wesentliche und wichtige Einrichtungen. Griechenland muss dieses Niveau in griechisches Recht überführen und eine Aufsicht darunter führen.

Griechenland setzt NIS 2 über das Gesetz 5160/2024 um, veröffentlicht im Staatsanzeiger (ΦΕΚ) A' 195 am 27. November 2024. Der Text kam nach der EU-Frist vom 17. Oktober 2024. Deshalb steht Griechenland auf der Liste der Aufforderungsschreiben der Europäischen Kommission vom November 2024. Das Vertragsverletzungsverfahren wurde nach Inkrafttreten des Gesetzes beendet.

Die Nationale Cybersicherheitsbehörde (Εθνική Αρχή Κυβερνοασφάλειας) unter dem Ministerium für Digitale Verwaltung ist zentrale Anlaufstelle und zuständige Behörde. Das Hellenic CSIRT ist das nationale Reaktionsteam, das auf der NIS 2 Länderseite der Europäischen Kommission als nationales CSIRT geführt wird.

Wo die Regeln stehen
Drei Ebenen, die jeder auseinanderhalten muss, der die griechische NIS 2 Lage liest.

EU Richtlinie

Richtlinie (EU) 2022/2555 (NIS 2)

Die EU-weite Cybersicherheitsrichtlinie. Sie legt die Pflichten fest, die jeder Mitgliedstaat umzusetzen hat, einschließlich der Größen- und Sektorprüfung für wesentliche und wichtige Einrichtungen.

EU Durchführung

Durchführungsverordnung (EU) 2024/2690

Technische und methodische Maßnahmen für Anbieter digitaler Infrastruktur. In Griechenland unmittelbar anwendbar, ohne nationale Umsetzung.

Griechische Umsetzung

Gesetz 5160/2024, Staatsanzeiger A' 195 vom 27. November 2024

Die griechische NIS 2 Umsetzung. Bestimmt die Nationale Cybersicherheitsbehörde, definiert wesentliche und wichtige Einrichtungen, regelt Aufsichtsbefugnisse, Meldepflichten und Sanktionen. Untergesetzliche Akte und Leitlinien der Behörde füllen den operativen Detailrahmen.

Drei Punkte, die man kennen muss
Was sich für Einrichtungen mit Aktivität in Griechenland ändert.
Umsetzung

Gesetz 5160/2024

Bringt die NIS 2 Pflichten in griechisches Recht. Definiert wesentliche und wichtige Einrichtungen, die Aufsichtsbefugnisse der Nationalen Cybersicherheitsbehörde, Meldepflichten und Sanktionen. Der operative Detail wird über nachgelagerte Rechtsakte und Leitlinien der Behörde geregelt.

Aufsicht

Nationale Cybersicherheitsbehörde als Aufsicht und Anlaufstelle

Die Εθνική Αρχή Κυβερνοασφάλειας, angesiedelt beim Ministerium für Digitale Verwaltung, ist zentrale Anlaufstelle, nationale zuständige Behörde und Adressat der Zusammenarbeit mit ENISA und den anderen Mitgliedstaaten. Sektorregulatoren behalten ihre Zuständigkeit dort, wo Lex specialis gilt, vor allem im Finanzsektor unter DORA.

Fristen

Registrierung und Meldung

Die Richtlinie verlangt, dass Einrichtungen für den Mitgliedstaat identifizierbar sind, mit dem EU-Referenzdatum 17. April 2025. In Griechenland läuft die Registrierung über die Nationale Cybersicherheitsbehörde. Erhebliche Sicherheitsvorfälle folgen der Richtlinie: Frühwarnung in 24 Stunden, Meldung in 72 Stunden, Abschlussbericht in einem Monat.

Zwei Prinzipien, die jeden Grenzfall klären
Vor jedem griechischen Kommentar zu NIS 2 lesen.

In Griechenland gilt griechisches Recht

Aktivitäten auf griechischem Staatsgebiet folgen der griechischen Umsetzung. Ein deutscher Geschäftsführer mit griechischer Tochter liest für diese Tochter das Gesetz 5160/2024, nicht das BSIG. Die Richtlinienpflichten sind identisch. Verfahren, Anlaufstelle und Sanktionen stehen aber im griechischen Recht.

Griechenland darf nicht unter das EU Niveau fallen

Die Richtlinie ist eine Mindestharmonisierung. Griechenland darf strenger werden. Griechenland darf aber nicht unter die Richtlinie fallen, weder bei den Pflichten für wesentliche und wichtige Einrichtungen, noch bei Meldefristen, noch bei der Verantwortung des Leitungsorgans.

Wer macht was in Griechenland
Drei Institutionen, die in fast jeder NIS 2 Frage auftauchen.
GR

Nationale Cybersicherheitsbehörde

Federführende zuständige Behörde, zentrale Anlaufstelle und Aufsicht unter dem Ministerium für Digitale Verwaltung. Übernimmt Registrierung, Leitlinien, Audits und Sanktionsvorschläge. Trägt den Kooperationskanal zu ENISA und zur NIS Kooperationsgruppe.

