NIS 2 Status Lettland

NIS 2 Status in Lettland

Was die Richtlinie fordert, wie Lettland sie umsetzt, und wo das National Cyber Security Centre und CERT.LV im Bild stehen.

Simon OrzelSimon Orzel·

Überblick

Die NIS 2 Richtlinie ist die EU-Ebene. Sie bindet jeden Mitgliedstaat, auch Lettland, mit einem einheitlichen Mindestniveau für wesentliche und wichtige Einrichtungen. Lettland muss dieses Niveau in lettisches Recht überführen und eine Aufsicht darunter führen.

Lettland setzt NIS 2 über das Nationale Cybersicherheitsgesetz (Nacionālās kiberdrošības likums) um, in englischer Übersetzung verfügbar auf likumi.lv. Das Gesetz baut auf den bestehenden Strukturen rund um CERT.LV auf und ergänzt sie um ein eigenes National Cyber Security Centre (NCSC) unter dem Verteidigungsministerium als federführende Aufsicht für wesentliche und wichtige Einrichtungen.

Lettland hat die Umsetzungsfrist der Richtlinie vom 17. Oktober 2024 nicht vollständig eingehalten. Die Europäische Kommission hat am 7. Mai 2025 eine mit Gründen versehene Stellungnahme wegen unvollständiger Umsetzung übermittelt, laut Länderseite der Kommission zu Lettland. Die operativen Strukturen (NCSC, CERT.LV, Sektorbehörden) stehen, Teile der untergesetzlichen Regelungen werden noch nachgezogen.

Wo die Regeln stehen
Drei Ebenen, die jeder auseinanderhalten muss, der die lettische NIS 2 Lage liest.

EU Richtlinie

Richtlinie (EU) 2022/2555 (NIS 2)

Die EU-weite Cybersicherheitsrichtlinie. Sie legt die Pflichten fest, die jeder Mitgliedstaat umzusetzen hat, einschließlich der Größen- und Sektorprüfung für wesentliche und wichtige Einrichtungen.

EU Durchführung

Durchführungsverordnung (EU) 2024/2690

Technische und methodische Maßnahmen für Anbieter digitaler Infrastruktur. In Lettland unmittelbar anwendbar, ohne nationale Umsetzung.

Lettische Umsetzung

Nationales Cybersicherheitsgesetz (Nacionālās kiberdrošības likums)

Die lettische NIS 2 Umsetzung. Auf likumi.lv mit englischer Übersetzung veröffentlicht. Untergesetzliche Regelungen des Ministerrats (Cabinet of Ministers) tragen den operativen Detailrahmen. Die mit Gründen versehene Stellungnahme der Kommission vom 7. Mai 2025 zeigt, dass die vollständige Umsetzung zum damaligen Zeitpunkt noch nicht abgeschlossen war.

Drei Punkte, die man kennen muss
Was sich für Einrichtungen mit Aktivität in Lettland ändert.
Umsetzung

Nationales Cybersicherheitsgesetz

Bringt die NIS 2 Pflichten in lettisches Recht. Definiert die Kategorien wesentliche und wichtige Einrichtung, die Aufsichtsbefugnisse, Meldepflichten und Sanktionen. Verordnungen des Ministerrats füllen den operativen Detailrahmen (Sektorschwellen, Registrierungsdaten, Meldeformulare).

Aufsicht

NCSC und CERT.LV unter dem Verteidigungsministerium

Das National Cyber Security Centre (NCSC) ist federführende Aufsicht für wesentliche und wichtige Einrichtungen und nationale Kontaktstelle auf EU-Ebene. CERT.LV ist das nationale CSIRT und betreut die Vorfallbearbeitung. Beide sind dem Verteidigungsministerium zugeordnet. Das Constitution Protection Bureau (SAB) beaufsichtigt kritische IKT-Infrastruktur als eigenen Strang.

