NIS2 in Tschechische Republik

1. Schneller Überblick zur Anwendbarkeit für KMU in der Tschechischen Republik

Gilt NIS2 für KMU in der Tschechischen Republik?

Ja — abhängig von Sektor und Größe.

• Automatische Anwendbarkeit auf mittelgroße Einrichtungen (≥50 Beschäftigte und ≥€10 Millionen Umsatz oder Bilanzsumme) in erfassten Sektoren.
• Kleine oder Kleinst-Einrichtungen sind nur einbezogen, wenn sie förmlich benannt werden oder in hochkritischen Sektoren tätig sind.
• Gilt für in der Tschechischen Republik niedergelassene Einheiten und in bestimmten Fällen für ausländische digitale Anbieter, die den tschechischen Markt bedienen.

KMU sollten ihre Einordnung unter das nationale Cybersicherheitsregime anhand der Sektorklassifizierung und gesetzlicher Schwellenwerte bewerten.

2. Überblick über die NIS2-Umsetzung in der Tschechischen Republik

Die Tschechische Republik hat die Richtlinie durch das Gesetz Nr. 264/2025 Slg. über Cybersicherheit umgesetzt, das am 11. Juni 2025 angenommen, am 4. August 2025 veröffentlicht und seit 1. November 2025 in Kraft ist. Das Gesetz ersetzt den bisherigen Rechtsrahmen vollständig und wird durch sieben Durchführungsverordnungen sowie zwei Regierungsverordnungen ergänzt; einzelne sekundäre Rechtsakte stehen noch aus.

Das neue Gesetz bringt das tschechische Cybersicherheitsregime mit der Richtlinie (EU) 2022/2555 in Einklang und restrukturiert das Aufsichtsmodell, die Risikomanagementpflichten und die Sanktionsmechanismen unter Federführung der Nationalen Agentur für Cyber- und Informationssicherheit (NÚKIB).

Das tschechische Regime weicht in drei Punkten vom Richtlinienbasisniveau ab: Wesentliche Einrichtungen müssen alle Vorfälle mit Cyberbezug melden (nicht nur erhebliche), die NÚKIB kann bestimmte Lieferanten und Produkte in Lieferketten strategisch wichtiger Einrichtungen einschränken oder verbieten, und Einheiten müssen sich innerhalb von 60 Tagen nach Erfüllung der gesetzlichen Voraussetzungen über ein spezielles NÚKIB-Portal selbst identifizieren und registrieren.

3. Anwendungsbereich in der Tschechischen Republik

Der tschechische Anwendungsbereich entspricht den Mindestsektorkategorien der Richtlinie ohne bestätigte strukturelle Ausweitung.

4. Größenkriterien und KMU-Anwendbarkeit in der Tschechischen Republik

Die Basisschwellen gelten:

• ≥50 Beschäftigte und
• ≥€10 Millionen Jahresumsatz oder Bilanzsumme.

Einheiten, die in erfassten Sektoren beide Kriterien erfüllen, fallen automatisch in den Anwendungsbereich.

Kleine und Kleinstunternehmen können benannt werden, wenn sie als kritisch für wirtschaftliche Stabilität, öffentliche Sicherheit oder die Kontinuität essentieller Dienste gelten.

Tschechische Behörden behalten Benennungsbefugnisse, wenn dies durch systemische Risiken oder Erwägungen der nationalen Sicherheit gerechtfertigt ist.

5. Einstufungsrahmen für Einheiten in der Tschechischen Republik

Einheiten werden wie folgt kategorisiert:

• Wesentliche Einrichtungen — Unterliegen proaktiver Aufsicht, einschließlich Audits und strukturiertem Compliance-Monitoring.
• Wichtige Einrichtungen — Unterliegen vorrangig reaktiver Aufsicht, ausgelöst durch erhebliche Vorfälle oder Compliance-Bedenken.

Die Einstufung richtet sich nach Sektor und Größe. Zuständige Behörden können Einheiten neu einstufen, wenn operative Auswirkungen oder Risikoprofile eine strengere Aufsicht rechtfertigen.

Die tschechische Klassifikationsstruktur spiegelt das zweistufige Aufsichtsmodell der Richtlinie wider.

