NIS2 in Griechenland

Leitfaden zur NIS2-Umsetzung und -Compliance in Griechenland.

Dieses Dokument enthält Informationen mit Stand Februar 2026. Obwohl alle zumutbaren Schritte unternommen wurden, um die Richtigkeit der Inhalte zu überprüfen, werden die Informationen ohne Gewähr für Vollständigkeit oder Richtigkeit bereitgestellt und können Änderungen unterliegen. Obgleich wir beabsichtigen, diese Inhalte regelmäßig zu aktualisieren, wird empfohlen, kritische Informationen eigenständig zu verifizieren.

Griechenland stärkt sein nationales Cybersicherheitsregime, um sich an die erweiterten Verpflichtungen der NIS2-Richtlinie anzupassen. Der aktualisierte Rahmen erweitert die sektorale Abdeckung, formalisiert die Verantwortlichkeit der Geschäftsleitung und stärkt Melde- sowie Durchsetzungsmechanismen. Dieser Leitfaden bietet einen strukturierten Überblick über die NIS2-Compliance-Anforderungen in Griechenland für KMU, die in regulierten Sektoren tätig sind.

1. Schnellüberblick zur Anwendbarkeit für KMU in Griechenland

Gilt NIS2 für KMU in Griechenland?

Ja — abhängig von Sektor und Größe.

Automatische Anwendbarkeit auf mittelgroße Einrichtungen (≥50 Beschäftigte und ≥€10 Millionen Umsatz oder Bilanzsumme) in erfassten Sektoren.
Kleine oder Kleinst-Einrichtungen sind nur einbezogen, wenn sie förmlich benannt werden oder in hochkritischen Sektoren tätig sind.
Gilt für in Griechenland ansässige Unternehmen und in bestimmten Fällen für ausländische digitale Diensteanbieter, die den griechischen Markt bedienen.

KMU sollten ihre Einstufung im Rahmen des nationalen Cybersicherheitsrahmens Griechenlands anhand der Sektorzuordnung und gesetzlicher Schwellenwerte prüfen.

2. Überblick über die Umsetzung von NIS2 in Griechenland

Griechenland setzt die Richtlinie durch Änderungen des Gesetzes über Cybersicherheit und die Sicherheit von Netz- und Informationssystemen um, das die Grundlage des nationalen Cybersicherheitsrahmens bildet.

Die überarbeitete Gesetzgebung bringt das griechische Regime mit der Directive (EU) 2022/2555 in Einklang und stärkt die Pflichten in Bezug auf Governance, Risikomanagement, Vorfallmeldung und Befugnisse der Aufsichtsbehörden.

Der Rahmen integriert die Standards der Richtlinie in das bestehende Cybersicherheitsaufsichtsmodell Griechenlands.

3. Anwendungsbereich in Griechenland

Wesentliche Einrichtungen

Einrichtungen, die in hochkritischen Sektoren tätig sind:

Wichtige Einrichtungen

Einrichtungen, die in anderen aufgeführten Sektoren tätig sind:

Der Anwendungsbereich Griechenlands spiegelt die Mindestsektorkategorien der Richtlinie wider, ohne bestätigte strukturelle Ausweitung.

4. Größenschwellen und Anwendbarkeit auf KMU in Griechenland

Die Basisschwellen gelten:

≥50 Beschäftigte und
≥€10 Millionen Jahresumsatz oder Bilanzsumme.

Einrichtungen in erfassten Sektoren, die beide Kriterien erfüllen, fallen automatisch in den Anwendungsbereich.

Kleinst- und Kleinunternehmen können bestimmt werden, wenn sie als kritisch für die öffentliche Sicherheit, die wirtschaftliche Stabilität oder das Funktionieren der Gesellschaft angesehen werden.

Die griechischen Behörden behalten die formalen Befugnisse zur Bestimmung bei, wenn systemisches Risiko eine Einbeziehung rechtfertigt.

5. Klassifizierungsrahmen für Einrichtungen in Griechenland

Einrichtungen werden wie folgt kategorisiert:

Wesentliche Einrichtungen — unterliegen einer proaktiven Aufsicht, einschließlich Audits und strukturierter Compliance-Überwachung.
Wichtige Einrichtungen — unterliegen in erster Linie einer reaktiven Aufsicht, die durch erhebliche Vorfälle oder Compliance-Bedenken ausgelöst wird.

Die Einstufung wird durch Sektor und Größe bestimmt. Behörden können Einrichtungen neu einstufen, wenn betriebliche Auswirkungen oder Risikobelastung eine verstärkte Aufsicht rechtfertigen.

Griechenland folgt dem zweistufigen Aufsichtsmodell der Richtlinie.

