NIS 2 Status in Lettland
Was die Richtlinie fordert, wie Lettland sie umsetzt, und wo das National Cyber Security Centre und CERT.LV im Bild stehen.
Überblick
Die NIS 2 Richtlinie ist die EU-Ebene. Sie bindet jeden Mitgliedstaat, auch Lettland, mit einem einheitlichen Mindestniveau für wesentliche und wichtige Einrichtungen. Lettland muss dieses Niveau in lettisches Recht überführen und eine Aufsicht darunter führen.
Lettland setzt NIS 2 über das Nationale Cybersicherheitsgesetz (Nacionālās kiberdrošības likums) um, in englischer Übersetzung verfügbar auf likumi.lv. Das Gesetz baut auf den bestehenden Strukturen rund um CERT.LV auf und ergänzt sie um ein eigenes National Cyber Security Centre (NCSC) unter dem Verteidigungsministerium als federführende Aufsicht für wesentliche und wichtige Einrichtungen.
Lettland hat die Umsetzungsfrist der Richtlinie vom 17. Oktober 2024 nicht vollständig eingehalten. Die Europäische Kommission hat am 7. Mai 2025 eine mit Gründen versehene Stellungnahme wegen unvollständiger Umsetzung übermittelt, laut Länderseite der Kommission zu Lettland. Die operativen Strukturen (NCSC, CERT.LV, Sektorbehörden) stehen, Teile der untergesetzlichen Regelungen werden noch nachgezogen.
EU Richtlinie
Richtlinie (EU) 2022/2555 (NIS 2)
Die EU-weite Cybersicherheitsrichtlinie. Sie legt die Pflichten fest, die jeder Mitgliedstaat umzusetzen hat, einschließlich der Größen- und Sektorprüfung für wesentliche und wichtige Einrichtungen.
EU Durchführung
Durchführungsverordnung (EU) 2024/2690
Technische und methodische Maßnahmen für Anbieter digitaler Infrastruktur. In Lettland unmittelbar anwendbar, ohne nationale Umsetzung.
Lettische Umsetzung
Nationales Cybersicherheitsgesetz (Nacionālās kiberdrošības likums)
Die lettische NIS 2 Umsetzung. Auf likumi.lv mit englischer Übersetzung veröffentlicht. Untergesetzliche Regelungen des Ministerrats (Cabinet of Ministers) tragen den operativen Detailrahmen. Die mit Gründen versehene Stellungnahme der Kommission vom 7. Mai 2025 zeigt, dass die vollständige Umsetzung zum damaligen Zeitpunkt noch nicht abgeschlossen war.
Nationales Cybersicherheitsgesetz
Bringt die NIS 2 Pflichten in lettisches Recht. Definiert die Kategorien wesentliche und wichtige Einrichtung, die Aufsichtsbefugnisse, Meldepflichten und Sanktionen. Verordnungen des Ministerrats füllen den operativen Detailrahmen (Sektorschwellen, Registrierungsdaten, Meldeformulare).
NCSC und CERT.LV unter dem Verteidigungsministerium
Das National Cyber Security Centre (NCSC) ist federführende Aufsicht für wesentliche und wichtige Einrichtungen und nationale Kontaktstelle auf EU-Ebene. CERT.LV ist das nationale CSIRT und betreut die Vorfallbearbeitung. Beide sind dem Verteidigungsministerium zugeordnet. Das Constitution Protection Bureau (SAB) beaufsichtigt kritische IKT-Infrastruktur als eigenen Strang.
Registrierung und Meldung
Einrichtungen müssen ihren Status nach Feststellung der Anwendbarkeit innerhalb einer festen Frist anzeigen. Die englische likumi.lv Fassung nennt einen Monat ab Feststellung als Meldefenster. Die jeweils gültige Verordnung des Ministerrats regelt den konkreten Kanal. Erhebliche Sicherheitsvorfälle folgen der Richtlinie: Frühwarnung in 24 Stunden, Meldung in 72 Stunden, Abschlussbericht in einem Monat.
In Lettland gilt lettisches Recht
Aktivitäten auf lettischem Staatsgebiet folgen der lettischen Umsetzung. Ein deutscher Geschäftsführer mit lettischer Tochter liest für diese Tochter das Nationale Cybersicherheitsgesetz, nicht das BSIG. Die Richtlinienpflichten sind identisch. Verfahren, Behörde und Sanktionen stehen aber im lettischen Recht.
Lettland darf nicht unter das EU Niveau fallen
Die Richtlinie ist eine Mindestharmonisierung. Lettland darf strenger werden, und ist es historisch beim Schutz staatlicher IKT-Systeme und kritischer Infrastruktur. Lettland darf aber nicht unter die Richtlinie fallen, weder bei den Pflichten für wesentliche und wichtige Einrichtungen, noch bei Meldefristen, noch bei der Haftung des Leitungsorgans.
National Cyber Security Centre (NCSC)
Federführende zuständige Behörde für wesentliche und wichtige Einrichtungen nach NIS 2. Beim Verteidigungsministerium angesiedelt, zugleich nationale Kontaktstelle auf EU-Ebene. Veröffentlicht Leitlinien, nimmt Registrierungsdaten entgegen und führt die Aufsicht. Kritische IKT-Infrastruktur wird parallel vom Constitution Protection Bureau (SAB) beaufsichtigt.
