NIS2 in Frankreich

1. Schneller KMU-Anwendbarkeitsüberblick in Frankreich

Gilt NIS2 für KMU in Frankreich?

Ja — abhängig von Sektor und Größe.

• Automatische Anwendbarkeit auf mittelgroße Einrichtungen (≥50 Beschäftigte und ≥€10 Millionen Umsatz oder Bilanzsumme) in erfassten Sektoren.
• Kleine oder Kleinst-Einrichtungen sind nur einbezogen, wenn sie förmlich benannt werden oder in hochkritischen Sektoren tätig sind.
• Gilt für in Frankreich niedergelassene Einheiten und in bestimmten Fällen für ausländische digitale Anbieter, die den französischen Markt bedienen.

KMU sollten anhand der Sektorklassifizierung und gesetzlicher Schwellenwerte prüfen, ob sie unter das nationale Cybersicherheitsregelwerk Frankreichs fallen.

2. Überblick zur NIS2-Umsetzung in Frankreich

Frankreich setzt NIS2 durch das Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (das „Loi Résilience") um, das die NIS2-Richtlinie, die CER-Richtlinie (Resilienz kritischer Infrastrukturen) und DORA in einem einzigen Gesetzespaket zusammenfasst. Der Gesetzentwurf wurde am 15. Oktober 2024 dem Ministerrat vorgelegt, am 12. März 2025 vom Senat verabschiedet und am 10. September 2025 vom Sonderausschuss der Nationalversammlung angenommen. Stand April 2026 stehen die endgültige Annahme durch die gesamte Nationalversammlung sowie die Verkündung noch aus; die Verkündung wird im Laufe des Jahres 2026 erwartet, gefolgt von Durchführungsverordnungen, die technische Standards und Meldeverfahren festlegen.

Der überarbeitete Rahmen bringt das nationale Cybersicherheitsregime Frankreichs mit der Richtlinie (EU) 2022/2555 in Einklang und erweitert die Pflichten in Bezug auf Governance, Vorfallmeldung, Aufsichtsbefugnisse und Sanktionen. Der Anwendungsbereich Frankreichs soll von rund 500 Einrichtungen unter NIS1 auf 15.000–18.000 Einrichtungen in 18 Sektoren wachsen. Der Entwurf führt 20 Sicherheitsziele für wesentliche Einrichtungen und 15 für wichtige Einrichtungen als Compliance-Rahmen ein und stellt klar, dass eine ISO-27001-Zertifizierung allein die NIS2-Anforderungen in Frankreich nicht erfüllt (sie deckt nur 2 der 20 Ziele ab).

ANSSI hat ein Vorregistrierungsportal (MonEspaceNIS2) eingerichtet, über das künftig regulierte Einrichtungen ihren Anwendungsbereich bewerten und sich bereits vor der formellen Inkraftsetzung auf die Compliance vorbereiten können. Frankreich steht weiterhin unter einer am 7. Mai 2025 ausgesprochenen mit Gründen versehenen Stellungnahme der Europäischen Kommission wegen unterlassener vollständiger Notifizierung der Umsetzung und baut sein bestehendes Cybersicherheitsmodell weiter aus, indem es NIS2-Standards in etablierte Aufsichtsstrukturen integriert.

3. Anwendungsbereich in Frankreich

Der französische Anwendungsbereich spiegelt die Mindestkategorien der Richtlinie wider und ist in das etablierte nationale Sicherheitsmodell integriert.

4. Größenschwellen und KMU-Anwendbarkeit in Frankreich

Die Basisschwellen gelten:

• ≥50 Beschäftigte und
• ≥€10 Millionen Jahresumsatz oder Bilanzsumme.

Einheiten, die innerhalb abgedeckter Sektoren beide Kriterien erfüllen, fallen automatisch in den Anwendungsbereich.

Kleine und Kleinstunternehmen können benannt werden, wenn sie als kritisch für die nationale oder wirtschaftliche Stabilität, die öffentliche Sicherheit oder die Kontinuität wesentlicher Dienste angesehen werden.

Französische Behörden behalten formale Benennungsbefugnisse, wenn systemische Risiken oder Erwägungen der nationalen Sicherheit eine Einbeziehung rechtfertigen.

5. Klassifizierungsrahmen für Einrichtungen in Frankreich

Einrichtungen werden wie folgt kategorisiert:

• Wesentliche Einrichtungen — Unterliegen proaktiver Aufsicht, einschließlich Inspektionen, Audits und strukturierter Compliance-Überwachung.
• Wichtige Einrichtungen — Unterliegen vorrangig reaktiver Aufsicht, die durch erhebliche Vorfälle oder Compliance-Bedenken ausgelöst wird.

Die Einstufung richtet sich nach Sektor und Größe. Behörden können Einrichtungen neu einstufen, wenn Betriebswirkung oder Risikoexponierung eine verstärkte Aufsicht erfordern.

