NIS 2 Status in Griechenland
Was die Richtlinie fordert, wie Griechenland sie umsetzt, und wo die Nationale Cybersicherheitsbehörde im Bild steht.
Überblick
Die NIS 2 Richtlinie ist die EU-Ebene. Sie bindet jeden Mitgliedstaat, auch Griechenland, mit einem einheitlichen Mindestniveau für wesentliche und wichtige Einrichtungen. Griechenland muss dieses Niveau in griechisches Recht überführen und eine Aufsicht darunter führen.
Griechenland setzt NIS 2 über das Gesetz 5160/2024 um, veröffentlicht im Staatsanzeiger (ΦΕΚ) A' 195 am 27. November 2024. Der Text kam nach der EU-Frist vom 17. Oktober 2024. Deshalb steht Griechenland auf der Liste der Aufforderungsschreiben der Europäischen Kommission vom November 2024. Das Vertragsverletzungsverfahren wurde nach Inkrafttreten des Gesetzes beendet.
Die Nationale Cybersicherheitsbehörde (Εθνική Αρχή Κυβερνοασφάλειας) unter dem Ministerium für Digitale Verwaltung ist zentrale Anlaufstelle und zuständige Behörde. Das Hellenic CSIRT ist das nationale Reaktionsteam, das auf der NIS 2 Länderseite der Europäischen Kommission als nationales CSIRT geführt wird.
EU Richtlinie
Richtlinie (EU) 2022/2555 (NIS 2)
Die EU-weite Cybersicherheitsrichtlinie. Sie legt die Pflichten fest, die jeder Mitgliedstaat umzusetzen hat, einschließlich der Größen- und Sektorprüfung für wesentliche und wichtige Einrichtungen.
EU Durchführung
Durchführungsverordnung (EU) 2024/2690
Technische und methodische Maßnahmen für Anbieter digitaler Infrastruktur. In Griechenland unmittelbar anwendbar, ohne nationale Umsetzung.
Griechische Umsetzung
Gesetz 5160/2024, Staatsanzeiger A' 195 vom 27. November 2024
Die griechische NIS 2 Umsetzung. Bestimmt die Nationale Cybersicherheitsbehörde, definiert wesentliche und wichtige Einrichtungen, regelt Aufsichtsbefugnisse, Meldepflichten und Sanktionen. Untergesetzliche Akte und Leitlinien der Behörde füllen den operativen Detailrahmen.
Gesetz 5160/2024
Bringt die NIS 2 Pflichten in griechisches Recht. Definiert wesentliche und wichtige Einrichtungen, die Aufsichtsbefugnisse der Nationalen Cybersicherheitsbehörde, Meldepflichten und Sanktionen. Der operative Detail wird über nachgelagerte Rechtsakte und Leitlinien der Behörde geregelt.
Nationale Cybersicherheitsbehörde als Aufsicht und Anlaufstelle
Die Εθνική Αρχή Κυβερνοασφάλειας, angesiedelt beim Ministerium für Digitale Verwaltung, ist zentrale Anlaufstelle, nationale zuständige Behörde und Adressat der Zusammenarbeit mit ENISA und den anderen Mitgliedstaaten. Sektorregulatoren behalten ihre Zuständigkeit dort, wo Lex specialis gilt, vor allem im Finanzsektor unter DORA.
Registrierung und Meldung
Die Richtlinie verlangt, dass Einrichtungen für den Mitgliedstaat identifizierbar sind, mit dem EU-Referenzdatum 17. April 2025. In Griechenland läuft die Registrierung über die Nationale Cybersicherheitsbehörde. Erhebliche Sicherheitsvorfälle folgen der Richtlinie: Frühwarnung in 24 Stunden, Meldung in 72 Stunden, Abschlussbericht in einem Monat.
In Griechenland gilt griechisches Recht
Aktivitäten auf griechischem Staatsgebiet folgen der griechischen Umsetzung. Ein deutscher Geschäftsführer mit griechischer Tochter liest für diese Tochter das Gesetz 5160/2024, nicht das BSIG. Die Richtlinienpflichten sind identisch. Verfahren, Anlaufstelle und Sanktionen stehen aber im griechischen Recht.
Griechenland darf nicht unter das EU Niveau fallen
Die Richtlinie ist eine Mindestharmonisierung. Griechenland darf strenger werden. Griechenland darf aber nicht unter die Richtlinie fallen, weder bei den Pflichten für wesentliche und wichtige Einrichtungen, noch bei Meldefristen, noch bei der Verantwortung des Leitungsorgans.
