NIS2 in Zypern

1. Schnellüberblick zur KMU-Anwendbarkeit in Zypern

Gilt NIS2 für KMU in Zypern?

Ja — abhängig von Sektor und Größe.

• Automatische Anwendbarkeit auf mittelgroße Einrichtungen (≥50 Beschäftigte und ≥€10 Millionen Umsatz oder Bilanzsumme) in erfassten Sektoren.
• Kleine oder Kleinst-Einrichtungen sind nur einbezogen, wenn sie förmlich benannt werden oder in hochkritischen Sektoren tätig sind.
• Gilt für in Zypern ansässige Einrichtungen und unter bestimmten Umständen für ausländische digitale Anbieter, die den zyprischen Markt bedienen.

KMU sollten auf Basis der Sektoreinstufung und gesetzlicher Schwellenwerte prüfen, ob sie unter das nationale Cybersicherheitsregime Zyperns fallen.

2. Überblick über die NIS2-Umsetzung in Zypern

Zypern hat die NIS2-Richtlinie durch das Gesetz über die Sicherheit von Netz- und Informationssystemen (Änderungsgesetz) von 2025 (60(I)/2025) umgesetzt, das am 10. April 2025 vom Parlament verabschiedet wurde und seit dem 25. April 2025 in Kraft ist.

Die Änderung aktualisiert das Gesetz über die Sicherheit von Netz- und Informationssystemen von 2020 (L. 89(I)/2020) zur Angleichung an die Richtlinie (EU) 2022/2555. Das aktualisierte Gesetz modernisiert die Pflichten in Bezug auf Governance, Vorfallmeldung, Aufsicht und Sanktionen und erweitert die Zahl der regulierten Einrichtungen erheblich — von etwa 70 unter NIS1 auf schätzungsweise das Zehnfache unter dem neuen Rahmenwerk.

Zypern weist zwei bemerkenswerte nationale Abweichungen von der Richtlinie auf: Die Frühwarnung muss innerhalb von 6 Stunden nach Erkennung erfolgen (strenger als die 24 Stunden der Richtlinie), und die Identifizierung von Einrichtungen folgt einem DSA-geführten Bewertungsmodell anstelle einer Selbstregistrierung. Die Vollständigkeit der Notifizierung wird nach der begründeten Stellungnahme vom Mai 2025 (vor der Verabschiedung) noch überprüft.

3. Anwendungsbereich in Zypern

Der sektorale Umfang Zyperns entspricht den Mindestkategorien der Richtlinie ohne bestätigte nationale Erweiterung.

4. Größenkriterien und KMU-Anwendbarkeit in Zypern

Die Basisschwellen gelten:

• ≥50 Beschäftigte und
• ≥€10 Millionen Jahresumsatz oder Bilanzsumme.

Einrichtungen, die in erfassten Sektoren beide Kriterien erfüllen, fallen automatisch in den Anwendungsbereich.

Kleine und Kleinstunternehmen können benannt werden, wenn sie als kritisch für wirtschaftliche Stabilität, öffentliche Sicherheit oder die Kontinuität wesentlicher Dienste eingestuft werden.

Zyprische Behörden behalten formelle Benennungsbefugnisse, sofern dies durch systemisches Risiko gerechtfertigt ist.

5. Einstufungsrahmen für Einrichtungen in Zypern

Einrichtungen werden kategorisiert als:

• Wesentliche Einrichtungen — Unterliegen proaktiver Aufsicht, einschließlich Audits und strukturiertem Compliance-Monitoring.
• Wichtige Einrichtungen — Unterliegen primär reaktiver Aufsicht, ausgelöst durch bedeutende Vorfälle oder Compliance-Bedenken.

Die Einstufung wird durch Sektor und Größe bestimmt. Behörden können Einrichtungen neu einstufen, wenn operative Auswirkungen oder Risikolage eine verstärkte Aufsicht rechtfertigen.

Die Einstufungsstruktur Zyperns spiegelt das zweistufige Modell der Richtlinie wider.