6. Anforderungen an das Cybersicherheits-Risikomanagement in der Tschechischen Republik

Das tschechische Regime entspricht dem Basisniveau der Richtlinie für das Cybersicherheits-Risikomanagement. Erfasste Einheiten müssen verhältnismäßige technische und organisatorische Maßnahmen umsetzen zu:

• Risikoanalyse und Systemsicherheit
• Vorfallprävention und -reaktion
• Geschäftsfortführung und Krisenmanagement
• Lieferketten-Risikokontrollen nach NIS2 in der Tschechischen Republik
• Sichere Systembeschaffung und -entwicklung
• Zugangskontrolle und Identitätsmanagement
• Verschlüsselung und kryptografische Schutzmaßnahmen
• Prozesse zum Schwachstellenmanagement
• Mitarbeiterschulungen zur Cybersicherheit

Maßnahmen müssen dem Stand der Technik und der organisatorischen Risikoexponierung entsprechen. Das tschechische Regime verlangt ein formelles Informationssicherheits-Managementsystem (ISMS) mit dokumentiertem Risikobehandlungsplan; eine Ausrichtung an ISO/IEC 27001 und nationalen NÚKIB-Vorgaben wird erwartet.

Das Lieferketten-Risikomanagement geht über die Richtlinie hinaus: Die NÚKIB kann bestimmte Anbieter oder Produkte in den Lieferketten strategisch wichtiger Einrichtungen einschränken oder verbieten, was Verträge mit Technologieanbietern aus Nicht-EU-Staaten betreffen kann.

7. Haftung der Leitungsebene und Governance in der Tschechischen Republik

Leitungsorgane müssen Maßnahmen des Cybersicherheits-Risikomanagements formell genehmigen und deren Umsetzung überwachen.

Nach dem tschechischen Rahmen:

• Aufsichtsgremien sind für die Compliance-Überwachung verantwortlich.
• Das Top-Management muss ausreichende Cybersicherheitskompetenz sicherstellen.
• Verwaltungsrechtliche Sanktionen können Governance-Versäumnisse ahnden.
• Eine befristete Aussetzung von Leitungsfunktionen kann im Rahmen richtlinienkonformer Durchsetzungsmechanismen vorgesehen sein.

NIS2-Standards zur Haftung der Leitungsebene in der Tschechischen Republik heben Cybersicherheit zu einer Verantwortung auf höchster Leitungsebene.

8. Meldepflichten bei Sicherheitsvorfällen in der Tschechischen Republik

9. Aufsichtsbehörden und Durchsetzungsmodell in der Tschechischen Republik

Zuständige Hauptbehörde: Nationale Agentur für Cyber- und Informationssicherheit (NÚKIB), die ein spezielles Portal für die Registrierung von Einheiten, Vorfallmeldungen und Aufsichtsinteraktionen betreibt.

Die Tschechische Republik betreibt ein zentrales Aufsichtsmodell unter Führung der NÚKIB, unterstützt durch Sektorregulierer bei Bedarf.

Supervisory powers include:

• Auskunftsverlangen
• Sicherheitsaudits
• Vor-Ort-Kontrollen
• Verbindliche Compliance-Anordnungen
• Mitwirkung an der EU-Cybersicherheitskoordination

Über die Richtlinie hinaus kann die NÚKIB Vertretern der Leitung wesentlicher Einrichtungen die Wahrnehmung ihrer Funktionen vorübergehend für mindestens sechs Monate untersagen, und bis die Compliance wiederhergestellt ist – eine präzisere Sanktion als die allgemeinen Aussetzungsregelungen der Richtlinie.

10. NIS2-Bußgelder und Sanktionen in der Tschechischen Republik

Die Tschechische Republik wendet richtlinienkonforme Verwaltungssanktionen an.

Die Durchsetzung von NIS2-Bußgeldern in der Tschechischen Republik kann zudem Folgendes umfassen:

• Verbindliche Anordnungen zur Abhilfe
• Öffentliche Benennung nicht konformer Einheiten
• Aussetzung von Genehmigungen oder Zertifizierungen
• Befugnis zur Suspendierung von Leitungsfunktionen

11. NIS2-Lieferkette und Anbietersicherheit in der Tschechischen Republik

Einheiten müssen die cybersicherheitsbezogene Risikoexponierung durch Dritte steuern durch:

• Anbieterrisikobewertungen
• Vertragliche Weitergabepflichten für Sicherheitsanforderungen
• Laufende Überwachung von IKT-Lieferanten
• Analyse von Konzentrationsrisiken
• Maßnahmen zur Eindämmung der Ausbreitung von Vorfällen

Der tschechische Rahmen entspricht den Basisanforderungen der Richtlinie an das Drittparteien-Risikomanagement.

12. Registrierungs- und Selbstidentifikationspflichten in der Tschechischen Republik

Entities within scope must:

• Selbstidentifikation und Registrierung über das spezielle NÚKIB-Portal innerhalb von 60 Tagen nach Erfüllung der gesetzlichen Voraussetzungen; für am 1. November 2025 bereits im Anwendungsbereich befindliche Einheiten galt eine Registrierungsfrist bis zum 31. Dezember 2025
• Angaben zur Unternehmensidentifikation
• Offenlegung der Sektorklassifizierung
• Pflege aktueller Kontaktdaten

Nach Erhalt der NÚKIB-Registrierungsentscheidung haben Einheiten 30 Tage Zeit, um zusätzliche Kontakt-, Eigentums-, technische und geografische Angaben zu übermitteln, gefolgt von einer 12-monatigen Übergangsfrist, um vollständige Sicherheits- und Meldecompliance zu erreichen.

