CloudSoul
Ressourcen · Blog · NIS2

NIS2 in Luxemburg: Wie das Gesetz vom 5. Mai 2026 die EU-Richtlinie umsetzt

Luxemburg hat NIS2 mit dem Gesetz vom 5. Mai 2026 umgesetzt und ILR, HCPN sowie CIRCL als institutionelle Säulen benannt. Was jede wesentliche und wichtige Einrichtung wissen muss.

Daniel Grigorovich
Daniel Grigorovich
Gründer · 31 May 2026 · 16 Min. Lesezeit
NIS2
NIS2 in Luxemburg: Wie das Gesetz vom 5. Mai 2026 die EU-Richtlinie umsetzt

Wer sollte das lesen: Compliance-Beauftragte, CIOs, CISOs, Justiziare, Risikoverantwortliche und Operations-Leiter in Organisationen, die in Luxemburg tätig sind.

Nach mehr als zwei Jahren Vorbereitung hat Luxemburg die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) in nationales Recht umgesetzt. Das Gesetz vom 5. Mai 2026 über Maßnahmen zur Gewährleistung eines hohen Cybersicherheitsniveaus (das „NIS2-Gesetz”) wurde im Amtsblatt (Mémorial A 225) veröffentlicht und tritt sofort in Kraft. Es hebt das Gesetz von 2019, mit dem NIS1 umgesetzt wurde, auf und ändert mehrere angrenzende Texte, darunter die Gesetze zum elektronischen Geschäftsverkehr, zum Hochkommissariat für nationalen Schutz (HCPN, Haut-Commissariat à la Protection nationale) sowie zu elektronischen Kommunikationsnetzen und -diensten.

Für Organisationen, die in Luxemburg tätig sind, ändert sich die Rechtslage in drei konkreten Punkten. Erstens ist der Anwendungsbereich der regulierten Einrichtungen weitaus größer als unter NIS1: mittlere und große Unternehmen aus achtzehn Sektoren sind nun standardmäßig erfasst. Zweitens ist die institutionelle Architektur klargestellt, wobei das Luxemburgische Regulierungsinstitut (ILR, Institut Luxembourgeois de Régulation) als federführende zuständige Behörde bestätigt wurde. Drittens hat die Durchsetzung echte Zähne: Bußgelder erreichen 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen, ergänzt durch tägliche Zwangsgelder.

Dieser Artikel ist ein praxisorientierter Leitfaden für den Geschäftsleser zu dem, was das luxemburgische NIS2-Gesetz verlangt. Er ordnet jede Pflicht ihrem Gegenstück in der EU-Richtlinie zu, benennt die luxemburgische Stelle, mit der Sie für jede Interaktion zu tun haben, und verweist auf die Referenzartikel, die das jeweilige Thema vertiefen. Es handelt sich nicht um eine Rechtsberatung; dafür wenden Sie sich bitte an einen Rechtsbeistand. Aber es sollte einem Führungsteam genügen, um zu planen, zu budgetieren und Verantwortliche zu benennen.

Für einen breiteren Kontext zur Richtlinie selbst lesen Sie unseren NIS2-Compliance-Leitfaden.

Der gesetzgeberische Weg: von NIS1 zum Gesetz vom 5. Mai 2026

NIS1 wurde durch das Gesetz vom 28. Mai 2019 in luxemburgisches Recht umgesetzt. Dieses Gesetz galt für einen kleinen Kreis von „Betreibern wesentlicher Dienste”, die von sektoralen Aufsichtsbehörden identifiziert wurden, zuzüglich einer Handvoll digitaler Dienstanbieter. Es erfüllte seinen Zweck, ließ aber den Großteil der Wirtschaft außerhalb des Cybersicherheitsperimeters.

Das Gesetz vom 5. Mai 2026 ersetzt diesen Rahmen vollständig. Artikel 30 des neuen Gesetzes hebt das Gesetz von 2019 ausdrücklich auf. Die Bezugnahme auf den neuen Text erfolgt in der Form „Gesetz vom 5. Mai 2026 über Maßnahmen zur Gewährleistung eines hohen Cybersicherheitsniveaus”. Die parlamentarischen Dokumente führen den Gesetzentwurf unter Parl.-Dok. 8364. Der vollständige Text ist auf Legilux verfügbar: legilux.public.lu/eli/etat/leg/loi/2026/05/05/a225/jo.