Nationale Cybersicherheitsbehörde
Federführende zuständige Behörde, zentrale Anlaufstelle und Aufsicht unter dem Ministerium für Digitale Verwaltung. Übernimmt Registrierung, Leitlinien, Audits und Sanktionsvorschläge. Trägt den Kooperationskanal zu ENISA und zur NIS Kooperationsgruppe.
Hellenic CSIRT
Das nationale Reaktionsteam, das auf der NIS 2 Länderseite der Europäischen Kommission für Griechenland geführt wird. Empfängt technische Vorfallmeldungen im Meldetakt der Richtlinie. Die organisatorische Anbindung steht auf der offiziellen griechischen Cybersicherheitsseite und wird hier nicht wiederholt.
ENISA
Die EU Cybersicherheitsagentur. Veröffentlicht Leitlinien, betreibt die europäische Schwachstellendatenbank und koordiniert grenzüberschreitend. Keine Aufsicht für griechische Einrichtungen. Die liegt bei der Nationalen Cybersicherheitsbehörde.
Die deutsche Mutter ist nach BSIG aufgestellt, also ist die griechische Tochter abgedeckt.
Die griechische Tochter folgt dem Gesetz 5160/2024, registriert sich bei der griechischen Behörde und meldet Vorfälle an die griechische Anlaufstelle. Die Richtlinienpflichten decken sich. Verfahren, Portal und Sanktionen stehen aber im griechischen Recht. Konzernweite Dokumentation hilft, ersetzt aber den lokalen Registrierungs- und Meldekanal nicht.
Griechenland war zu spät, also gilt die Registrierung noch nicht.
Das Gesetz 5160/2024 ist am 27. November 2024 in Kraft getreten. Die verspätete Umsetzung setzt die materiellen Pflichten der Richtlinie nicht aus. Sobald eine Einrichtung die Größen- und Sektorprüfung trifft, laufen Registrierung, Vorfallmeldung, Lieferkettenpflichten und Verantwortung des Leitungsorgans im Takt der Richtlinie.
Nur die Sektoren der alten NIS 1 Regelung sind im Scope.
NIS 2 weitet die Sektorliste über NIS 1 hinaus aus. Abwasser, Lebensmittelproduktion, Herstellung von Medizinprodukten, Post- und Kurierdienste, öffentliche Verwaltung und mehrere digitale Teilsektoren kommen neu hinein. Jede Einrichtung in Griechenland muss die neue Sektor- und Größenprüfung führen, nicht die NIS 1 Liste.
Die meisten griechischen Mittelstandsbetreiber, die uns begegnen, lesen NIS 2 noch als Fortsetzung von NIS 1. Die Aufsicht sitzt im selben Ministerium, der Scope ist aber breiter und das Leitungsorgan haftet persönlich. Der griechische Geschäftsführer, der διαχειριστής oder νόμιμος εκπρόσωπος, gibt das Risikomanagement und die eigene Schulung frei.
Der praktische Schritt ist der gleiche wie überall in der EU: Anwendbarkeit gegen die Richtlinie prüfen, bei der nationalen Behörde registrieren, die vier Dauerpflichten aufsetzen (Registrierungsdaten pflegen, Vorfallmeldung, Lieferkettenrisiko, Aufsicht durch das Leitungsorgan) und das Minimum dokumentieren. Die verspätete Umsetzung verändert diese Reihenfolge nicht.
Wir bauen das NIS 2 Pflichtenregister auf der EU Ebene, nicht auf einer einzelnen nationalen Umsetzung. Die gleiche Checkliste passt für eine griechische Tochter unter Gesetz 5160/2024, eine deutsche Mutter unter BSIG und eine französische Schwester unter Ordonnance n° 2024-1093. Die Artikelverweise wechseln pro Land, die Pflichten in der Sache nicht.
Für den griechischen Scope startet man mit der Anwendbarkeitsprüfung, dann Meldetakt, Lieferkettenklauseln und Freigabe durch das Leitungsorgan. Wo die Nationale Cybersicherheitsbehörde Sektorleitlinien veröffentlicht, verlinken wir sie. Wir kopieren sie nicht.
- Richtlinie (EU) 2022/2555 (NIS 2), EUR-Lex
- Durchführungsverordnung (EU) 2024/2690, EUR-Lex
- Gesetz 5160/2024, Staatsanzeiger A' 195 vom 27. November 2024
- Nationale Cybersicherheitsbehörde (Εθνική Αρχή Κυβερνοασφάλειας), Ministerium für Digitale Verwaltung
- Europäische Kommission, NIS 2 Länderseite Griechenland (digital-strategy.ec.europa.eu)
- Europäische Kommission, Aufforderungsschreiben zur NIS 2 Umsetzung vom November 2024