NIS 2 Status Malta

NIS 2 Status in Malta

Was die Richtlinie fordert, wie Malta sie umsetzt, und wo die nationale Behörde im Bild steht.

Simon OrzelSimon Orzel·

Überblick

Die NIS 2 Richtlinie ist die EU-Ebene. Sie bindet jeden Mitgliedstaat, auch Malta, mit einem einheitlichen Mindestniveau für wesentliche und wichtige Einrichtungen. Malta muss dieses Niveau in maltesisches Recht überführen und eine Aufsicht darunter führen.

Malta setzt NIS 2 über das Legal Notice 71 of 2025 um, formal die Measures for a High Common Level of Cybersecurity across the European Union (Malta) Order, veröffentlicht im Government Gazette am 8. April 2025 und geführt als Subsidiary Legislation 460.41. Malta hat die EU Frist vom 17. Oktober 2024 verpasst, jedoch umgesetzt, bevor die Europäische Kommission im Mai 2025 zur mit Gründen versehenen Stellungnahme eskaliert hat. Auf der Liste der neunzehn Mitgliedstaaten, die diese Stellungnahme erhalten haben, stand Malta nicht.

Die Critical Information Infrastructure Protection Einheit im Ministerium für Inneres und nationale Sicherheit wird von der Europäischen Kommission als zuständige Behörde und Single Point of Contact unter NIS 2 für wesentliche und wichtige Einrichtungen geführt. CSIRTMalta ist das nationale CSIRT für die Bearbeitung und Koordination von Sicherheitsvorfällen.

Wo die Regeln stehen
Drei Ebenen, die jeder auseinanderhalten muss, der die maltesische NIS 2 Lage liest.

EU Richtlinie

Richtlinie (EU) 2022/2555 (NIS 2)

Die EU-weite Cybersicherheitsrichtlinie. Sie legt die Pflichten fest, die jeder Mitgliedstaat umzusetzen hat, einschließlich der Größen- und Sektorprüfung für wesentliche und wichtige Einrichtungen.

EU Durchführung

Durchführungsverordnung (EU) 2024/2690

Technische und methodische Maßnahmen für Anbieter digitaler Infrastruktur. In Malta unmittelbar anwendbar, ohne nationale Umsetzung.

Maltesische Umsetzung

Legal Notice 71 of 2025 (SL 460.41), veröffentlicht am 8. April 2025

Maltas NIS 2 Umsetzung, formal die Measures for a High Common Level of Cybersecurity across the European Union (Malta) Order. Als Subsidiary Legislation steht sie unter einem Parent Act, der operative Detail kommt über Leitlinien der zuständigen Behörde.

Drei Punkte, die man kennen muss
Was sich für Einrichtungen mit Aktivität in Malta ändert.
Umsetzung

Legal Notice 71 of 2025

Bringt die NIS 2 Pflichten als Subsidiary Legislation 460.41 in maltesisches Recht. Definiert die Kategorien wesentliche und wichtige Einrichtung, die Befugnisse der zuständigen Behörde, Meldepflichten und Sanktionen. Als Legal Notice kann der Text schneller geändert werden als ein Parent Act, deshalb sollte man den Eintrag bei legislation.mt im Auge behalten und sich nicht auf eine statische Druckfassung verlassen.

Aufsicht

Zuständige Behörde und Single Point of Contact

Die Europäische Kommission führt die Critical Information Infrastructure Protection Einheit im Ministerium für Inneres und nationale Sicherheit als Maltas zuständige Behörde und Single Point of Contact unter NIS 2. Sie ist der Kanal für die grenzüberschreitende Koordination mit anderen Mitgliedstaaten, mit ENISA und mit der Kooperationsgruppe.