6. Anforderungen an das Cybersicherheits-Risikomanagement in Griechenland

Griechenlands nationales Regime steht im Einklang mit den Grundanforderungen der Richtlinie für das Management von Cybersicherheitsrisiken. Erfasste Einrichtungen müssen verhältnismäßige technische und organisatorische Maßnahmen umsetzen, die Folgendes abdecken:

Risikoanalyse und Systemschutz
Vorfallserkennung und -reaktion
Geschäftskontinuität und Krisenmanagement
Risikokontrollen in der Lieferkette gemäß NIS2 in Griechenland
Sichere Beschaffung und Entwicklung von IKT-Systemen
Zugriffskontrolle und Identitätsmanagement
Verschlüsselung und kryptografische Schutzmaßnahmen
Verfahren zum Schwachstellenmanagement
Cybersicherheitsschulungen für Mitarbeitende

Die Maßnahmen müssen dem Stand der Technik und der Risikobelastung der Organisation entsprechen. Eine Ausrichtung an ISO/IEC 27001 und an nationalen Leitlinien zur Cybersicherheit wird empfohlen.

7. Haftung des Managements und Governance in Griechenland

Leitungsorgane müssen Maßnahmen zum Management von Cyberrisiken formell genehmigen und deren Umsetzung überwachen.

Nach dem griechischen Rechtsrahmen:

Leitungsgremien sind für die Überwachung der Compliance verantwortlich.
Die Geschäftsleitung muss für ausreichende Cybersicherheitskompetenz sorgen.
Verwaltungsrechtliche Sanktionen können Governance-Fehlleistungen ahnden.
Eine vorübergehende Aussetzung von Leitungsfunktionen kann im Rahmen richtlinienkonformer Durchsetzungsmechanismen vorgesehen sein.

Die NIS2-Erwartungen zur Managementhaftung in Griechenland heben die Cybersicherheits-Governance auf eine Verantwortung auf Führungsebene.

8. Meldepflichten bei Sicherheitsvorfällen in Griechenland

Definition eines erheblichen Sicherheitsvorfalls

Ein Vorfall gilt als erheblich, wenn er verursacht:

Schwere Betriebsstörung
Erheblicher finanzieller Verlust
Erhebliche gesellschaftliche Auswirkungen
Grenzüberschreitende Auswirkungen

Meldezeitplan

Meldestufe	Frist	Behörde
Frühwarnung	24 Stunden	Nationale Cybersicherheitsbehörde (NCSA)
Vorfallsmeldung	72 Stunden	Nationale Cybersicherheitsbehörde (NCSA)
Abschlussbericht	1 Monat	Nationale Cybersicherheitsbehörde (NCSA)

9. Aufsichtsbehörden und Durchsetzungsmodell in Griechenland

Zuständige Hauptbehörde: National Cybersecurity Authority (NCSA).

Griechenland betreibt ein zentrales Aufsichtsmodell, das von der NCSA koordiniert wird; sektorspezifische Aufsichtsbehörden werden bei Bedarf einbezogen.

Aufsichtsbefugnisse umfassen:

Anforderungen von Unterlagen und Informationen
Sicherheitsaudits
Vor-Ort-Inspektionen
Verbindliche Compliance-Anordnungen
Teilnahme an EU-Koordinierungsmechanismen für Cybersicherheit

Die Durchsetzungsstruktur entspricht den Kooperationsanforderungen auf EU-Richtlinienebene.

10. NIS2-Bußgelder und Sanktionen in Griechenland

Griechenland wendet richtlinienkonforme Verwaltungssanktionen an.

Wesentliche Einrichtungen

Bis zu €10 Millionen oder 2% des weltweiten jährlichen Gesamtumsatzes (je nachdem, welcher Betrag höher ist)

Wichtige Einrichtungen

Bis zu €7 Millionen oder 1.4% des weltweiten jährlichen Gesamtumsatzes (je nachdem, welcher Betrag höher ist)

Die Durchsetzung von NIS2-Bußgeldern in Griechenland kann außerdem Folgendes umfassen:

Verbindliche Anordnungen zur Abhilfe
Öffentliche Benennung nicht konformer Einrichtungen
Aussetzung von Zulassungen oder Zertifizierungen
Befugnisse zur Suspendierung der Geschäftsleitung

Strafrechtliche Haftung gilt nur, soweit sie ausdrücklich nach griechischem Recht vorgesehen ist.

11. NIS2-Lieferketten- und Lieferantensicherheit in Griechenland

Einrichtungen müssen die durch Dritte entstehenden Cybersicherheitsrisiken mittels:

Lieferantenrisikobewertungen
Vertragliche Sicherheits-Flow-down-Klauseln
Fortlaufende Überwachung von IKT-Lieferanten
Analyse von Konzentrationsrisiken
Eindämmung der Ausbreitung von Vorfällen

Der Ansatz Griechenlands entspricht den grundlegenden Erwartungen der Richtlinie hinsichtlich des Lieferantenrisikomanagements.

12. Registrierungs- und Selbsteinstufungspflichten in Griechenland

Einrichtungen im Anwendungsbereich müssen:

Registrierung bei den zuständigen Behörden
Angabe von Unternehmensidentifikationsdaten
Offenlegung der Sektorzugehörigkeit
Aktuelle Meldekontaktdaten pflegen

Verfahrensfristen richten sich nach dem Umsetzungsrahmen Griechenlands. Nach dem aktuellen Stand der Umsetzung folgt Griechenland dem Basisrahmen der NIS2-Richtlinie. Nationale Umsetzungsdetails können spezifische Pflichten präzisieren.