Falls Ihre Organisation bereits unter NIS1 erfasst war, beginnen Sie nicht mit einem leeren Blatt: Artikel 11(1) Nummer 7° des neuen Gesetzes übernimmt zuvor benannte Betreiber wesentlicher Dienste als wesentliche Einrichtungen unter dem neuen Regime. Neue Pflichten gelten ab dem ersten Tag; das einzige, was übergeht, ist Ihr Benennungsstatus, nicht Ihre Compliance-Haltung. Für eine Zusammenfassung dessen, was sich zwischen den beiden Regimen ändert, lesen Sie NIS1 vs. NIS2: die wichtigsten Unterschiede.

Anwendungsbereich

Artikel 1 des NIS2-Gesetzes übernimmt die zweistufige Anwendungslogik der EU-Richtlinie.

Sektor plus Größe. Erstens muss die Einrichtung von einem in Anhang I oder Anhang II des Gesetzes aufgeführten Typ sein. Anhang I umfasst die elf Sektoren mit hoher Kritikalität: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten (Business-to-Business), öffentliche Verwaltung und Weltraum. Anhang II umfasst sieben weitere kritische Sektoren: Post- und Kurierdienste, Abfallbewirtschaftung, Herstellung und Vertrieb von Chemikalien, Herstellung und Vertrieb von Lebensmitteln, verarbeitendes Gewerbe (Medizinprodukte, Elektronik, elektrische Ausrüstungen, Maschinen, Kraftfahrzeuge, sonstige Fahrzeuge), Anbieter digitaler Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke) und Forschung. Zweitens muss die Einrichtung mindestens als mittleres Unternehmen im Sinne der Empfehlung 2003/361/EG der Kommission gelten oder diese Schwellen überschreiten.

Größenunabhängige Kategorien. Unabhängig von ihrer Größe gilt das Gesetz für Anbieter öffentlicher elektronischer Kommunikationsnetze und -dienste, Vertrauensdiensteanbieter, Register der Domänennamen oberster Stufe, DNS-Diensteanbieter, alleinige Anbieter in Luxemburg eines Dienstes, der für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Tätigkeiten wesentlich ist, Einrichtungen, deren Störung erhebliche Auswirkungen auf die öffentliche Sicherheit haben oder ein systemisches Risiko erzeugen könnte, auf nationaler oder regionaler Ebene kritische Einrichtungen, Einrichtungen der öffentlichen Verwaltung, Einrichtungen, die als kritische Einrichtungen im Sinne des Gesetzes vom 5. Mai 2026 über die Resilienz kritischer Einrichtungen identifiziert wurden, und Einrichtungen, die Domänennamen-Registrierungsdienste erbringen. Artikel 1(2) ist hier der maßgebliche Text.

Wenn Sie unsicher sind, ob das Gesetz auf Ihre Organisation Anwendung findet, ist die schnellste erste Prüfung unser NIS2-Anwendungsbereichsprüfer, der Sektor und Größe in drei Klicks durchläuft. Für eine tiefere Lektüre zur Anwendungslogik der Richtlinie lesen Sie unsere Leitfäden zu Anwendungsbereich und Anwendbarkeit von NIS2 und zur Unterscheidung zwischen wesentlichen und wichtigen Einrichtungen.

Der Finanzsektor verdient eine gesonderte Anmerkung. Artikel 1(5) des NIS2-Gesetzes schließt Einrichtungen aus, die in den Anwendungsbereich der Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor („DORA”) fallen, in Übereinstimmung mit Artikel 2(4) dieser Verordnung. Wo DORA gilt, gilt sie anstelle von NIS2 für denselben Sachverhalt. Wir entpacken die Abgrenzung in NIS2 und der Finanzsektor: wie DORA mit dem Bankensektor überlappt und in NIS2, DORA und CER: sich überlappende Regulierungen.

Die luxemburgische institutionelle Architektur

Das Gesetz vom 5. Mai 2026 benennt einen kleinen Kreis von Stellen und weist jeder eine klare Rolle zu. Das ist einer der nützlichsten Teile des Textes für Compliance-Teams: Er sagt Ihnen genau, mit wem Sie unter welchen Umständen sprechen.

