NIS2 in Zypern

1. Schnellüberblick zur KMU-Anwendbarkeit in Zypern

Gilt NIS2 für KMU in Zypern?

Ja — abhängig von Sektor und Größe.

• Automatische Anwendbarkeit auf mittelgroße Einrichtungen (≥50 Beschäftigte und ≥€10 Millionen Umsatz oder Bilanzsumme) in erfassten Sektoren.
• Kleine oder Kleinst-Einrichtungen sind nur einbezogen, wenn sie förmlich benannt werden oder in hochkritischen Sektoren tätig sind.
• Gilt für in Zypern ansässige Einrichtungen und unter bestimmten Umständen für ausländische digitale Anbieter, die den zyprischen Markt bedienen.

KMU sollten auf Basis der Sektoreinstufung und gesetzlicher Schwellenwerte prüfen, ob sie unter das nationale Cybersicherheitsregime Zyperns fallen.

2. Überblick über die NIS2-Umsetzung in Zypern

Zypern setzt die Richtlinie durch Änderungen am Security of Network and Information Systems Law um, der die nationale Rechtsgrundlage für Cybersicherheitsaufsicht bildet.

Das aktualisierte Gesetz steht im Einklang mit der Richtlinie (EU) 2022/2555 und modernisiert Pflichten in Bezug auf Governance, Vorfallmeldungen, Aufsicht und Sanktionen.

Der Rechtsrahmen stärkt die Befugnisse der Aufsichtsbehörden bei gleichzeitiger struktureller Konsistenz mit der Richtlinie.

3. Anwendungsbereich in Zypern

Der sektorale Umfang Zyperns entspricht den Mindestkategorien der Richtlinie ohne bestätigte nationale Erweiterung.

4. Größenkriterien und KMU-Anwendbarkeit in Zypern

Die Basisschwellen gelten:

• ≥50 Beschäftigte und
• ≥€10 Millionen Jahresumsatz oder Bilanzsumme.

Einrichtungen, die in erfassten Sektoren beide Kriterien erfüllen, fallen automatisch in den Anwendungsbereich.

Kleine und Kleinstunternehmen können benannt werden, wenn sie als kritisch für wirtschaftliche Stabilität, öffentliche Sicherheit oder die Kontinuität wesentlicher Dienste eingestuft werden.

Zyprische Behörden behalten formelle Benennungsbefugnisse, sofern dies durch systemisches Risiko gerechtfertigt ist.

5. Einstufungsrahmen für Einrichtungen in Zypern

Einrichtungen werden kategorisiert als:

• Wesentliche Einrichtungen — Unterliegen proaktiver Aufsicht, einschließlich Audits und strukturiertem Compliance-Monitoring.
• Wichtige Einrichtungen — Unterliegen primär reaktiver Aufsicht, ausgelöst durch bedeutende Vorfälle oder Compliance-Bedenken.

Die Einstufung wird durch Sektor und Größe bestimmt. Behörden können Einrichtungen neu einstufen, wenn operative Auswirkungen oder Risikolage eine verstärkte Aufsicht rechtfertigen.

Die Einstufungsstruktur Zyperns spiegelt das zweistufige Modell der Richtlinie wider.

6. Anforderungen an das Management von Cybersicherheitsrisiken in Zypern

Zypern orientiert sich an der Richtlinien-Basis für das Management von Cybersicherheitsrisiken. Erfasste Einrichtungen müssen angemessene technische und organisatorische Maßnahmen umsetzen, die Folgendes adressieren:

• Risikobeurteilung und Systemsicherheit
• Vorbeugung und Reaktion auf Vorfälle
• Geschäftskontinuität und Krisenplanung
• NIS2-Lieferketten-Risikokontrollen in Zypern
• Sichere Systembeschaffung und -entwicklung
• Zugangskontrolle und Identitätsmanagement
• Verschlüsselungs- und kryptographische Schutzmaßnahmen
• Verfahren zum Schwachstellenmanagement
• Sensibilisierung und Schulung der Beschäftigten zur Cybersicherheit

Maßnahmen müssen dem Stand der Technik und dem Risikoprofil der Organisation entsprechen. Eine Ausrichtung an ISO/IEC 27001 und anerkannter zyprischer Cybersicherheitsleitlinien wird empfohlen.

Aufsicht über die Lieferkette umfasst vertragliche Schutzmechanismen und Lieferantenüberwachung zur Minderung kaskadierender Cyberrisiken.

7. Managementhaftung und Governance in Zypern

Leitungsorgane müssen Maßnahmen zum Management von Cybersicherheitsrisiken formell genehmigen und deren Umsetzung überwachen.

Nach dem nationalen Rahmen Zyperns gilt:

• Gremien sind für die Compliance-Aufsicht verantwortlich.
• Die Geschäftsleitung muss angemessene Cybersicherheitskenntnisse sicherstellen.
• Administrative Sanktionen können Governance-Versäumnisse adressieren.
• Die vorübergehende Suspendierung von Leitungsfunktionen kann unter richtlinienkonformen Mechanismen möglich sein.