Die französische Klassifizierungsstruktur entspricht dem zweistufigen Aufsichtsmodell der Richtlinie.

6. Anforderungen an das Cybersicherheits-Risikomanagement in Frankreich

Das nationale Regime Frankreichs entspricht dem Basisniveau der Richtlinie für das Cybersicherheits-Risikomanagement. Erfasste Einrichtungen müssen angemessene technische und organisatorische Maßnahmen umsetzen zu:

• Risikobewertung und Systemschutz
• Erkennung und Reaktion auf Sicherheitsvorfälle
• Geschäftskontinuität und Krisenmanagement
• NIS2-Lieferketten-Risikokontrollen in Frankreich
• Sichere Beschaffung und Entwicklung von IKT-Systemen
• Zugriffskontrolle und Identitätsverwaltung
• Verschlüsselung und kryptografische Schutzmaßnahmen
• Verfahren zum Schwachstellenmanagement
• Schulungen der Mitarbeitenden zur Cybersicherheit

Maßnahmen müssen dem Stand der Technik und der organisatorischen Risikoexponierung entsprechen. Eine Ausrichtung an ISO/IEC 27001 und französischen Cybersicherheitsleitlinien wird empfohlen.

Die Kontrolle der Lieferkette umfasst Lieferantensorgfaltspflichten und vertragliche Cybersicherheitsvorgaben zur Minderung kaskadierender Risiken.

7. Leitungsorgane, Haftung und Governance in Frankreich

Leitungsorgane müssen Maßnahmen zum Cybersicherheits-Risikomanagement formell genehmigen und deren Umsetzung überwachen.

Nach dem französischen Rahmen gilt:

• Vorstände/Aufsichtsgremien sind für die Compliance-Überwachung verantwortlich.
• Die Geschäftsleitung muss ausreichende Cybersicherheitskompetenz sicherstellen.
• Verwaltungsrechtliche Sanktionen können Führungsversäumnisse adressieren.
• Im Einklang mit der Richtlinie können Befugnisse zur vorübergehenden Aussetzung von Leitungsfunktionen vorgesehen sein.

Die Erwartungen an die NIS2-Haftung der Leitungsorgane in Frankreich heben die Cybersicherheits-Governance auf Ebene der Unternehmensleitung.

8. Meldepflichten für Sicherheitsvorfälle in Frankreich

9. Aufsichtsbehörden und Durchsetzungsmodell in Frankreich

Zuständige Hauptbehörde: Nationale Agentur für die Sicherheit von Informationssystemen (ANSSI).

Frankreich betreibt ein zentrales Cybersicherheits-Aufsichtsmodell, koordiniert durch die ANSSI und, wo einschlägig, integriert mit sektorspezifischen Regulierungsstellen.

Supervisory powers include:

• Auskunftsverlangen
• Sicherheitsaudits
• Vor-Ort-Kontrollen
• Verbindliche Compliance-Anordnungen
• Mitwirkung an der EU-Cybersicherheitskoordination

Die Durchsetzungsstruktur spiegelt die Kooperationsanforderungen auf Richtlinienebene wider.

10. NIS2-Bußgelder und Sanktionen in Frankreich

Frankreich wendet richtlinienkonforme Verwaltungssanktionen an.

Die Durchsetzung von NIS2-Bußgeldern in Frankreich kann außerdem Folgendes umfassen:

• Verbindliche Abhilfemaßnahmen
• Öffentliche Benennung nicht konformer Einrichtungen
• Aussetzung von Genehmigungen oder Zertifizierungen
• Befugnisse zur Suspendierung von Leitungsfunktionen

Strafrechtliche Haftung gilt nur, soweit sie ausdrücklich im französischen Recht vorgesehen ist.

11. NIS2-Lieferkette und Lieferantensicherheit in Frankreich

Einrichtungen müssen Drittparteienrisiken in der Cybersicherheit steuern durch:

• Lieferanten-Risikobewertungen
• Vertragliche Sicherheitsanforderungen mit Weitergabepflicht
• Kontinuierliches Monitoring von IKT-Lieferanten
• Analyse von Konzentrationsrisiken
• Minderung der Vorfallausbreitung

Der Ansatz Frankreichs entspricht den Basiserwartungen der Richtlinie an das Lieferantenrisikomanagement.

