NIS 2 Status Spanien
Was die Richtlinie verlangt, wo die spanische Umsetzung steht und welche Rolle CCN und INCIBE in der Zwischenzeit spielen.
Überblick
Die NIS 2 Richtlinie ist die EU Ebene. Sie bindet jeden Mitgliedstaat, also auch Spanien, an einen einheitlichen Mindeststandard für wesentliche und wichtige Einrichtungen. Spanien muss diesen Standard in spanisches Recht überführen und eine Aufsicht darauf aufbauen.
Spanien hat die in Artikel 41 NIS 2 verankerte Umsetzungsfrist vom 17. Oktober 2024 nicht eingehalten. Der Ministerrat hat am 14. Januar 2025 den Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad verabschiedet. Mit Stand Mitte 2026 befindet sich der Entwurf jedoch weiterhin im parlamentarischen Verfahren und wurde noch nicht im Boletín Oficial del Estado veröffentlicht.
Solange das Gesetz nicht verabschiedet ist, gilt weiterhin der frühere Real Decreto-ley 12/2018 (Umsetzung der NIS 1 Richtlinie), und die Aufsicht bleibt zwischen dem Centro Criptológico Nacional (CCN) und dem Instituto Nacional de Ciberseguridad (INCIBE) aufgeteilt, ergänzt durch sektorspezifische Behörden für Finanz und andere regulierte Bereiche. Die Europäische Kommission hat am 7. Mai 2025 eine mit Gründen versehene Stellungnahme an Spanien wegen der ausstehenden Umsetzung gerichtet.
EU Richtlinie
Richtlinie (EU) 2022/2555 (NIS 2)
Die EU weite Cybersicherheitsrichtlinie. Legt die Pflichten fest, die jeder Mitgliedstaat umsetzen muss, einschließlich der Größen und Sektor Tests für wesentliche und wichtige Einrichtungen. Die authentische spanische Fassung ist auf EUR-Lex veröffentlicht.
EU Durchführungsverordnung
Durchführungsverordnung (EU) 2024/2690 der Kommission
Technische und methodische Maßnahmen für Anbieter digitaler Infrastruktur. In Spanien ohne nationale Umsetzung unmittelbar anwendbar.
Spanische Umsetzung (im Verfahren)
Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad
Verabschiedet vom Ministerrat am 14. Januar 2025. Der Text richtet ein Centro Nacional de Ciberseguridad bei der Presidencia del Gobierno ein, das als einzige nationale zuständige Behörde fungieren soll. Der Entwurf befindet sich weiterhin im Gesetzgebungsverfahren. Bis zur Verabschiedung gilt der frühere Real Decreto-ley 12/2018 (NIS 1 Umsetzung) fort.
Ley de Coordinación y Gobernanza de la Ciberseguridad (Entwurf)
Der Entwurf überträgt die NIS 2 Pflichten in spanisches Recht, definiert wesentliche und wichtige Einrichtungen, regelt Aufsichtsbefugnisse, Meldepflichten und Sanktionen. Bis zur Veröffentlichung im BOE bleiben für Einrichtungen mit Tätigkeit in Spanien die Richtlinie selbst und der bestehende Real Decreto-ley 12/2018 die operative Bezugspunkte.
Geplantes Centro Nacional de Ciberseguridad
Der Entwurf sieht ein Centro Nacional de Ciberseguridad bei der Presidencia del Gobierno als einzige nationale zuständige Behörde und EU Kontaktstelle vor. In der Übergangszeit bleibt die Aufsicht geteilt: CCN für den öffentlichen Sektor und den Anwendungsbereich des Esquema Nacional de Seguridad, INCIBE für Privatwirtschaft und Bürgerinnen, ergänzt durch sektorspezifische Aufsichtsbehörden.