6. Anforderungen an das Management von Cybersicherheitsrisiken in Zypern

Zypern orientiert sich an der Richtlinien-Basis für das Management von Cybersicherheitsrisiken. Erfasste Einrichtungen müssen angemessene technische und organisatorische Maßnahmen umsetzen, die Folgendes adressieren:

• Risikobeurteilung und Systemsicherheit
• Vorbeugung und Reaktion auf Vorfälle
• Geschäftskontinuität und Krisenplanung
• NIS2-Lieferketten-Risikokontrollen in Zypern
• Sichere Systembeschaffung und -entwicklung
• Zugangskontrolle und Identitätsmanagement
• Verschlüsselungs- und kryptographische Schutzmaßnahmen
• Verfahren zum Schwachstellenmanagement
• Sensibilisierung und Schulung der Beschäftigten zur Cybersicherheit

Maßnahmen müssen dem Stand der Technik und dem Risikoprofil der Organisation entsprechen. Eine Ausrichtung an ISO/IEC 27001 und anerkannter zyprischer Cybersicherheitsleitlinien wird empfohlen.

Aufsicht über die Lieferkette umfasst vertragliche Schutzmechanismen und Lieferantenüberwachung zur Minderung kaskadierender Cyberrisiken.

7. Managementhaftung und Governance in Zypern

Leitungsorgane müssen Maßnahmen zum Management von Cybersicherheitsrisiken formell genehmigen und deren Umsetzung überwachen.

Nach dem nationalen Rahmen Zyperns gilt:

• Gremien sind für die Compliance-Aufsicht verantwortlich.
• Die Geschäftsleitung muss angemessene Cybersicherheitskenntnisse sicherstellen.
• Administrative Sanktionen können Governance-Versäumnisse adressieren.
• Die vorübergehende Suspendierung von Leitungsfunktionen kann unter richtlinienkonformen Mechanismen möglich sein.

Die NIS2-Standards zur Managementhaftung in Zypern heben die Verantwortung für Cybersicherheit auf die Führungsebene an.

8. Meldepflichten für Vorfälle in Zypern

9. Aufsichtsbehörden und Durchsetzungsmodell in Zypern

Primäre Behörde: Digital Security Authority (DSA). Der Kommissar für Kommunikation ist ebenfalls als Aufsichtsbehörde benannt. Die DSA hat einen Kurzleitfaden zur NIS2-Richtlinie veröffentlicht, um betroffene Einrichtungen zu unterstützen.

Zypern betreibt ein zentrales Aufsichtsmodell, unterstützt bei Bedarf durch Sektorregulierer.

Supervisory powers include:

• Anforderungen an Unterlagen und Auskünfte
• Sicherheitsaudits
• Vor-Ort-Inspektionen
• Verbindliche Compliance-Anordnungen
• Teilnahme an EU-Cybersicherheitskooperationsrahmen

Die Durchsetzungsstruktur entspricht den Kooperationsmechanismen auf Richtlinienebene. Zyperns Rahmenwerk für Sicherheitsmaßnahmen verweist auf ISO 27001, NIST SP 800-53 und NIS-Kooperationsgruppen-Leitlinien als anerkannte Compliance-Benchmarks.

10. NIS2-Bußgelder und Sanktionen in Zypern

Zypern wendet richtlinienkonforme Verwaltungssanktionen an.

Die Durchsetzung von NIS2-Bußgeldern in Zypern kann zudem Folgendes umfassen:

• Verbindliche Abhilfemaßnahmen
• Öffentliche Benennung nichtkonformer Einrichtungen
• Aussetzung von Zertifizierungen oder Genehmigungen
• Befugnisse zur Suspendierung von Leitungsfunktionen

Strafrechtliche Haftung gilt nur, soweit sie ausdrücklich in der zyprischen Gesetzgebung vorgesehen ist.

11. NIS2-Lieferkette und Lieferantensicherheit in Zypern

Einrichtungen müssen Drittparteien-Cyberrisiken steuern durch:

• Lieferanten-Due-Diligence
• Vertragliche Weitergabe von Sicherheitsanforderungen
• Laufende Überwachung von IKT-Lieferanten
• Analyse von Klumpenrisiken
• Minderung der Vorfallausbreitung

Der Ansatz Zyperns entspricht den Basisanforderungen der Richtlinie in Bezug auf das Management von Drittparteienrisiken.