Selbstidentifizierung ist obligatorisch, wenn Einrichtungen gesetzliche Schwellenwerte erfüllen.

13. Zusammenspiel mit der DSGVO und anderen Gesetzen in der Tschechischen Republik

Die Datenschutz-Grundverordnung gilt weiterhin parallel.

Überschneidungsbereiche umfassen:

• 72-Stunden-Meldung von Verletzungen des Schutzes personenbezogener Daten
• Koordinierung der Aufsichtsbehörden
• Parallele Untersuchungen zu Cybersicherheit und Datenschutz
• Sektorspezifische tschechische Cybersicherheitsregeln

Ein einzelner Cybersicherheitsvorfall kann Meldepflichten nach beiden Regelwerken auslösen.

14. Grenzüberschreitende Anwendbarkeit

Einheiten mit Hauptniederlassung in der Tschechischen Republik unterliegen bei grenzüberschreitenden Diensten der tschechischen Aufsicht.

Ausländische digitale Anbieter, die Dienste in der Tschechischen Republik erbringen, können je nach Niederlassungsstruktur nationalen Pflichten unterliegen.

Vertretungspflichten für Nicht-EU-Anbieter, die tschechische Märkte bedienen, folgen den Standards der Richtlinie.

15. Umsetzungszeitplan in der Tschechischen Republik

• Annahme der Richtlinie: 2022
• Gesetz Nr. 264/2025 Slg. angenommen am 11. Juni 2025; veröffentlicht am 4. August 2025
• Inkrafttreten: 1. November 2025
• Notifizierung an die Kommission: Begründete Stellungnahme der EK von Mai 2025 (vor Inkrafttreten); die Vollständigkeit der Notifizierung wird derzeit von der Kommission geprüft
• Compliance-Meilensteine: Registrierung über das NÚKIB-Portal bis zum 31. Dezember 2025 (oder innerhalb von 60 Tagen ab Eintritt in den Anwendungsbereich); zusätzliche Angaben innerhalb von 30 Tagen nach der Registrierungsentscheidung; vollständige Sicherheits-Compliance 12 Monate nach der Registrierungsentscheidung

Die Tschechische Republik hat die Umsetzung am 1. November 2025 abgeschlossen; die Registrierung über das NÚKIB-Portal war bis zum 31. Dezember 2025 fällig; die vollständige Compliance ist 12 Monate nach der Registrierungsentscheidung erforderlich; einzelne sekundäre Rechtsakte stehen noch aus.

16. Zentrale Erkenntnisse für KMU in der Tschechischen Republik

• Die Umsetzung von NIS2 in der Tschechischen Republik ist mit dem Gesetz Nr. 264/2025 Slg. abgeschlossen und seit dem 1. November 2025 in Kraft.
• Einheiten werden je nach Sektor und Größe als wesentlich oder wichtig eingestuft; wesentliche Einrichtungen unterliegen proaktiver Aufsicht.
• Das Risikomanagement erfordert ein dokumentiertes ISMS und Maßnahmen nach dem Stand der Technik; eine Ausrichtung an ISO/IEC 27001 wird empfohlen.
• Die Vorfallmeldung folgt den Fristen 24 Stunden Erstmeldung / 1 Monat Abschlussbericht. Wesentliche Einrichtungen müssen alle Vorfälle mit Cyberbezug (nicht nur erhebliche) der NÚKIB melden – strenger als die Richtlinie. Wichtige Einrichtungen melden erhebliche Vorfälle dem nationalen CSIRT.
• Leitungsorgane müssen Cybersicherheitsmaßnahmen genehmigen und überwachen; die NÚKIB kann Vertretern der Leitung in schweren Fällen die Wahrnehmung ihrer Funktionen für mindestens sechs Monate untersagen.
• Das Anbieter-Risikomanagement ist eine Kernpflicht. Die NÚKIB kann bestimmte Lieferanten oder Produkte in Lieferketten strategisch wichtiger Einrichtungen einschränken oder verbieten – eine über die Richtlinie hinausgehende Anforderung, die Verträge mit Nicht-EU-Technologieanbietern betreffen kann.
• Selbstidentifikation und Registrierung über das spezielle NÚKIB-Portal sind verpflichtend; die Frist für am 1. November 2025 im Anwendungsbereich befindliche Einheiten war der 31. Dezember 2025.

FAQ: NIS2-Leitfaden für KMU in der Tschechischen Republik