Luxemburgisches Regulierungsinstitut (ILR, Institut Luxembourgeois de Régulation). Das ILR ist die für die Cybersicherheitsaufsicht und -durchsetzung nach dem Gesetz zuständige Behörde (Artikel 3). Es deckt standardmäßig alle Sektoren der Anhänge I und II ab, zuzüglich der kritischen Einrichtungen nach dem Resilienzgesetz vom 5. Mai 2026. Praktische Implikation: Das ILR ist die Stelle, die für die meisten Einrichtungen Inspektionen, Audits, Informationsanfragen, verbindliche Anweisungen und Bußgelder durchführen wird. Der NIS2-Hub des ILR wird veröffentlicht unter ilr.lu/en/sectors/niss/nis-2.

Aufsichtskommission des Finanzsektors (CSSF, Commission de surveillance du secteur financier). Die CSSF ist die zuständige Behörde für den Bankensektor und den Sektor der Finanzmarktinfrastrukturen (Anhang I Nummern 3 und 4) sowie für den Sektor der digitalen Infrastruktur und der Verwaltung von IKT-Diensten (Anhang I Nummern 8 und 9) im Hinblick auf Tätigkeiten, die der Aufsicht der CSSF unterliegen. Die meisten Finanzeinrichtungen unterliegen natürlich DORA statt NIS2, aber wo NIS2 weiterhin gilt, ist die CSSF zuständig.

Hochkommissariat für nationalen Schutz (HCPN, Haut-Commissariat à la Protection nationale). Das HCPN ist die nationale zentrale Anlaufstelle für die grenzüberschreitende Zusammenarbeit mit anderen Mitgliedstaaten, der Europäischen Kommission und der ENISA (Artikel 5) sowie die Behörde für das Management von Cyberkrisen, die Luxemburg in EU-CyCLONe vertritt (Artikel 6). Das HCPN ist auch die Heimat von GOVCERT.LU.

GOVCERT.LU. Vom HCPN betrieben, ist GOVCERT.LU das CSIRT (Computer Security Incident Response Team) für staatliche Verwaltungen und Dienste, öffentliche Einrichtungen sowie kritische Einrichtungen nach dem Resilienzgesetz (Artikel 7(1)). Es betreibt zudem MILCERT.LU für die Systeme der Armee.

CIRCL (Computer Incident Response Center Luxembourg). Betrieben von der GIE Luxembourg House of Cybersecurity (groupement d’intérêt économique, wirtschaftliche Interessenvereinigung), ist CIRCL das CSIRT für alle anderen Kategorien, die nicht von GOVCERT.LU abgedeckt sind (Artikel 7(1)). Für die meisten privaten wesentlichen und wichtigen Einrichtungen ist CIRCL die Stelle, die Vorfallsmeldungen entgegennimmt, technische Unterstützung leistet, die koordinierte Offenlegung von Schwachstellen organisiert (Artikel 9) und am CSIRT-Netzwerk auf EU-Ebene mitwirkt.

Wenn Sie die EU-weite Perspektive darauf möchten, wie diese Stellen in die Konzeption der Richtlinie passen, präsentiert unser Referenzartikel zu die institutionelle Architektur von NIS2: Behörden, CSIRTs und Anlaufstellen das Schema.

Nationale Strategie und Krisenplan

Das Gesetz ändert das Organisationsgesetz des HCPN, um zwei strategische Instrumente vorzuschreiben.

Die nationale Cybersicherheitsstrategie (neuer Artikel 9bis des HCPN-Gesetzes) muss Ziele, Governance, Mechanismen zur Risikobewertung, Vorsorgemaßnahmen, Richtlinien zur Sicherheit der Lieferkette, Schwachstellenmanagement, Unterstützung für KMU und einen Sensibilisierungsplan festlegen. Die Strategie wird mindestens alle fünf Jahre überprüft. Für Hintergrundwissen dazu, warum Artikel 7 der Richtlinie dies vorschreibt und wie gute Strategien aussehen, lesen Sie Die nationale Cybersicherheitsstrategie: was Artikel 7 verlangt.

Der nationale Reaktionsplan für großflächige Cybersicherheitskrisen und -vorfälle (neuer Artikel 9ter des HCPN-Gesetzes) definiert Krisenmanagementverfahren, Vorsorgemaßnahmen und die Modalitäten für die grenzüberschreitende Beteiligung an koordinierten Reaktionen auf EU-Ebene. Dies verankert die Rolle Luxemburgs in EU-CyCLONe und im CSIRT-Netzwerk. Siehe Die Kooperationsgruppe, EU-CyCLONe und das CSIRT-Netzwerk für die Mechanik auf EU-Ebene.