Fristen

Registrierung und Meldung

Die Richtlinie verlangt, dass Mitgliedstaaten wesentliche und wichtige Einrichtungen bis zum 17. April 2025 identifizieren. Maltas Legal Notice trat dicht an diesem Termin in Kraft. Erhebliche Vorfälle folgen der Richtlinie: Frühwarnung in 24 Stunden, Meldung in 72 Stunden, Abschlussbericht in einem Monat. Wo die maltesische Order ein nationales Portal oder ein Kontaktformular vorsieht, veröffentlicht die zuständige Behörde den Kanal.

Zwei Prinzipien, die jeden Grenzfall klären
Vor jedem maltesischen Kommentar zu NIS 2 lesen.

Auf maltesischem Boden gilt maltesisches Recht

Aktivitäten auf maltesischem Staatsgebiet folgen der maltesischen Umsetzung. Eine ausländische Konzernmutter mit maltesischer Tochter liest für diese Tochter das Legal Notice 71 of 2025, nicht das BSIG oder das Recht eines anderen Mitgliedstaats. Die Richtlinienpflichten sind identisch. Verfahren, Registrierungskanal und Sanktionen stehen aber im maltesischen Recht.

Malta darf nicht unter das EU Niveau fallen

Die Richtlinie ist eine Mindestharmonisierung. Malta darf strenger werden. Malta darf aber nicht unter die Richtlinie fallen, weder bei den Pflichten für wesentliche und wichtige Einrichtungen, noch bei Meldefristen, noch bei der Verantwortung des Leitungsorgans.

Wer macht was in Malta
Drei Institutionen, die in fast jeder maltesischen NIS 2 Frage auftauchen.
MT

Critical Information Infrastructure Protection Einheit

Die zuständige Behörde und der Single Point of Contact, geführt von der Europäischen Kommission, angesiedelt im Ministerium für Inneres und nationale Sicherheit. Koordiniert die Aufsicht über wesentliche und wichtige Einrichtungen, erfüllt die grenzüberschreitende Single Point of Contact Funktion und kanalisiert die Durchsetzung nach Legal Notice 71 of 2025.

MT

CSIRTMalta

Maltas nationales CSIRT für die Bearbeitung und Koordination von Sicherheitsvorfällen unter NIS 2. Nimmt Meldungen erheblicher Vorfälle entgegen, unterstützt betroffene Einrichtungen und nimmt am EU CSIRTs Network teil. Der konkrete NIS 2 Meldekanal und ein etwaiges technisches Portal liegen bei CSIRTMalta und der zuständigen Behörde, die jeweils aktuelle Einreichungsform steht in deren veröffentlichter Anleitung.

EU

ENISA

Die EU Cybersicherheitsagentur. Veröffentlicht Leitlinien, betreibt die europäische Schwachstellendatenbank und koordiniert grenzüberschreitend. Keine Aufsicht für maltesische Einrichtungen. Die liegt bei der nationalen zuständigen Behörde.

Fallstricke
Fehler, die wir sehen, wenn maltesische Einrichtungen NIS 2 zum ersten Mal lesen.
  • Wir folgen dem, was unsere deutsche Mutter macht, also ist NIS 2 abgedeckt.

    Die Richtlinienpflichten sind identisch, das nationale Verfahren ist es nicht. Eine maltesische Tochter registriert sich in Malta bei der maltesischen zuständigen Behörde, meldet Vorfälle über CSIRTMalta und unterliegt maltesischen Sanktionen. Das BSIG steuert die deutsche Einrichtung. Das maltesische Legal Notice 71 of 2025 steuert die maltesische Einrichtung. Konzernweite Compliance ersetzt die maltesische Anmeldung nicht.

  • Es gibt noch keinen maltesischen NIS 2 Registrierungskanal, also warten wir ab.

    Die Richtlinienpflichten greifen ab dem Moment, in dem die Einrichtung im Anwendungsbereich ist, nicht erst, wenn ein Portal poliert aussieht. Wo Malta noch kein Online Register stehen hat, veröffentlicht die zuständige Behörde einen Übergangskanal. Stillhalten ist nach Artikel 21 der Richtlinie keine Verteidigung, sobald die Größen- und Sektorprüfung getroffen ist.