12. Registrierungs- und Selbstidentifikationspflichten in Frankreich

Entities within scope must:

• Vorbereitung der Registrierung bei ANSSI über die bereits betriebsbereite Vorregistrierungsplattform MonEspaceNIS2 (monespacenis2.cyber.gouv.fr). Formelle Registrierungsfristen und -verfahren werden nach Verkündung des Loi Résilience per Verordnung festgelegt.
• Bereitstellung von Unternehmensidentifikationsangaben
• Offenlegung der Sektorzuordnung
• Aktualisierte Kontaktinformationen pflegen

Formelle Registrierungsfristen und Verfahrensmodalitäten werden nach Verkündung des Loi Résilience durch Durchführungsverordnungen festgelegt. In der Zwischenzeit bietet das MonEspaceNIS2-Portal von ANSSI ein Tool zur Bewertung des Anwendungsbereichs und ermöglicht eine frühzeitige Vorbereitung. Die Selbstidentifizierung wird nach der Verkündung des Gesetzes verpflichtend; Einrichtungen sollten MonEspaceNIS2 bereits jetzt nutzen, um ihre voraussichtliche Einstufung als wesentliche oder wichtige Einrichtung zu prüfen.

Selbstidentifizierung ist obligatorisch, wenn Einrichtungen gesetzliche Schwellenwerte erfüllen.

13. Zusammenspiel mit DSGVO und anderen Gesetzen in Frankreich

Die Datenschutz-Grundverordnung gilt weiterhin parallel.

Überschneidungen umfassen:

• 72-Stunden-Meldung bei Verletzungen des Schutzes personenbezogener Daten
• Koordination der Aufsichtsbehörden
• Parallele Untersuchungen zu Cybersicherheit und Datenschutz
• Sektorspezifische französische Cybersicherheitsregeln

Ein einzelner Cybervorfall kann Meldepflichten nach beiden Regimen auslösen.

14. Grenzüberschreitende Anwendbarkeit

Einrichtungen mit ihrer Hauptniederlassung in Frankreich werden für grenzüberschreitende Dienste von französischen Behörden beaufsichtigt.

Ausländische digitale Anbieter, die Dienste in Frankreich erbringen, können je nach Niederlassungsstruktur der französischen Aufsicht unterliegen.

Vertretungspflichten folgen den Richtlinienstandards für Nicht-EU-Anbieter, die französische Märkte bedienen.

15. Umsetzungszeitplan in Frankreich

• Annahme der Richtlinie: 2022
• Nationale Gesetzesänderungen: Loi Résilience am 15. Oktober 2024 dem Ministerrat vorgelegt; am 12. März 2025 vom Senat verabschiedet; am 10. September 2025 vom Sonderausschuss der Nationalversammlung angenommen; Abstimmung im Plenum der Nationalversammlung und Verkündung stehen noch aus
• Inkrafttreten: Ausstehende Verkündung durch den Präsidenten der Republik, im Laufe des Jahres 2026 erwartet; Durchführungsverordnungen (technische Standards, Meldeverfahren) folgen der Verkündung
• Kommissionsmitteilung: Mit Gründen versehene Stellungnahme der EK vom 7. Mai 2025 wegen unterlassener vollständiger Notifizierung der Umsetzung; Frankreich befindet sich weiterhin in einem Vertragsverletzungsverfahren
• Compliance-Meilenstein: Wird nach der Verkündung durch Durchführungsverordnungen festgelegt; das Vorregistrierungsportal MonEspaceNIS2 ist bereits aktiv; formelle Compliance-Fristen werden voraussichtlich mehrere Monate nach Inkrafttreten gelten

Frankreich hat die EU-Umsetzungsfrist vom 17. Oktober 2024 versäumt und befindet sich weiterhin in einem Vertragsverletzungsverfahren der EK. Die Verkündung des Loi Résilience wird im Laufe des Jahres 2026 erwartet, gefolgt von Durchführungsverordnungen. Einrichtungen sollten das MonEspaceNIS2-Portal von ANSSI nutzen, um ihren Anwendungsbereich zu bewerten und jetzt mit der Compliance-Vorbereitung zu beginnen.

16. Wesentliche Punkte für KMU in Frankreich

• Mittelgroße Einrichtungen in erfassten Sektoren fallen automatisch in den Anwendungsbereich.
• Kleine Einrichtungen können benannt werden, wenn sie betrieblich kritisch sind.
• Governance-Aufsicht auf Vorstandsebene ist verpflichtend.
• Vorfallmeldungen folgen den Fristen 24h / 72h / 1 Monat.
• Finanzielle Sanktionen können €10 Millionen oder 2% des weltweiten Umsatzes erreichen.
• Lieferantenrisikomanagement ist eine Kernpflicht.
• Eine frühzeitige Compliance-Planung ist unerlässlich — nutzen Sie jetzt das MonEspaceNIS2-Portal von ANSSI zur Bewertung des Anwendungsbereichs. Beachten Sie, dass eine ISO-27001-Zertifizierung allein die NIS2-Anforderungen Frankreichs nicht erfüllt: Sie deckt nur 2 der 20 im Entwurfsrahmen festgelegten Sicherheitsziele ab.

FAQ: NIS2 Frankreich – KMU-Leitfaden