NIS 2 Status in Malta
Was die Richtlinie fordert, wie Malta sie umsetzt, und wo die nationale Behörde im Bild steht.
Überblick
Die NIS 2 Richtlinie ist die EU-Ebene. Sie bindet jeden Mitgliedstaat, auch Malta, mit einem einheitlichen Mindestniveau für wesentliche und wichtige Einrichtungen. Malta muss dieses Niveau in maltesisches Recht überführen und eine Aufsicht darunter führen.
Malta setzt NIS 2 über das Legal Notice 71 of 2025 um, formal die Measures for a High Common Level of Cybersecurity across the European Union (Malta) Order, veröffentlicht im Government Gazette am 8. April 2025 und geführt als Subsidiary Legislation 460.41. Malta hat die EU Frist vom 17. Oktober 2024 verpasst, jedoch umgesetzt, bevor die Europäische Kommission im Mai 2025 zur mit Gründen versehenen Stellungnahme eskaliert hat. Auf der Liste der neunzehn Mitgliedstaaten, die diese Stellungnahme erhalten haben, stand Malta nicht.
Die Critical Information Infrastructure Protection Einheit im Ministerium für Inneres und nationale Sicherheit wird von der Europäischen Kommission als zuständige Behörde und Single Point of Contact unter NIS 2 für wesentliche und wichtige Einrichtungen geführt. CSIRTMalta ist das nationale CSIRT für die Bearbeitung und Koordination von Sicherheitsvorfällen.
EU Richtlinie
Richtlinie (EU) 2022/2555 (NIS 2)
Die EU-weite Cybersicherheitsrichtlinie. Sie legt die Pflichten fest, die jeder Mitgliedstaat umzusetzen hat, einschließlich der Größen- und Sektorprüfung für wesentliche und wichtige Einrichtungen.
EU Durchführung
Durchführungsverordnung (EU) 2024/2690
Technische und methodische Maßnahmen für Anbieter digitaler Infrastruktur. In Malta unmittelbar anwendbar, ohne nationale Umsetzung.
Maltesische Umsetzung
Legal Notice 71 of 2025 (SL 460.41), veröffentlicht am 8. April 2025
Maltas NIS 2 Umsetzung, formal die Measures for a High Common Level of Cybersecurity across the European Union (Malta) Order. Als Subsidiary Legislation steht sie unter einem Parent Act, der operative Detail kommt über Leitlinien der zuständigen Behörde.
Legal Notice 71 of 2025
Bringt die NIS 2 Pflichten als Subsidiary Legislation 460.41 in maltesisches Recht. Definiert die Kategorien wesentliche und wichtige Einrichtung, die Befugnisse der zuständigen Behörde, Meldepflichten und Sanktionen. Als Legal Notice kann der Text schneller geändert werden als ein Parent Act, deshalb sollte man den Eintrag bei legislation.mt im Auge behalten und sich nicht auf eine statische Druckfassung verlassen.
Zuständige Behörde und Single Point of Contact
Die Europäische Kommission führt die Critical Information Infrastructure Protection Einheit im Ministerium für Inneres und nationale Sicherheit als Maltas zuständige Behörde und Single Point of Contact unter NIS 2. Sie ist der Kanal für die grenzüberschreitende Koordination mit anderen Mitgliedstaaten, mit ENISA und mit der Kooperationsgruppe.
Registrierung und Meldung
Die Richtlinie verlangt, dass Mitgliedstaaten wesentliche und wichtige Einrichtungen bis zum 17. April 2025 identifizieren. Maltas Legal Notice trat dicht an diesem Termin in Kraft. Erhebliche Vorfälle folgen der Richtlinie: Frühwarnung in 24 Stunden, Meldung in 72 Stunden, Abschlussbericht in einem Monat. Wo die maltesische Order ein nationales Portal oder ein Kontaktformular vorsieht, veröffentlicht die zuständige Behörde den Kanal.
Auf maltesischem Boden gilt maltesisches Recht
Aktivitäten auf maltesischem Staatsgebiet folgen der maltesischen Umsetzung. Eine ausländische Konzernmutter mit maltesischer Tochter liest für diese Tochter das Legal Notice 71 of 2025, nicht das BSIG oder das Recht eines anderen Mitgliedstaats. Die Richtlinienpflichten sind identisch. Verfahren, Registrierungskanal und Sanktionen stehen aber im maltesischen Recht.
Malta darf nicht unter das EU Niveau fallen
Die Richtlinie ist eine Mindestharmonisierung. Malta darf strenger werden. Malta darf aber nicht unter die Richtlinie fallen, weder bei den Pflichten für wesentliche und wichtige Einrichtungen, noch bei Meldefristen, noch bei der Verantwortung des Leitungsorgans.
Critical Information Infrastructure Protection Einheit
Die zuständige Behörde und der Single Point of Contact, geführt von der Europäischen Kommission, angesiedelt im Ministerium für Inneres und nationale Sicherheit. Koordiniert die Aufsicht über wesentliche und wichtige Einrichtungen, erfüllt die grenzüberschreitende Single Point of Contact Funktion und kanalisiert die Durchsetzung nach Legal Notice 71 of 2025.