Frist nach Artikel 41 verfehlt
Artikel 41 NIS 2 setzt die Umsetzungsfrist auf den 17. Oktober 2024. Spanien hat diese Frist nicht eingehalten. Die Europäische Kommission hat am 7. Mai 2025 eine mit Gründen versehene Stellungnahme an Spanien gerichtet. Das ist die zweite formelle Stufe eines Vertragsverletzungsverfahrens vor einer möglichen Anrufung des Gerichtshofs der Europäischen Union.
In Spanien gilt spanisches Recht
Tätigkeiten auf spanischem Hoheitsgebiet richten sich nach der spanischen Umsetzung, sobald diese in Kraft tritt. Eine deutsche Geschäftsführerin mit spanischer Tochter wird die spätere Ley de Coordinación y Gobernanza de la Ciberseguridad für diese Tochter heranziehen, nicht das deutsche BSIG. In der Übergangszeit bleiben der Real Decreto-ley 12/2018 und die Richtlinie selbst die Bezugspunkte.
Spanien darf den EU Mindeststandard nicht unterschreiten
Die Richtlinie ist ein Instrument der Mindestharmonisierung. Die verspätete spanische Umsetzung senkt den Mindeststandard nicht. Die Pflichten für wesentliche und wichtige Einrichtungen, die Meldefristen und die Verantwortung der Leitungsorgane bleiben in der Richtlinie und in der EuGH Rechtsprechung zur unmittelbaren Wirkung nicht umgesetzter Richtlinien verankert.
INCIBE und INCIBE-CERT
Das Instituto Nacional de Ciberseguridad, angesiedelt beim Ministerium für digitale Transformation. INCIBE-CERT ist die Referenzstelle für Vorfallsbearbeitung bei Bürgerinnen und privatrechtlichen Einrichtungen. Für Vorfälle bei kritischen privatwirtschaftlichen Betreibern wird sie gemeinsam mit der Koordinierungsstelle für Cybersicherheit des Innenministeriums betrieben.
CCN und CCN-CERT
Das Centro Criptológico Nacional, angegliedert an das Centro Nacional de Inteligencia (CNI). CCN-CERT ist das Regierungs-CERT für den öffentlichen Sektor, gegründet 2006 auf Grundlage des Ley 11/2002, des Real Decreto 421/2004 und des Real Decreto 311/2022, der das Esquema Nacional de Seguridad (ENS) regelt.
ENISA
Die EU Cybersicherheitsagentur. Veröffentlicht Leitlinien, betreibt die europäische Schwachstellendatenbank und unterstützt die grenzüberschreitende Koordination. Keine Aufsichtsbehörde für spanische Einrichtungen. Diese Rolle haben CCN, INCIBE und sektorspezifische Behörden, mit dem geplanten Centro Nacional de Ciberseguridad als zukünftiger Bündelung nach Verabschiedung des Gesetzes.
Wenn Deutschland das BSIG hat, hat Spanien etwas Vergleichbares in Kraft.
Deutschland hat das NIS2UmsuCG selbst noch nicht in Kraft gesetzt und befindet sich in derselben Verzögerung. Spanien ist auf der Entwurfsseite weiter (der Anteproyecto wurde am 14. Januar 2025 vom Ministerrat verabschiedet), aber im BOE ist noch nichts veröffentlicht. Spanische Töchter können sich nicht auf ein in Kraft getretenes nationales Gesetz berufen und müssen die Richtlinie selbst sowie den fortgeltenden Real Decreto-ley 12/2018 lesen.
Es gibt noch kein spanisches Gesetz, also gibt es nichts zu tun.
Die Richtlinie selbst entfaltet auf EU Ebene seit dem 18. Oktober 2024 Wirkung. Die EuGH Rechtsprechung erkennt nicht umgesetzten Richtlinien teilweise unmittelbare Wirkung gegenüber dem Mitgliedstaat zu. Die in der Richtlinie verankerte Frist zur Identifizierung wesentlicher und wichtiger Einrichtungen durch die Mitgliedstaaten bindet Spanien unabhängig vom Stand des Gesetzentwurfs. Betreiber sollten Anwendbarkeitsprüfungen, Meldeprozesse und die Freigabe durch das Leitungsorgan jetzt vorbereiten, nicht erst nach Veröffentlichung im BOE.
