NIS 2 Status in Zypern
Was die Richtlinie fordert, wie Zypern sie umsetzt, und wo die DSA im Bild steht.
Überblick
Die NIS 2 Richtlinie ist die EU-Ebene. Sie bindet jeden Mitgliedstaat, auch Zypern, mit einem einheitlichen Mindestniveau für wesentliche und wichtige Einrichtungen. Zypern muss dieses Niveau in zypriotisches Recht überführen und eine Aufsicht darunter führen.
Zypern hat die Umsetzungsfrist am 17. Oktober 2024 nicht eingehalten. Die Europäische Kommission hat Zypern am 7. Mai 2025 eine begründete Stellungnahme wegen Nichtmitteilung der vollständigen Umsetzung zugestellt. Öffentliche Quellen verweisen auf das Änderungsgesetz 60(I)/2025, das das bestehende Gesetz 89(I)/2020 zur Sicherheit von Netz- und Informationssystemen aktualisiert. Vor jeder konkreten Anwendung sollte die exakte Fundstelle im Amtsblatt der Republik Zypern (Επίσημη Εφημερίδα) gegengeprüft werden.
Die Digital Security Authority (DSA, Αρχή Ψηφιακής Ασφάλειας) ist die zuständige Behörde. Das nationale CSIRT-CY arbeitet daneben. Die Registrierungsmechanik und die Sektorleitlinien werden noch veröffentlicht. Belastbare Details zum nationalen Einrichtungsregister waren in den geprüften DSA Quellen nicht abschließend dokumentiert.
EU Richtlinie
Richtlinie (EU) 2022/2555 (NIS 2)
Die EU-weite Cybersicherheitsrichtlinie. Sie legt die Pflichten fest, die jeder Mitgliedstaat umzusetzen hat, einschließlich der Größen- und Sektorprüfung für wesentliche und wichtige Einrichtungen.
EU Durchführung
Durchführungsverordnung (EU) 2024/2690
Technische und methodische Maßnahmen für Anbieter digitaler Infrastruktur. In Zypern unmittelbar anwendbar, ohne nationale Umsetzung.
Zypriotische Umsetzung
Gesetz 89(I)/2020 zur Sicherheit von Netz- und Informationssystemen, geändert durch Gesetz 60(I)/2025
Der zypriotische NIS 2 Rahmen. Das Gesetz von 2020 hatte ursprünglich die NIS 1 Richtlinie umgesetzt. Öffentliche Quellen deuten darauf hin, dass die Novelle aus dem Jahr 2025 die NIS 2 Pflichten in zypriotisches Recht überführen soll. Die Kommission hat die Umsetzung dennoch zum Stand 7. Mai 2025 als unvollständig bewertet. Weitere Durchführungsmaßnahmen und DSA Leitlinien sind zu erwarten.
Gesetz 89(I)/2020 in der Fassung
Das zypriotische Gesetz 89(I)/2020 zur Sicherheit von Netz- und Informationssystemen ist das Trägergesetz. Öffentliche Verweise sprechen von einem Änderungsgesetz 60(I)/2025, das die NIS 2 Pflichten überführen soll. Der genaue Text, die Definition wesentlicher und wichtiger Einrichtungen, die Aufsichtsbefugnisse der DSA, die Meldefristen und die Sanktionen sind vor jeder Meldung gegen das Amtsblatt der Republik Zypern abzugleichen.
DSA als zuständige Behörde
Die Digital Security Authority (DSA) ist die zypriotische zuständige Behörde für Cybersicherheit und ist auf der NIS 2 Länderseite der Europäischen Kommission als Kontaktstelle benannt. Das CSIRT-CY ist das nationale CSIRT und sitzt zusammen mit der DSA in Nikosia. Sektorregulatoren behalten ihre Zuständigkeit dort, wo Lex specialis greift, insbesondere im Finanzsektor unter DORA.
EU Fristen gelten trotzdem
Zypern hat die Umsetzungsfrist am 17. Oktober 2024 versäumt. Sobald das zypriotische Recht nachzieht, gilt die Richtlinientaktung: Identifikation der Einrichtungen entlang Artikel 27 NIS 2, Frühwarnung in 24 Stunden, Vorfallmeldung in 72 Stunden, Abschlussbericht in einem Monat. Bis das zypriotische Recht vollständig wirkt, bleibt die Richtlinienebene die Referenz.
In Zypern gilt zypriotisches Recht
Aktivitäten auf zypriotischem Staatsgebiet folgen der zypriotischen Umsetzung. Ein deutscher Geschäftsführer mit zypriotischer Tochter liest für diese Tochter das Gesetz 89(I)/2020 in der jeweils geltenden Fassung, nicht das BSIG. Die Richtlinienpflichten sind identisch. Verfahren, Registrierungskanal und Sanktionen stehen aber im zypriotischen Recht.
Zypern darf nicht unter das EU Niveau fallen
Die Richtlinie ist eine Mindestharmonisierung. Zypern darf strenger werden. Zypern darf aber nicht unter die Richtlinie fallen, weder bei den Pflichten für wesentliche und wichtige Einrichtungen, noch bei Meldefristen, noch bei der Verantwortung des Leitungsorgans. Die begründete Stellungnahme der Kommission unterstreicht das.