CSIRTMalta
Maltas nationales CSIRT für die Bearbeitung und Koordination von Sicherheitsvorfällen unter NIS 2. Nimmt Meldungen erheblicher Vorfälle entgegen, unterstützt betroffene Einrichtungen und nimmt am EU CSIRTs Network teil. Der konkrete NIS 2 Meldekanal und ein etwaiges technisches Portal liegen bei CSIRTMalta und der zuständigen Behörde, die jeweils aktuelle Einreichungsform steht in deren veröffentlichter Anleitung.
ENISA
Die EU Cybersicherheitsagentur. Veröffentlicht Leitlinien, betreibt die europäische Schwachstellendatenbank und koordiniert grenzüberschreitend. Keine Aufsicht für maltesische Einrichtungen. Die liegt bei der nationalen zuständigen Behörde.
Wir folgen dem, was unsere deutsche Mutter macht, also ist NIS 2 abgedeckt.
Die Richtlinienpflichten sind identisch, das nationale Verfahren ist es nicht. Eine maltesische Tochter registriert sich in Malta bei der maltesischen zuständigen Behörde, meldet Vorfälle über CSIRTMalta und unterliegt maltesischen Sanktionen. Das BSIG steuert die deutsche Einrichtung. Das maltesische Legal Notice 71 of 2025 steuert die maltesische Einrichtung. Konzernweite Compliance ersetzt die maltesische Anmeldung nicht.
Es gibt noch keinen maltesischen NIS 2 Registrierungskanal, also warten wir ab.
Die Richtlinienpflichten greifen ab dem Moment, in dem die Einrichtung im Anwendungsbereich ist, nicht erst, wenn ein Portal poliert aussieht. Wo Malta noch kein Online Register stehen hat, veröffentlicht die zuständige Behörde einen Übergangskanal. Stillhalten ist nach Artikel 21 der Richtlinie keine Verteidigung, sobald die Größen- und Sektorprüfung getroffen ist.
NIS 2 in Malta trifft nur die offensichtlich kritischen Sektoren.
Der Größentest deckelt standardmäßig bei mittleren und großen Unternehmen, die Richtlinie fängt aber auch kleine Einrichtungen, wenn sie einziger Anbieter sind, grenzüberschreitend wirken oder das nationale Recht sie zusätzlich nennt. Öffentliche Verwaltungen und bestimmte digitale Anbieter sind unabhängig von der Größe drin. Die Anwendbarkeitsprüfung muss Fall für Fall passieren, nicht über die reine Unternehmensgröße.
Die meisten maltesischen Betreiber, die uns begegnen, behandeln NIS 2 als das nächste Compliance Dossier nach der DSGVO. Als Projektrahmen ist das in Ordnung. Inhaltlich ist es etwas anderes: Die Richtlinie spricht von Dienstkontinuität, Lieferkettenrisiko und Verantwortung des Leitungsorgans, nicht nur von personenbezogenen Daten. Die Direktoren einer maltesischen Gesellschaft unter NIS 2 geben den Risikomanagement Standard und die eigene Schulung persönlich frei. Diese Freigabe ist nicht an die Konzernmutter oder an einen externen Berater delegierbar.
Der praktische Ablauf ist EU-weit derselbe: Anwendbarkeit gegen die Richtlinie prüfen, bei der nationalen zuständigen Behörde registrieren, sobald der Kanal offen ist, die vier Dauerpflichten aufsetzen (Registrierungsdaten pflegen, Vorfallmeldung, Lieferkettenrisiko, Aufsicht durch das Leitungsorgan) und das Minimum dokumentieren. Wo CSIRTMalta oder die zuständige Behörde sektorale Leitlinien veröffentlichen, nutzt man sie. Wo nicht, sind der Richtlinientext und die Durchführungsverordnung der Rückfall.
Wir bauen das NIS 2 Pflichtenregister auf der EU Ebene, nicht auf einer einzelnen nationalen Umsetzung. Die gleiche Checkliste passt für eine maltesische Tochter unter Legal Notice 71 of 2025, eine deutsche Mutter unter BSIG und eine niederländische Schwester unter dem Cyberbeveiligingswet. Die Artikelverweise wechseln pro Land, die Pflichten in der Sache nicht.
Für den maltesischen Scope startet man mit der Anwendbarkeitsprüfung, dann Meldetakt, Lieferkettenklauseln und Freigabe durch das Leitungsorgan. Wo CSIRTMalta oder die zuständige Behörde sektorale Leitlinien veröffentlicht, verlinken wir sie. Wir kopieren sie nicht.
- Richtlinie (EU) 2022/2555 (NIS 2): EUR-Lex
- Durchführungsverordnung (EU) 2024/2690
- Legal Notice 71 of 2025, Measures for a High Common Level of Cybersecurity across the European Union (Malta) Order: legislation.mt (SL 460.41)
- Europäische Kommission, NIS 2 Umsetzungsseite Malta: digital-strategy.ec.europa.eu
- Europäische Kommission, mit Gründen versehene Stellungnahmen zur NIS 2 Umsetzung vom Mai 2025 (Malta nicht gelistet)
- CSIRTMalta, nationales CSIRT Maltas
- ENISA, Agentur der Europäischen Union für Cybersicherheit