CERT.LV
Das nationale CSIRT Lettlands unter dem Verteidigungsministerium. Nimmt Vorfallmeldungen entgegen, koordiniert die Reaktion und betreibt die koordinierte Schwachstellenoffenlegung. Rechtsgrundlage ist das Nationale Cybersicherheitsgesetz. Nicht Aufsicht: Durchsetzung und Sanktionen liegen beim NCSC und beim SAB.
ENISA
Die EU Cybersicherheitsagentur. Veröffentlicht Leitlinien, betreibt die europäische Schwachstellendatenbank und koordiniert grenzüberschreitend. Keine Aufsicht für lettische Einrichtungen. Die liegt beim NCSC und bei CERT.LV.
Lettland steht wie Deutschland da, also ist auch dort nichts in Kraft.
Die Lage ist anders. Lettland hat ein Nationales Cybersicherheitsgesetz verabschiedet und das NCSC sowie CERT.LV aufgestellt. Die Kommission hat am 7. Mai 2025 trotzdem eine mit Gründen versehene Stellungnahme wegen unvollständiger Umsetzung übermittelt. Deutschland hat sein NIS 2 Umsetzungsgesetz dagegen noch gar nicht verabschiedet. In Lettland ist das Gesetz in Kraft, die Lücke betrifft untergesetzliche Regelungen und die vollständige Notifizierung an die Kommission.
Solange das Portal nicht steht, müssen wir nichts melden.
Die Pflicht zur Anzeige als wesentliche oder wichtige Einrichtung steht im Nationalen Cybersicherheitsgesetz selbst. Die englische likumi.lv Fassung nennt ein Meldefenster von einem Monat ab Feststellung der Anwendbarkeit. Verordnungen des Ministerrats regeln den konkreten Kanal und die Formulare. Auf ein perfektes Portal zu warten setzt die gesetzliche Frist nicht aus.
Es beaufsichtigt nur die eigene Sektorbehörde.
Lettland teilt die Aufsicht: Das NCSC beaufsichtigt wesentliche und wichtige Einrichtungen sektorübergreifend, das Constitution Protection Bureau beaufsichtigt kritische IKT-Infrastruktur. Sektorregulatoren behalten ihre Rolle dort, wo sie sie schon hatten, etwa im Finanzsektor unter DORA. Dieselbe Einrichtung kann unter mehreren Aufsichten stehen, je nachdem, was sie betreibt.
Die meisten lettischen Mittelstandsbetreiber, die uns begegnen, betrachten NIS 2 noch als etwas, das das Verteidigungsministerium über CERT.LV für sie erledigt. CERT.LV ist der nahbare Ansprechpartner, aber nicht die Aufsicht. Durchsetzung und Sanktionen liegen beim NCSC für die allgemeinen wesentlichen und wichtigen Einrichtungen und beim SAB für kritische IKT-Infrastruktur. Das Leitungsorgan dieser Einrichtungen haftet persönlich für die Freigabe des Risikomanagements und die eigene Schulung, auf Richtlinienniveau.
Der praktische Schritt ist der gleiche wie überall in der EU: Anwendbarkeit gegen die Richtlinie prüfen, innerhalb des Meldefensters von einem Monat bei der zuständigen Behörde anzeigen, die vier Dauerpflichten aufsetzen (Registrierungsdaten pflegen, Vorfallmeldung, Lieferkettenrisiko, Aufsicht durch das Leitungsorgan) und das Minimum dokumentieren. CERT.LV bleibt der Partner für die Vorfallbearbeitung, nicht die Stelle, die über die Anwendbarkeit entscheidet.
Wir bauen das NIS 2 Pflichtenregister auf der EU Ebene, nicht auf einer einzelnen nationalen Umsetzung. Die gleiche Checkliste passt für eine lettische Tochter unter dem Nationalen Cybersicherheitsgesetz, eine deutsche Mutter unter BSIG und eine französische Schwester unter Ordonnance n° 2024-1093. Die Artikelverweise wechseln pro Land, die Pflichten in der Sache nicht.
Für den lettischen Scope startet man mit der Anwendbarkeitsprüfung, dann das Meldefenster von einem Monat, dann Vorfallmeldung über CERT.LV, Lieferkettenklauseln und Freigabe durch das Leitungsorgan. Wo das NCSC oder CERT.LV Sektorleitlinien veröffentlicht, verlinken wir sie. Wir kopieren sie nicht.
- Richtlinie (EU) 2022/2555 (NIS 2), EUR-Lex
- Durchführungsverordnung (EU) 2024/2690, EUR-Lex
- Nationales Cybersicherheitsgesetz (Nacionālās kiberdrošības likums), likumi.lv (englische Übersetzung)
- Europäische Kommission, NIS 2 Länderseite Lettland (digital-strategy.ec.europa.eu)
- Mit Gründen versehene Stellungnahme der Kommission vom 7. Mai 2025 zur unvollständigen Umsetzung
- CERT.LV, offizielle Seite (cert.lv), Verteidigungsministerium
- National Cyber Security Centre, Verteidigungsministerium der Republik Lettland