Die zehn Cybersicherheitsrisikomanagementmaßnahmen (Artikel 12)

Artikel 12 des NIS2-Gesetzes ist der operative Kern. Er verpflichtet wesentliche und wichtige Einrichtungen, „geeignete und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen” auf Grundlage eines Allgefahrenansatzes zu treffen. Der Text zählt zehn Kategorien von Maßnahmen auf, die mit Artikel 21(2) der Richtlinie identisch sind:

  • Strategien zur Risikoanalyse und Sicherheit von Informationssystemen;
  • Bewältigung von Sicherheitsvorfällen;
  • Geschäftskontinuität, einschließlich Backup-Management, Notfallwiederherstellung und Krisenmanagement;
  • Sicherheit der Lieferkette, einschließlich sicherheitsbezogener Aspekte der Beziehungen zu direkten Lieferanten und Dienstleistern;
  • Sicherheit bei Beschaffung, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Schwachstellenmanagement und -offenlegung;
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit der Cybersicherheitsrisikomanagementmaßnahmen;
  • grundlegende Cyberhygienepraktiken und Cybersicherheitsschulungen;
  • Konzepte und Verfahren zum Einsatz von Kryptografie und gegebenenfalls Verschlüsselung;
  • Personalsicherheit, Konzepte zur Zugangskontrolle und Anlagenverwaltung;
  • Multi-Faktor-Authentifizierung oder Lösungen zur kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gesicherte interne Notfallkommunikationssysteme, je nach Lage des Falles.

Für die vertiefte Behandlung dessen, was jede dieser Maßnahmen in der Praxis umfasst, lesen Sie Die 10 Cybersicherheitsmaßnahmen nach NIS2 Artikel 21. Das Allgefahrenprinzip, das über reine Cyberbedrohungen hinausgeht und die physische Umgebung einschließt, wird in Der Allgefahrenansatz: physische Sicherheit unter NIS2 entpackt. Das Risiko der Lieferkette erhält eine eigene Behandlung in Sicherheit der Lieferkette und Lieferantenrisiko unter NIS2.

Zwei Luxemburg-spezifische Hinweise. Erstens verlangt Artikel 12(3) von wesentlichen Einrichtungen, der zuständigen Behörde die ergriffenen Maßnahmen zu melden, in einem vom ILR oder von der CSSF durch Verordnung oder Rundschreiben festgelegten Format. Dies ist keine einzeilige Bestätigung: erwarten Sie eine strukturierte Übermittlung. Zweitens verlangt Artikel 12(4) von den Einrichtungen, die Ergebnisse der auf EU-Ebene koordinierten Sicherheitsrisikobewertungen für kritische Lieferketten nach Artikel 22 der Richtlinie zu berücksichtigen. Planen Sie, diese Bewertungen zu verfolgen und zu dokumentieren, wie Sie deren Erkenntnisse einbezogen haben.

Verantwortlichkeit des Leitungsorgans (Artikel 13)

Artikel 13 des NIS2-Gesetzes ist kurz, aber folgenschwer. Das Leitungsorgan wesentlicher und wichtiger Einrichtungen muss die Cybersicherheitsrisikomanagementmaßnahmen genehmigen, ihre Umsetzung überwachen und kann persönlich haftbar gemacht werden für Verstöße gegen Artikel 12. Mitglieder des Leitungsorgans müssen regelmäßig Schulungen absolvieren, und die Einrichtung muss ihren Mitarbeitern vergleichbare Schulungen anbieten.

Für Aufsichtsräte und Vorstände bedeutet dies, dass Cybersicherheit nicht länger ein „IT-Thema” ist, das an den CISO delegiert wird. Es ist eine Angelegenheit auf Vorstandsebene, mit dokumentierter Aufsicht, Schulungsnachweisen und Protokollen. Unser Artikel zu Vorstandsverantwortung und Governance unter NIS2 beschreibt, wie eine verteidigbare Governance-Haltung aussieht.

Vorfallsmeldung nach Artikel 14

Artikel 14 übernimmt das Drei-Uhren-Meldesystem der EU-Richtlinie, das eine der operativ wichtigsten Pflichten des Gesetzes darstellt.

Frühwarnung, innerhalb von 24 Stunden. Ohne unangemessene Verzögerung und in jedem Fall innerhalb von 24 Stunden, nachdem die Einrichtung von einem erheblichen Vorfall Kenntnis erlangt hat, übermittelt sie eine Frühwarnung an die zuständige Behörde. Die Frühwarnung gibt an, ob vermutet wird, dass der Vorfall durch rechtswidrige oder böswillige Handlungen verursacht wurde, und ob er grenzüberschreitende Auswirkungen haben könnte. Vertrauensdiensteanbieter arbeiten mit einer einzigen Meldefrist von 24 Stunden (Artikel 14(4) zweiter Unterabsatz).