GR

Hellenic CSIRT

Das nationale Reaktionsteam, das auf der NIS 2 Länderseite der Europäischen Kommission für Griechenland geführt wird. Empfängt technische Vorfallmeldungen im Meldetakt der Richtlinie. Die organisatorische Anbindung steht auf der offiziellen griechischen Cybersicherheitsseite und wird hier nicht wiederholt.

EU

ENISA

Die EU Cybersicherheitsagentur. Veröffentlicht Leitlinien, betreibt die europäische Schwachstellendatenbank und koordiniert grenzüberschreitend. Keine Aufsicht für griechische Einrichtungen. Die liegt bei der Nationalen Cybersicherheitsbehörde.

Fallstricke
Fehler, die wir sehen, wenn Einrichtungen mit Aktivität in Griechenland NIS 2 zum ersten Mal lesen.
  • Die deutsche Mutter ist nach BSIG aufgestellt, also ist die griechische Tochter abgedeckt.

    Die griechische Tochter folgt dem Gesetz 5160/2024, registriert sich bei der griechischen Behörde und meldet Vorfälle an die griechische Anlaufstelle. Die Richtlinienpflichten decken sich. Verfahren, Portal und Sanktionen stehen aber im griechischen Recht. Konzernweite Dokumentation hilft, ersetzt aber den lokalen Registrierungs- und Meldekanal nicht.

  • Griechenland war zu spät, also gilt die Registrierung noch nicht.

    Das Gesetz 5160/2024 ist am 27. November 2024 in Kraft getreten. Die verspätete Umsetzung setzt die materiellen Pflichten der Richtlinie nicht aus. Sobald eine Einrichtung die Größen- und Sektorprüfung trifft, laufen Registrierung, Vorfallmeldung, Lieferkettenpflichten und Verantwortung des Leitungsorgans im Takt der Richtlinie.

  • Nur die Sektoren der alten NIS 1 Regelung sind im Scope.

    NIS 2 weitet die Sektorliste über NIS 1 hinaus aus. Abwasser, Lebensmittelproduktion, Herstellung von Medizinprodukten, Post- und Kurierdienste, öffentliche Verwaltung und mehrere digitale Teilsektoren kommen neu hinein. Jede Einrichtung in Griechenland muss die neue Sektor- und Größenprüfung führen, nicht die NIS 1 Liste.

Aus der Praxis

Die meisten griechischen Mittelstandsbetreiber, die uns begegnen, lesen NIS 2 noch als Fortsetzung von NIS 1. Die Aufsicht sitzt im selben Ministerium, der Scope ist aber breiter und das Leitungsorgan haftet persönlich. Der griechische Geschäftsführer, der διαχειριστής oder νόμιμος εκπρόσωπος, gibt das Risikomanagement und die eigene Schulung frei.

Der praktische Schritt ist der gleiche wie überall in der EU: Anwendbarkeit gegen die Richtlinie prüfen, bei der nationalen Behörde registrieren, die vier Dauerpflichten aufsetzen (Registrierungsdaten pflegen, Vorfallmeldung, Lieferkettenrisiko, Aufsicht durch das Leitungsorgan) und das Minimum dokumentieren. Die verspätete Umsetzung verändert diese Reihenfolge nicht.

Was die Plattform liefert

Wir bauen das NIS 2 Pflichtenregister auf der EU Ebene, nicht auf einer einzelnen nationalen Umsetzung. Die gleiche Checkliste passt für eine griechische Tochter unter Gesetz 5160/2024, eine deutsche Mutter unter BSIG und eine französische Schwester unter Ordonnance n° 2024-1093. Die Artikelverweise wechseln pro Land, die Pflichten in der Sache nicht.

Für den griechischen Scope startet man mit der Anwendbarkeitsprüfung, dann Meldetakt, Lieferkettenklauseln und Freigabe durch das Leitungsorgan. Wo die Nationale Cybersicherheitsbehörde Sektorleitlinien veröffentlicht, verlinken wir sie. Wir kopieren sie nicht.

Quellen
  • Richtlinie (EU) 2022/2555 (NIS 2), EUR-Lex
  • Durchführungsverordnung (EU) 2024/2690, EUR-Lex
  • Gesetz 5160/2024, Staatsanzeiger A' 195 vom 27. November 2024
  • Nationale Cybersicherheitsbehörde (Εθνική Αρχή Κυβερνοασφάλειας), Ministerium für Digitale Verwaltung
  • Europäische Kommission, NIS 2 Länderseite Griechenland (digital-strategy.ec.europa.eu)
  • Europäische Kommission, Aufforderungsschreiben zur NIS 2 Umsetzung vom November 2024
Griechischen Scope in unter fünf Minuten klären
Die Anwendbarkeitsprüfung wendet den Größen- und Sektorentest der Richtlinie an. Wenn die griechische Tochter im Scope ist, ist der nächste Schritt die Registrierung bei der Nationalen Cybersicherheitsbehörde.