DSA
Die Digital Security Authority ist die zypriotische zuständige Behörde für NIS 2 und die auf der EU Länderseite benannte Kontaktstelle. Sie ist administrativ eng mit dem Büro des Kommissars für elektronische Kommunikation und Postregulierung verbunden. Operative Details zum Einrichtungsregister waren in den geprüften Quellen nicht abschließend dokumentiert.
CSIRT-CY
Das zypriotische nationale CSIRT. Sitzt zusammen mit der DSA in Nikosia. Technische Kontaktstelle für Vorfallmeldungen und grenzüberschreitende Koordination.
ENISA
Die EU Cybersicherheitsagentur. Veröffentlicht Leitlinien, betreibt die europäische Schwachstellendatenbank und koordiniert grenzüberschreitend. Keine Aufsicht über zypriotische Einrichtungen. Die liegt bei der DSA.
Zypern ist in der EU, also können wir einfach die BSIG Regeln auf unsere zypriotischen Aktivitäten anwenden.
Die Richtlinienpflichten sind identisch. Trägergesetz, zuständige Behörde, Registrierungskanal und Sanktionsregime sind aber zypriotisch. Eine zypriotische Tochter meldet an die DSA und an das CSIRT-CY, nicht an das BSI. Konzernrichtlinien dürfen gemeinsam sein, die Behördenkommunikation nicht.
Zypern hat NIS 2 noch nicht umgesetzt, also müssen wir bis zur Verabschiedung nichts tun.
Die Richtlinie ist der Mindeststandard. Die Taktung von 24 Stunden, 72 Stunden und einem Monat für die Vorfallmeldung gilt als EU Pflicht unabhängig vom zypriotischen Umsetzungsstand. Die begründete Stellungnahme der Kommission vom 7. Mai 2025 erhöht den Druck auf zypriotische Betreiber, sie verschafft ihnen keinen Spielraum. Das Pflichtenregister wird gegen die Richtlinie aufgebaut. Zypriotische Spezifika werden ergänzt, sobald sie veröffentlicht sind.
Wir sind kein zypriotischer Betreiber kritischer Infrastrukturen, also gilt NIS 2 für uns in Zypern nicht.
Der NIS 2 Anwendungsbereich in Zypern folgt den Anhängen I und II der Richtlinie plus Größentest, nicht der alten zypriotischen Liste kritischer Infrastrukturen. Viele mittelständische Anbieter in digitalen Diensten, Managed Services, der Fertigung und der Abfallwirtschaft fallen in den Scope, obwohl sie auf keiner zypriotischen KRITIS Liste stehen. Die Anwendbarkeit ist gegen die Richtlinie zu prüfen.
Die meisten zypriotischen Betreiber, die uns begegnen, behandeln NIS 2 noch als ein Problem der Zukunft. Das stimmt nur zur Hälfte. Das Trägergesetz bewegt sich langsam. Die Richtlinienpflichten nicht. Leitungsorgane in Zypern haften für die Freigabe des Risikomanagements und die eigene Schulung in dem Moment, in dem das zypriotische Recht vollständig in Kraft tritt. Über die Richtlinie hinter einer verzögerten Umsetzung lässt sich das schon heute argumentieren.
Der praktische Schritt ist der gleiche wie überall in der EU: Anwendbarkeit gegen die Richtlinie prüfen, Registrierung vorbereiten, sobald der zypriotische Mechanismus veröffentlicht ist, die vier Dauerpflichten aufsetzen (Registrierungsdaten pflegen, Vorfallmeldung, Lieferkettenrisiko, Aufsicht durch das Leitungsorgan) und das Minimum dokumentieren. Die DSA und das CSIRT-CY sind die bereits bestehenden Kontaktpunkte.
Wir bauen das NIS 2 Pflichtenregister auf der EU Ebene, nicht auf einer einzelnen nationalen Umsetzung. Die gleiche Checkliste passt für eine zypriotische Tochter unter Gesetz 89(I)/2020 in der jeweils geltenden Fassung, eine deutsche Mutter unter BSIG und eine niederländische Schwester unter dem Cyberbeveiligingswet. Die Artikelverweise wechseln pro Land, die Pflichten in der Sache nicht.
Für den zypriotischen Scope startet man mit der Anwendbarkeitsprüfung, dann Meldetakt, Lieferkettenklauseln und Freigabe durch das Leitungsorgan. Wo die DSA Sektorleitlinien veröffentlicht, verlinken wir sie. Wir kopieren sie nicht.
- Richtlinie (EU) 2022/2555 (NIS 2), EUR-Lex
- Durchführungsverordnung (EU) 2024/2690
- Europäische Kommission, NIS 2 Länderseite Zypern, digital-strategy.ec.europa.eu
- Gesetz 89(I)/2020 zur Sicherheit von Netz- und Informationssystemen, geändert (laut öffentlichen Verweisen durch Gesetz 60(I)/2025), Amtsblatt der Republik Zypern
- Digital Security Authority (DSA), Αρχή Ψηφιακής Ασφάλειας, dsa.gov.cy
- CSIRT-CY, csirt.cy
- Begründete Stellungnahme der Kommission vom 7. Mai 2025 zur Nichtmitteilung der NIS 2 Umsetzung durch Zypern