Vorfallsmeldung, innerhalb von 72 Stunden. Die Meldung aktualisiert die Frühwarnung und liefert eine erste Bewertung von Schwere, Auswirkungen und (sofern verfügbar) Kompromittierungsindikatoren.

Abschlussbericht, spätestens einen Monat nach der Vorfallsmeldung. Der Bericht umfasst eine detaillierte Beschreibung, die Grundursache, die ergriffenen und laufenden Abhilfemaßnahmen sowie die grenzüberschreitenden Auswirkungen. Wenn der Vorfall zum Zeitpunkt eines Monats noch behandelt wird, übermittelt die Einrichtung einen Fortschrittsbericht und den Abschlussbericht innerhalb eines Monats nach Abschluss der Vorfallsbehandlung.

Die zuständige Behörde muss soweit möglich innerhalb von 24 Stunden nach Eingang der Frühwarnung eine erste Antwort liefern, einschließlich Anleitung und operativer Empfehlungen. Das CSIRT (CIRCL oder GOVCERT.LU je nach Lage des Falles) bietet auf Anfrage technische Unterstützung.

Für den praktischen Leitfaden zur Einhaltung der Fristen lesen Sie Der NIS2-Vorfallsmeldezeitplan. Dazu, wann ein Vorfall tatsächlich die Schwelle „erheblich” überschreitet (die schwierigste Entscheidung in den ersten 24 Stunden), lesen Sie Was macht einen Vorfall im Sinne von NIS2 erheblich.

Zertifizierung und Normen (Artikel 15)

Artikel 15 erlaubt der zuständigen Behörde, durch Verordnung von wesentlichen und wichtigen Einrichtungen zu verlangen, IKT-Produkte, -Dienste oder -Prozesse zu nutzen, die im Rahmen europäischer Cybersicherheits-Zertifizierungsschemata nach dem Cybersecurity Act (Verordnung (EU) 2019/881) zertifiziert sind. Er empfiehlt zudem die Nutzung qualifizierter Vertrauensdienste.

Dies ist noch kein hartes Mandat, aber es signalisiert die Richtung: die zuständige Behörde kann und wird im Zeitverlauf bestimmte Kontrollfamilien mit Zertifizierung verknüpfen. Das Verhältnis zu ISO 27001 und anderen anerkannten Normen wird in NIS2, ISO 27001 und Cybersicherheits-Zertifizierungsschemata behandelt.

Registrierung und Pflichten der Einrichtungen (Artikel 11 und 17)

Es gelten zwei Registrierungspfade.

Allgemeine Registrierung (Artikel 11(4)). Innerhalb von zwei Monaten nach Inkrafttreten des Gesetzes müssen erfasste Einrichtungen der zuständigen Behörde ihren Namen, Kontaktangaben, Sektor und Untersektor, die Mitgliedstaaten, in denen sie Dienste erbringen, und ihre Größe mitteilen. Änderungen sind innerhalb von zwei Wochen zu melden.

Registrierung des digitalen Sektors (Artikel 17). DNS-Diensteanbieter, Register der Domänennamen oberster Stufe, Anbieter von Domänennamen-Registrierungsdiensten, Cloud- und Rechenzentrumsanbieter, Anbieter von Content-Delivery-Netzwerken, Anbieter verwalteter Dienste, Anbieter verwalteter Sicherheitsdienste sowie Anbieter von Online-Marktplätzen, Suchmaschinen und sozialen Netzwerken müssen einen ausführlicheren Datensatz (einschließlich IP-Bereiche) an die zuständige Behörde übermitteln. Das ILR leitet diese Informationen an die ENISA weiter, damit das EU-weite Register nach Artikel 27 der Richtlinie aufgebaut werden kann.

Wenn Ihr Unternehmen ein Anbieter verwalteter Dienste oder ein MSSP ist, lesen Sie Werden MSPs und MSSPs unter NIS2 reguliert für die Implikationen. Für Cloud-, Rechenzentrums- und CDN-Anbieter lesen Sie Digitale Infrastruktur unter NIS2: Cloud und Rechenzentrum.

Aufsicht und Durchsetzung

Das Gesetz zieht eine scharfe Linie zwischen wesentlichen Einrichtungen (Artikel 22) und wichtigen Einrichtungen (Artikel 23), was die Art der Aufsicht angeht.