Fristen

Registrierung und Meldung

Einrichtungen müssen ihren Status nach Feststellung der Anwendbarkeit innerhalb einer festen Frist anzeigen. Die englische likumi.lv Fassung nennt einen Monat ab Feststellung als Meldefenster. Die jeweils gültige Verordnung des Ministerrats regelt den konkreten Kanal. Erhebliche Sicherheitsvorfälle folgen der Richtlinie: Frühwarnung in 24 Stunden, Meldung in 72 Stunden, Abschlussbericht in einem Monat.

Zwei Prinzipien, die jeden Grenzfall klären
Vor jedem lettischen Kommentar zu NIS 2 lesen.

In Lettland gilt lettisches Recht

Aktivitäten auf lettischem Staatsgebiet folgen der lettischen Umsetzung. Ein deutscher Geschäftsführer mit lettischer Tochter liest für diese Tochter das Nationale Cybersicherheitsgesetz, nicht das BSIG. Die Richtlinienpflichten sind identisch. Verfahren, Behörde und Sanktionen stehen aber im lettischen Recht.

Lettland darf nicht unter das EU Niveau fallen

Die Richtlinie ist eine Mindestharmonisierung. Lettland darf strenger werden, und ist es historisch beim Schutz staatlicher IKT-Systeme und kritischer Infrastruktur. Lettland darf aber nicht unter die Richtlinie fallen, weder bei den Pflichten für wesentliche und wichtige Einrichtungen, noch bei Meldefristen, noch bei der Haftung des Leitungsorgans.

Wer macht was in Lettland
Drei Institutionen, die in fast jeder lettischen NIS 2 Frage auftauchen.
LV

National Cyber Security Centre (NCSC)

Federführende zuständige Behörde für wesentliche und wichtige Einrichtungen nach NIS 2. Beim Verteidigungsministerium angesiedelt, zugleich nationale Kontaktstelle auf EU-Ebene. Veröffentlicht Leitlinien, nimmt Registrierungsdaten entgegen und führt die Aufsicht. Kritische IKT-Infrastruktur wird parallel vom Constitution Protection Bureau (SAB) beaufsichtigt.

LV

CERT.LV

Das nationale CSIRT Lettlands unter dem Verteidigungsministerium. Nimmt Vorfallmeldungen entgegen, koordiniert die Reaktion und betreibt die koordinierte Schwachstellenoffenlegung. Rechtsgrundlage ist das Nationale Cybersicherheitsgesetz. Nicht Aufsicht: Durchsetzung und Sanktionen liegen beim NCSC und beim SAB.

EU

ENISA

Die EU Cybersicherheitsagentur. Veröffentlicht Leitlinien, betreibt die europäische Schwachstellendatenbank und koordiniert grenzüberschreitend. Keine Aufsicht für lettische Einrichtungen. Die liegt beim NCSC und bei CERT.LV.

Fallstricke
Fehler, die wir sehen, wenn Einrichtungen die lettische NIS 2 Lage zum ersten Mal lesen.
  • Lettland steht wie Deutschland da, also ist auch dort nichts in Kraft.

    Die Lage ist anders. Lettland hat ein Nationales Cybersicherheitsgesetz verabschiedet und das NCSC sowie CERT.LV aufgestellt. Die Kommission hat am 7. Mai 2025 trotzdem eine mit Gründen versehene Stellungnahme wegen unvollständiger Umsetzung übermittelt. Deutschland hat sein NIS 2 Umsetzungsgesetz dagegen noch gar nicht verabschiedet. In Lettland ist das Gesetz in Kraft, die Lücke betrifft untergesetzliche Regelungen und die vollständige Notifizierung an die Kommission.

  • Solange das Portal nicht steht, müssen wir nichts melden.