Selbstmeldung ist verpflichtend, wenn Einrichtungen die gesetzlichen Schwellenwerte erfüllen.

13. Zusammenspiel mit der DSGVO und anderen Gesetzen in Griechenland

Die Datenschutz-Grundverordnung (DSGVO) gilt weiterhin parallel.

Überschneidungen betreffen unter anderem:

72-Stunden-Meldung bei Verletzung des Schutzes personenbezogener Daten
Koordinierung der Aufsichtsbehörden
Parallele Untersuchungen zu Cybersicherheit und Datenschutz
Sektorspezifische griechische Cybersicherheitsgesetzgebung

Ein einzelner Cybervorfall kann Meldepflichten nach beiden Regelwerken auslösen.

14. Grenzüberschreitende Anwendbarkeit

Einrichtungen mit ihrer Hauptniederlassung in Griechenland werden hinsichtlich grenzüberschreitender Dienste von den griechischen Behörden beaufsichtigt.

Ausländische Anbieter digitaler Dienste, die in Griechenland Dienste erbringen, können je nach Niederlassungsstruktur nationalen Pflichten unterliegen.

Vertretungserfordernisse richten sich nach den Vorgaben der Richtlinie für Nicht-EU-Anbieter, die den griechischen Markt bedienen.

15. Umsetzungszeitplan in Griechenland

Annahme der Richtlinie: 2022
Nationale Gesetzesänderungen: 2024–2025
Inkrafttreten: Mit nationaler Veröffentlichung
Notifizierung an die Kommission: Gemäß den EU-Verfahren
Compliance-Meilenstein: Richtlinienkonforme Fristen

Der griechische Umsetzungszeitplan steht im Einklang mit den EU-Umsetzungsvorgaben.

16. Wesentliche Erkenntnisse für KMU in Griechenland

Mittlere Unternehmen in erfassten Sektoren fallen automatisch in den Anwendungsbereich.
Kleine Unternehmen können benannt werden, wenn sie für die nationale oder wirtschaftliche Stabilität kritisch sind.
Aufsicht durch das Leitungsorgan ist verpflichtend.
Die Meldung von Vorfällen folgt Fristen von 24 Std. / 72 Std. / 1 Monat.
Geldbußen können 10 Millionen € oder 2 % des weltweiten Umsatzes erreichen.
Risikomanagement für Lieferanten ist erforderlich.
Frühzeitige Compliance-Planung verringert das Risiko von Durchsetzungsmaßnahmen.

FAQ: NIS2 Griechenland KMU-Leitfaden

Gilt NIS2 für kleine Unternehmen in Griechenland?

Kleine Unternehmen sind grundsätzlich ausgenommen, es sei denn, sie werden benannt oder operieren in hochkritischen Sektoren. Mittlere Unternehmen, die die Größenschwellen erfüllen, sind automatisch erfasst.

Wie hoch sind die NIS2-Geldbußen in Griechenland?

Wesentliche Einrichtungen unterliegen Geldbußen von bis zu 10 Millionen € oder 2 % des weltweiten Jahresumsatzes. Wichtige Einrichtungen unterliegen Geldbußen von bis zu 7 Millionen € oder 1,4 % des weltweiten Jahresumsatzes.

Ab wann gilt NIS2 in Griechenland?

Griechenland aktualisiert seine nationale Cybersicherheitsgesetzgebung zur Angleichung an die Richtlinie. Das Inkrafttreten erfolgt nach Veröffentlichung der nationalen Rechtsvorschriften.

Wer setzt NIS2 in Griechenland durch?

Die Nationale Cybersicherheitsbehörde (NCSA) fungiert als primäre Aufsichtsbehörde und koordiniert gegebenenfalls mit Sektorregulierungsbehörden.

Können Geschäftsführer nach NIS2 in Griechenland persönlich haftbar sein?

Leitungsorgane müssen Cybersicherheitsmaßnahmen genehmigen und überwachen. Verwaltungsrechtliche Durchsetzungsinstrumente können in schweren Fällen Befugnisse zur Suspendierung von Führungskräften umfassen.

Worin unterscheidet sich NIS2 von der DSGVO in Griechenland?

NIS2 regelt Cybersicherheitsresilienz und operatives Risikomanagement, während die DSGVO den Schutz personenbezogener Daten regelt. Beide Rahmenwerke können nach einem Cybervorfall gleichzeitig anwendbar sein.

Was gilt als erheblicher Vorfall nach NIS2 in Griechenland?

Ein Vorfall, der schwere Störungen, erhebliche finanzielle Verluste, gesellschaftliche Auswirkungen oder grenzüberschreitende Folgen verursacht, erfüllt typischerweise die Meldepflichtschwelle.