Wesentliche Einrichtungen unterliegen einer Aufsicht ex ante und ex post: Vor-Ort-Inspektionen, externe Aufsicht (einschließlich Stichproben), regelmäßige und zielgerichtete Sicherheitsaudits, Ad-hoc-Audits nach einem erheblichen Vorfall, Sicherheitsscans sowie Anfragen nach Informationen, Daten und Nachweisen. Die zuständige Behörde kann Audits durch eine unabhängige Stelle verlangen, wobei die Kosten von der auditierten Einrichtung getragen werden.

Wichtige Einrichtungen unterliegen nur einer Aufsicht ex post. Inspektionen, zielgerichtete Audits, Scans und Informationsanfragen bleiben möglich, werden aber typischerweise durch Hinweise auf Non-Compliance ausgelöst.

Beide Kategorien stehen demselben Werkzeugkasten an Durchsetzungsmaßnahmen gegenüber: Verwarnungen, verbindliche Anweisungen, Anordnungen zur Behebung von Mängeln, Anordnungen zur Information von Dienstempfängern über Cyberbedrohungen, Anordnungen zur Umsetzung von Auditempfehlungen, Benennung eines Überwachungsbeauftragten, öffentliche Bekanntmachung von Verstößen und Bußgelder. Nur für wesentliche Einrichtungen kann die zuständige Behörde, wenn diese Maßnahmen wirkungslos bleiben, beim Präsidenten des Bezirksgerichts Luxemburg (im Eilverfahren) zwei weitere Maßnahmen beantragen: vorübergehende Aussetzung einer Zertifizierung oder Genehmigung oder vorübergehendes Verbot, dass der Geschäftsführer oder gesetzliche Vertreter Leitungsfunktionen in der Einrichtung ausübt.

Unser Referenzartikel zu NIS2-Durchsetzungsbefugnisse, Sanktionen und Bußgelder zeigt, wie Behörden diese Werkzeuge in der Praxis einsetzen.

Bußgelder (Artikel 25 und 26)

Das Gesetz sieht zwei Bußgeldpfade vor.

Wesentliche operative Verstöße (Artikel 26). Verstöße gegen Artikel 12 (die zehn Maßnahmen) oder Artikel 14 (Vorfallsmeldung) lösen die wichtigsten Bußgelder aus:

  • Wesentliche Einrichtungen: bis zu 10.000.000 EUR oder 2 % des gesamten weltweiten Jahresumsatzes des Vorjahres des Unternehmens, je nachdem, welcher Betrag höher ist.
  • Wichtige Einrichtungen: bis zu 7.000.000 EUR oder 1,4 % des gesamten weltweiten Jahresumsatzes des Vorjahres des Unternehmens, je nachdem, welcher Betrag höher ist.

Diese Beträge entsprechen exakt der Richtlinie und sollen wirksam, verhältnismäßig und abschreckend sein. Für eine tiefgehende Behandlung der Kalibrierung und Anwendung dieser Obergrenzen lesen Sie Bußgelder nach NIS2: der Rahmen von 10 Mio. EUR und 7 Mio. EUR.

Verwaltungsverstöße (Artikel 25). Weitere definierte Verstöße (Versäumnisse bei der Registrierung nach Artikel 11(4), Pflichten des Leitungsorgans nach Artikel 13(1) und (2), Zertifizierung nach Artikel 15, Registrierung des digitalen Sektors nach Artikel 17(1) erster Unterabsatz und (2) sowie Genauigkeit der DNS-Daten nach Artikel 18(1) bis (6)) sind mit Bußgeldern bis zu 250.000 EUR belegt.

Zwangsgelder (Artikel 26(7)). Zusätzlich zu jedem Bußgeld kann die zuständige Behörde ihrer Entscheidung ein Zwangsgeld beifügen, um eine Einrichtung zur Beendigung eines Verstoßes zu zwingen: bis zu 1.250 EUR pro Tag, begrenzt auf insgesamt 25.000 EUR pro festgestelltem Verstoß.

Einziehung und Rechtsbehelf. Die Verwaltung der Registrierung, Domänen und Mehrwertsteuer (AED, Administration de l’enregistrement, des domaines et de la TVA) zieht die Bußgelder für das ILR ein, wobei vor dem Verwaltungsgericht eine Reformationsklage möglich ist (Artikel 25(4)). Das Verfahren ist kontradiktorisch: die Einrichtung hat das Recht, die Akte einzusehen, Stellungnahmen einzureichen sowie unterstützt oder vertreten zu werden.