    Die Pflicht zur Anzeige als wesentliche oder wichtige Einrichtung steht im Nationalen Cybersicherheitsgesetz selbst. Die englische likumi.lv Fassung nennt ein Meldefenster von einem Monat ab Feststellung der Anwendbarkeit. Verordnungen des Ministerrats regeln den konkreten Kanal und die Formulare. Auf ein perfektes Portal zu warten setzt die gesetzliche Frist nicht aus.

  • Es beaufsichtigt nur die eigene Sektorbehörde.

    Lettland teilt die Aufsicht: Das NCSC beaufsichtigt wesentliche und wichtige Einrichtungen sektorübergreifend, das Constitution Protection Bureau beaufsichtigt kritische IKT-Infrastruktur. Sektorregulatoren behalten ihre Rolle dort, wo sie sie schon hatten, etwa im Finanzsektor unter DORA. Dieselbe Einrichtung kann unter mehreren Aufsichten stehen, je nachdem, was sie betreibt.

Aus der Praxis

Die meisten lettischen Mittelstandsbetreiber, die uns begegnen, betrachten NIS 2 noch als etwas, das das Verteidigungsministerium über CERT.LV für sie erledigt. CERT.LV ist der nahbare Ansprechpartner, aber nicht die Aufsicht. Durchsetzung und Sanktionen liegen beim NCSC für die allgemeinen wesentlichen und wichtigen Einrichtungen und beim SAB für kritische IKT-Infrastruktur. Das Leitungsorgan dieser Einrichtungen haftet persönlich für die Freigabe des Risikomanagements und die eigene Schulung, auf Richtlinienniveau.

Der praktische Schritt ist der gleiche wie überall in der EU: Anwendbarkeit gegen die Richtlinie prüfen, innerhalb des Meldefensters von einem Monat bei der zuständigen Behörde anzeigen, die vier Dauerpflichten aufsetzen (Registrierungsdaten pflegen, Vorfallmeldung, Lieferkettenrisiko, Aufsicht durch das Leitungsorgan) und das Minimum dokumentieren. CERT.LV bleibt der Partner für die Vorfallbearbeitung, nicht die Stelle, die über die Anwendbarkeit entscheidet.

Was die Plattform liefert

Wir bauen das NIS 2 Pflichtenregister auf der EU Ebene, nicht auf einer einzelnen nationalen Umsetzung. Die gleiche Checkliste passt für eine lettische Tochter unter dem Nationalen Cybersicherheitsgesetz, eine deutsche Mutter unter BSIG und eine französische Schwester unter Ordonnance n° 2024-1093. Die Artikelverweise wechseln pro Land, die Pflichten in der Sache nicht.

Für den lettischen Scope startet man mit der Anwendbarkeitsprüfung, dann das Meldefenster von einem Monat, dann Vorfallmeldung über CERT.LV, Lieferkettenklauseln und Freigabe durch das Leitungsorgan. Wo das NCSC oder CERT.LV Sektorleitlinien veröffentlicht, verlinken wir sie. Wir kopieren sie nicht.

Quellen
  • Richtlinie (EU) 2022/2555 (NIS 2), EUR-Lex
  • Durchführungsverordnung (EU) 2024/2690, EUR-Lex
  • Nationales Cybersicherheitsgesetz (Nacionālās kiberdrošības likums), likumi.lv (englische Übersetzung)
  • Europäische Kommission, NIS 2 Länderseite Lettland (digital-strategy.ec.europa.eu)
  • Mit Gründen versehene Stellungnahme der Kommission vom 7. Mai 2025 zur unvollständigen Umsetzung
  • CERT.LV, offizielle Seite (cert.lv), Verteidigungsministerium
  • National Cyber Security Centre, Verteidigungsministerium der Republik Lettland
Lettischen Scope in unter fünf Minuten klären
Die Anwendbarkeitsprüfung wendet den Größen- und Sektorentest der Richtlinie an. Wenn die lettische Tochter im Scope ist, ist der nächste Schritt die Anzeige beim NCSC innerhalb des Meldefensters von einem Monat aus dem Nationalen Cybersicherheitsgesetz.