Die NIS2-Standards zur Managementhaftung in Zypern heben die Verantwortung für Cybersicherheit auf die Führungsebene an.

8. Meldepflichten für Vorfälle in Zypern

9. Aufsichtsbehörden und Durchsetzungsmodell in Zypern

Zuständige Hauptbehörde: Digital Security Authority (DSA).

Zypern betreibt ein zentrales Aufsichtsmodell, unterstützt bei Bedarf durch Sektorregulierer.

Supervisory powers include:

• Anforderungen an Unterlagen und Auskünfte
• Sicherheitsaudits
• Vor-Ort-Inspektionen
• Verbindliche Compliance-Anordnungen
• Teilnahme an EU-Cybersicherheitskooperationsrahmen

Die Durchsetzungsstruktur steht im Einklang mit den Kooperationsmechanismen der Richtlinie.

10. NIS2-Bußgelder und Sanktionen in Zypern

Zypern wendet richtlinienkonforme Verwaltungssanktionen an.

Die Durchsetzung von NIS2-Bußgeldern in Zypern kann zudem Folgendes umfassen:

• Verbindliche Abhilfemaßnahmen
• Öffentliche Benennung nichtkonformer Einrichtungen
• Aussetzung von Zertifizierungen oder Genehmigungen
• Befugnisse zur Suspendierung von Leitungsfunktionen

Strafrechtliche Haftung gilt nur, soweit sie ausdrücklich in der zyprischen Gesetzgebung vorgesehen ist.

11. NIS2-Lieferkette und Lieferantensicherheit in Zypern

Einrichtungen müssen Drittparteien-Cyberrisiken steuern durch:

• Lieferanten-Due-Diligence
• Vertragliche Weitergabe von Sicherheitsanforderungen
• Laufende Überwachung von IKT-Lieferanten
• Analyse von Klumpenrisiken
• Minderung der Vorfallausbreitung

Der Ansatz Zyperns entspricht den Basisanforderungen der Richtlinie in Bezug auf das Management von Drittparteienrisiken.

12. Registrierungs- und Selbstidentifikationspflichten in Zypern

Entities within scope must:

• Registrierung bei den zuständigen Behörden
• Angabe unternehmensbezogener Identifikationsdaten
• Angabe der Sektorzuordnung
• Aktuelle Kontaktdaten pflegen

Verfahrensfristen folgen dem zyprischen Umsetzungsrahmen. Nach aktuellem Stand der Umsetzung folgt Zypern dem NIS2-Richtlinien-Basisrahmen. Nationale Durchführungsdetails können spezifische Pflichten präzisieren.

Selbstidentifikation ist erforderlich, sofern Einrichtungen die gesetzlichen Schwellenwerte erfüllen.

13. Zusammenspiel mit GDPR und anderen Gesetzen in Zypern

Die Datenschutz-Grundverordnung gilt weiterhin parallel.

Überschneidungen umfassen:

• 72-Stunden-Meldung bei Verletzungen personenbezogener Daten
• Koordination der Aufsichtsbehörden
• Parallele Untersuchungen zu Cybersicherheit und Datenschutz
• Sektorspezifische zyprische Cybersicherheitsregeln

14. Grenzüberschreitende Anwendbarkeit

Einrichtungen mit ihrer Hauptniederlassung in Zypern unterliegen für grenzüberschreitende Dienste der zyprischen Aufsicht.

Ausländische digitale Anbieter, die in Zypern Dienste anbieten, können je nach Niederlassungsstruktur lokalen Pflichten unterliegen.

Vertretungspflichten folgen den Richtlinienstandards für Nicht-EU-Anbieter, die zyprische Märkte bedienen.

15. Umsetzungszeitplan in Zypern

• Annahme der Richtlinie: 2022
• Nationale Gesetzesänderungen: 2024–2025
• Inkrafttreten: Nach nationaler Veröffentlichung
• Notifizierung an die Kommission: Gemäß EU-Verfahren
• Compliance-Meilenstein: Richtlinienkonforme Fristen

Der Umsetzungsprozess Zyperns entspricht dem EU-Implementierungsfahrplan.

16. Zentrale Erkenntnisse für KMU in Zypern

• Mittelgroße Einrichtungen in erfassten Sektoren sind automatisch im Anwendungsbereich.
• Kleine Einrichtungen können benannt werden, wenn sie für die wirtschaftliche oder öffentliche Stabilität kritisch sind.
• Governance-Aufsicht auf Vorstandsebene ist verpflichtend.
• Vorfalldokumentation folgt den Fristen 24h / 72h / 1 Monat.
• Finanzielle Sanktionen können bis zu €10 million oder 2% des globalen Umsatzes erreichen.
• Risikomanagement für Lieferanten ist eine Kernpflicht.
• Frühe Compliance-Planung verringert das Durchsetzungsrisiko.

FAQ: NIS2 Zypern KMU-Leitfaden