Unsere Sektoraufsicht wird uns sagen, was zu tun ist.
Manche Sektoren haben eine klare Aufsicht (Finanz mit der Banco de España und DORA als lex specialis, Energie mit der CNMC). Viele haben das noch nicht, weil der Gesetzentwurf die Aufsichtsarchitektur noch nicht abschließend regelt. Die Pflichten aus der Richtlinie gelten unabhängig davon, welche nationale Stelle am Ende durchsetzt.
Die meisten spanischen Mittelstandsbetreiber, die wir sehen, behandeln NIS 2 als Aufgabe, die sich bis zur Veröffentlichung des endgültigen Gesetzes im Boletín verschieben lässt. Das ist eine teure Wette. Die Frist aus Artikel 41 ist am 17. Oktober 2024 abgelaufen, die Kommission ist am 7. Mai 2025 in die Phase der mit Gründen versehenen Stellungnahme eingetreten, und die materiellen Pflichten (Freigabe der Risikomaßnahmen durch das Leitungsorgan, 24 Stunden Frühwarnung, 72 Stunden Meldung, Lieferkettenklauseln) werden sich zwischen Entwurf und endgültigem Text kaum noch ändern.
Der praktische Weg ist derselbe wie überall in der EU: Anwendbarkeit unter der Richtlinie prüfen, Registrierung vorbereiten, sobald das Portal des Centro Nacional de Ciberseguridad angekündigt wird, die vier laufenden Pflichten aufsetzen (Registrierungsdaten aktuell halten, Vorfallsmeldung, Lieferkettenrisiko, Aufsicht durch das Leitungsorgan) und das Minimum dokumentieren. Bestehende Leitfäden von CCN und INCIBE sowie die Meldekanäle aus Real Decreto-ley 12/2018 bleiben nutzbar, solange das neue Gesetz noch nicht in Kraft ist.
Wir bauen das NIS 2 Pflichtenregister auf der EU Ebene auf, nicht auf einer einzelnen nationalen Umsetzung. Dieselbe Checkliste funktioniert für eine spanische Tochter, die sich auf die spätere Ley de Coordinación y Gobernanza de la Ciberseguridad bezieht, eine deutsche Mutter, die das BSIG nutzt, und eine niederländische Schwester, die mit der Cyberbeveiligingswet arbeitet. Die Artikelverweise wechseln je Sprache, die materiellen Pflichten nicht.
Für den spanischen Anwendungsbereich beginnt man mit der Anwendbarkeitsprüfung anhand der Anhänge I und II der Richtlinie und arbeitet dann an Meldekadenz, Lieferkettenklauseln und Freigabe durch das Leitungsorgan. Wo CCN, INCIBE oder sektorspezifische Aufsichtsbehörden Leitfäden veröffentlichen, verweisen wir darauf, ohne sie zu duplizieren.
- Richtlinie (EU) 2022/2555 (NIS 2), Artikel 41 Umsetzungsfrist. EUR-Lex.
- Durchführungsverordnung (EU) 2024/2690 der Kommission.
- Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, Verabschiedung durch den Ministerrat am 14. Januar 2025. Departamento de Seguridad Nacional (dsn.gob.es).
- Europäische Kommission, mit Gründen versehene Stellungnahme an Spanien wegen fehlender vollständiger Umsetzung von NIS 2, 7. Mai 2025.
- Real Decreto-ley 12/2018, NIS 1 Umsetzung, Boletín Oficial del Estado.
- CCN-CERT, Centro Criptológico Nacional, gegründet 2006 auf Grundlage des Ley 11/2002 und des Real Decreto 421/2004; Real Decreto 311/2022 zum Esquema Nacional de Seguridad.
- INCIBE-CERT, Instituto Nacional de Ciberseguridad, Ministerio para la Transformación Digital.