Bei der Entscheidung, ob und wie hoch zu sanktionieren ist, muss die Behörde die Schwere und Dauer des Verstoßes, frühere Verstöße, materielle und immaterielle Schäden, Vorsatz oder Fahrlässigkeit, ergriffene Abhilfemaßnahmen, die Anwendung von Zertifizierungsmechanismen und den Grad der Zusammenarbeit abwägen. Wiederholte Verstöße, das Versäumnis, erhebliche Vorfälle zu melden oder zu beheben, die Behinderung von Audits und die Bereitstellung falscher Informationen gelten unter allen Umständen als schwerwiegend (Artikel 22(7)).

Sektorale Überschneidungen und Ausnahmen

Zwei Überschneidungsbereiche verdienen Aufmerksamkeit.

DSGVO (Artikel 24). Wenn eine Aufsichtsfeststellung auf eine Verletzung des Schutzes personenbezogener Daten im Sinne von Artikel 4(12) DSGVO hindeutet, muss die NIS2-zuständige Behörde unverzüglich die Nationale Datenschutzkommission (CNPD, Commission nationale pour la protection des données) informieren. Wenn die CNPD ein DSGVO-Bußgeld nach Artikel 58(2)(i) für denselben Sachverhalt verhängt, dürfen das ILR oder die CSSF nicht zusätzlich ein NIS2-Bußgeld nach Artikel 26 verhängen, können aber die nicht monetären Durchsetzungsmaßnahmen weiterhin anwenden. Die Wechselwirkung wird in Überschneidung von NIS2 und DSGVO: Cybersicherheit und Datenschutz entpackt.

DORA. Finanzsektor-Einrichtungen, die unter DORA fallen, sind nach Artikel 1(5) vom NIS2-Gesetz ausgenommen. Für Einrichtungen, die nur teilweise unter DORA fallen, gilt das NIS2-Gesetz für den verbleibenden Teil weiter. Die Abgrenzung und ihre Bedeutung für Banken und Finanzmarktinfrastrukturen behandelt NIS2 und der Finanzsektor: wie DORA mit dem Bankensektor überlappt.

Gleichwertige sektorspezifische Pflichten (Artikel 1(8)). Wenn ein anderer EU-Rechtsakt gleichwertige Pflichten zum Cybersicherheitsrisikomanagement und zur Vorfallsmeldung auferlegt (wobei Meldungen automatisch an die CSIRTs und die zuständigen Behörden weitergeleitet werden), gelten die entsprechenden Bestimmungen des NIS2-Gesetzes (einschließlich Kapitel 6 zu Aufsicht und Durchsetzung) nicht.

Sektorspezifische Lektüre

Wenn Ihre Organisation in einem regulierten Sektor tätig ist, weist die Anhangskategorisierung direkt auf die entsprechenden sektoralen Leitfäden:

Was Sie in diesem Quartal tun sollten

Für die meisten Führungsteams ist der richtige erste Schritt eine kurze, disziplinierte Gap-Analyse, die das Gesetz mit dem aktuellen Betrieb abgleicht und einen priorisierten Fahrplan erzeugt. Eine vernünftige Reihenfolge:

  1. Den Anwendungsbereich bestätigen. Nutzen Sie den NIS2-Anwendungsbereichsprüfer oder beauftragen Sie einen Rechtsbeistand mit einer Überprüfung von Artikel 1 an Ihren Tätigkeiten.
  2. Ihren Ansprechpartner identifizieren. ILR für den Standardfall; CSSF für Bankwesen, Finanzmarktinfrastrukturen sowie für CSSF-überwachte Tätigkeiten in den Bereichen digitale Infrastruktur und Verwaltung von IKT-Diensten.
  3. Registrieren. Bereiten Sie die Meldung nach Artikel 11(4) vor (und die Meldung nach Artikel 17, falls anwendbar). Die Uhr läuft mit zwei Monaten ab Inkrafttreten; warten Sie nicht auf eine Erinnerung.
  4. Den Vorstand informieren. Die persönliche Haftung nach Artikel 13 ist das wichtigste Gespräch, das auf Ebene des Leitungsorgans zu führen ist. Dokumentieren Sie die Genehmigung der Maßnahmen und die Schulungspläne.
  5. Das Vorfallsregime aufstellen. Bilden Sie Ihren Erkennungs-, Klassifizierungs- und Meldefluss auf die Uhren von 24 Stunden, 72 Stunden und einem Monat nach Artikel 14 ab. Hinterlegen Sie Ihre Kontaktdaten und Ihr primäres CSIRT (CIRCL oder GOVCERT.LU) im Voraus.
  6. Die Lücken nach Artikel 12 schließen. Führen Sie eine Kontrollabbildung gegen die zehn Kategorien durch. Wo Lieferkette oder MFA am schwächsten sind, priorisieren Sie diese.
  7. Dokumentieren, dokumentieren, dokumentieren. Artikel 22(7) macht Zusammenarbeit und nachweisbare Sorgfalt zu einem materiellen Faktor bei der Bußgeldberechnung. Bauen Sie die Nachweisspur jetzt auf, nicht erst nach dem ersten Audit.