  • NIS 2 in Malta trifft nur die offensichtlich kritischen Sektoren.

    Der Größentest deckelt standardmäßig bei mittleren und großen Unternehmen, die Richtlinie fängt aber auch kleine Einrichtungen, wenn sie einziger Anbieter sind, grenzüberschreitend wirken oder das nationale Recht sie zusätzlich nennt. Öffentliche Verwaltungen und bestimmte digitale Anbieter sind unabhängig von der Größe drin. Die Anwendbarkeitsprüfung muss Fall für Fall passieren, nicht über die reine Unternehmensgröße.

Aus der Praxis

Die meisten maltesischen Betreiber, die uns begegnen, behandeln NIS 2 als das nächste Compliance Dossier nach der DSGVO. Als Projektrahmen ist das in Ordnung. Inhaltlich ist es etwas anderes: Die Richtlinie spricht von Dienstkontinuität, Lieferkettenrisiko und Verantwortung des Leitungsorgans, nicht nur von personenbezogenen Daten. Die Direktoren einer maltesischen Gesellschaft unter NIS 2 geben den Risikomanagement Standard und die eigene Schulung persönlich frei. Diese Freigabe ist nicht an die Konzernmutter oder an einen externen Berater delegierbar.

Der praktische Ablauf ist EU-weit derselbe: Anwendbarkeit gegen die Richtlinie prüfen, bei der nationalen zuständigen Behörde registrieren, sobald der Kanal offen ist, die vier Dauerpflichten aufsetzen (Registrierungsdaten pflegen, Vorfallmeldung, Lieferkettenrisiko, Aufsicht durch das Leitungsorgan) und das Minimum dokumentieren. Wo CSIRTMalta oder die zuständige Behörde sektorale Leitlinien veröffentlichen, nutzt man sie. Wo nicht, sind der Richtlinientext und die Durchführungsverordnung der Rückfall.

Was die Plattform liefert

Wir bauen das NIS 2 Pflichtenregister auf der EU Ebene, nicht auf einer einzelnen nationalen Umsetzung. Die gleiche Checkliste passt für eine maltesische Tochter unter Legal Notice 71 of 2025, eine deutsche Mutter unter BSIG und eine niederländische Schwester unter dem Cyberbeveiligingswet. Die Artikelverweise wechseln pro Land, die Pflichten in der Sache nicht.

Für den maltesischen Scope startet man mit der Anwendbarkeitsprüfung, dann Meldetakt, Lieferkettenklauseln und Freigabe durch das Leitungsorgan. Wo CSIRTMalta oder die zuständige Behörde sektorale Leitlinien veröffentlicht, verlinken wir sie. Wir kopieren sie nicht.

Quellen
  • Richtlinie (EU) 2022/2555 (NIS 2): EUR-Lex
  • Durchführungsverordnung (EU) 2024/2690
  • Legal Notice 71 of 2025, Measures for a High Common Level of Cybersecurity across the European Union (Malta) Order: legislation.mt (SL 460.41)
  • Europäische Kommission, NIS 2 Umsetzungsseite Malta: digital-strategy.ec.europa.eu
  • Europäische Kommission, mit Gründen versehene Stellungnahmen zur NIS 2 Umsetzung vom Mai 2025 (Malta nicht gelistet)
  • CSIRTMalta, nationales CSIRT Maltas
  • ENISA, Agentur der Europäischen Union für Cybersicherheit
Maltesischen Scope in unter fünf Minuten klären
Die Anwendbarkeitsprüfung wendet den Größen- und Sektorentest der Richtlinie an. Wenn die maltesische Tochter im Anwendungsbereich ist, ist der nächste Schritt der Registrierungskanal der zuständigen Behörde.