12. Registrierungs- und Selbstidentifikationspflichten in Zypern

Entities within scope must:

• Formelle Benachrichtigung der DSA über die Identifizierung als wesentliche oder wichtige Einrichtung abwarten. Zypern verlangt keine Selbstregistrierung; die DSA führt eine nationale Bewertung durch und benachrichtigt die Einrichtungen über ihren Status und ihre Pflichten.
• Unternehmensidentifikationsdaten bereitstellen
• Sektorklassifizierung offenlegen
• Aktuelle Kontaktdaten pflegen. Änderungen müssen innerhalb von zwei Wochen der DSA gemeldet werden.

Die DSA bietet ein unverbindliches NIS2-Selbstbewertungstool (auf der DSA-Website verfügbar) an, mit dem Organisationen eine erste Einschätzung ihres möglichen Anwendungsbereichs vornehmen können — dies ersetzt nicht das offizielle Identifizierungsverfahren.

Obwohl eine formelle Selbstregistrierung nicht erforderlich ist, sollten Einrichtungen, die möglicherweise in den Anwendungsbereich fallen, das Selbstbewertungstool der DSA nutzen und sich im Voraus auf die Einhaltung vorbereiten.

13. Zusammenspiel mit GDPR und anderen Gesetzen in Zypern

Die Datenschutz-Grundverordnung gilt weiterhin parallel.

Überschneidungen umfassen:

• 72-Stunden-Meldung bei Verletzungen personenbezogener Daten
• Koordination der Aufsichtsbehörden
• Parallele Untersuchungen zu Cybersicherheit und Datenschutz
• Sektorspezifische zyprische Cybersicherheitsregeln

14. Grenzüberschreitende Anwendbarkeit

Einrichtungen mit ihrer Hauptniederlassung in Zypern unterliegen für grenzüberschreitende Dienste der zyprischen Aufsicht.

Ausländische digitale Anbieter, die in Zypern Dienste anbieten, können je nach Niederlassungsstruktur lokalen Pflichten unterliegen.

Vertretungspflichten folgen den Richtlinienstandards für Nicht-EU-Anbieter, die zyprische Märkte bedienen.

15. Umsetzungszeitplan in Zypern

• Annahme der Richtlinie: 2022
• Gesetz über die Sicherheit von Netz- und Informationssystemen (Änderungsgesetz) von 2025 (60(I)/2025) vom Parlament am 10. April 2025 verabschiedet
• Inkrafttreten: 25. April 2025
• Kommissionsnotifizierung: Begründete Stellungnahme der EK im Mai 2025 (vor der Verabschiedung); Vollständigkeit der Notifizierung wird von der Kommission überprüft
• Compliance-Meilenstein: DSA-geführte Identifizierung und Benachrichtigung läuft; Pflichten gelten ab dem Datum der DSA-Benachrichtigung; Frühwarnfrist beträgt 6 Stunden — strenger als die Richtlinie

Zypern hat die Umsetzung im April 2025 abgeschlossen. Einrichtungen sollten das Selbstbewertungstool der DSA nutzen, um ihren voraussichtlichen Anwendungsbereich zu bewerten und Compliance-Programme im Voraus vorzubereiten.

16. Zentrale Erkenntnisse für KMU in Zypern

• Mittlere Unternehmen in abgedeckten Sektoren fallen automatisch in den Anwendungsbereich.
• Kleine Unternehmen können benannt werden, wenn sie für die wirtschaftliche oder öffentliche Stabilität kritisch sind.
• Governance-Aufsicht auf Vorstandsebene ist verpflichtend.
• Vorfallmeldungen folgen den Fristen 6h / 72h / 1 Monat — Zyperns 6-Stunden-Frühwarnung ist strenger als die EU-Richtlinien-Basislinie von 24 Stunden.
• Geldstrafen können 10 Millionen € oder 2 % des weltweiten Umsatzes erreichen.
• Lieferanten-Risikomanagement ist eine Kernpflicht.
• Frühzeitige Compliance-Planung reduziert das Durchsetzungsrisiko.

FAQ: NIS2 Zypern KMU-Leitfaden