Für ein längeres Handbuch durchquert der NIS2-Compliance-Leitfaden jede Pflicht der Reihe nach.

Quellen und Referenzen

Primärquellen:

Luxemburgische Stellen:

  • Luxemburgisches Regulierungsinstitut (ILR, Institut Luxembourgeois de Régulation), zuständige Behörde: ilr.lu/en/sectors/niss/nis-2.
  • Hochkommissariat für nationalen Schutz (HCPN, Haut-Commissariat à la Protection nationale), zentrale Anlaufstelle und Behörde für das Management von Cyberkrisen.
  • GOVCERT.LU (vom HCPN betrieben), nationales und staatliches CSIRT.
  • CIRCL (betrieben von der GIE Luxembourg House of Cybersecurity), CSIRT für private wesentliche und wichtige Einrichtungen sowie Koordinator für die Offenlegung von Schwachstellen.
  • Aufsichtskommission des Finanzsektors (CSSF, Commission de surveillance du secteur financier), zuständige Behörde für Bankwesen, Finanzmarktinfrastrukturen sowie für CSSF-überwachte Tätigkeiten in den Bereichen digitale Infrastruktur und Verwaltung von IKT-Diensten.

Dieser Artikel spiegelt das Gesetz wider, wie es am 5. Mai 2026 veröffentlicht wurde. ILR und CSSF werden in den kommenden Monaten Durchführungsverordnungen und -rundschreiben veröffentlichen; konsultieren Sie den NIS2-Hub des ILR für die aktuellsten offiziellen Leitlinien, bevor Sie operative Entscheidungen abschließen.

Daniel Grigorovich

Daniel Grigorovich · Gründer

Ich bin der Meinung, dass kein Unternehmen unter „Compliance-Checklisten“ oder der Auslegung vager gesetzlicher Vorschriften leiden sollte. Auch wenn ich nach wie vor an dem Grundsatz festhalte, dass alle Softwareprodukte zuverlässig und sicher sein sollten, möchte ich Unternehmen eine Möglichkeit bieten, die Herausforderungen zu meistern, die bei der Umsetzung dieser Anforderungen auftreten.

Weiterlesen

Mehr aus dem Blog.

Koordinierte Schwachstellenoffenlegung: Ein neuer Rahmen für Forscher
NIS2 · 29 May 2026

Koordinierte Schwachstellenoffenlegung: Ein neuer Rahmen für Forscher

Verstehen Sie den Rahmen für die koordinierte Schwachstellenoffenlegung nach NIS2 Artikel 12. Wie Forscher, Anbieter und CSIRTs im neuen europäischen CVD-Prozess zusammenarbeiten.
NIS2 für das verarbeitende Gewerbe: Autos, Elektronik und Maschinen
NIS2 · 27 May 2026

NIS2 für das verarbeitende Gewerbe: Autos, Elektronik und Maschinen

Verstehen Sie die NIS2-Anforderungen für Hersteller von Fahrzeugen, Elektronik und Maschinen. Was „wichtige Einrichtungen" gemäß Anhang II umsetzen müssen.
Verhältnismäßigkeit in der Praxis: Ihre NIS2-Maßnahmen richtig dimensionieren
NIS2 · 25 May 2026

Verhältnismäßigkeit in der Praxis: Ihre NIS2-Maßnahmen richtig dimensionieren

Meistern Sie die Verhältnismäßigkeitsanforderungen von NIS2. Lernen Sie, Cybersicherheitsmaßnahmen für wesentliche und wichtige Einrichtungen zu bewerten, zu skalieren und zu rechtfertigen.