NIS2 in Griechenland

1. Schnellüberblick zur Anwendbarkeit für KMU in Griechenland

Gilt NIS2 für KMU in Griechenland?

Ja — abhängig von Sektor und Größe.

• Automatische Anwendbarkeit auf mittelgroße Einrichtungen (≥50 Beschäftigte und ≥€10 Millionen Umsatz oder Bilanzsumme) in erfassten Sektoren.
• Kleine oder Kleinst-Einrichtungen sind nur einbezogen, wenn sie förmlich benannt werden oder in hochkritischen Sektoren tätig sind.
• Gilt für in Griechenland ansässige Unternehmen und in bestimmten Fällen für ausländische digitale Diensteanbieter, die den griechischen Markt bedienen.

KMU sollten ihre Einstufung im Rahmen des nationalen Cybersicherheitsrahmens Griechenlands anhand der Sektorzuordnung und gesetzlicher Schwellenwerte prüfen.

2. Überblick über die Umsetzung von NIS2 in Griechenland

Griechenland hat NIS2 mit dem Gesetz 5160/2024 („Umsetzung der Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union") umgesetzt, veröffentlicht im Amtsblatt (Regierungsanzeiger A'/195) am 27. November 2024 und in Kraft seit 28. November 2024. Es handelt sich um ein umfassendes neues Gesetz, nicht um eine Änderung, das das frühere Gesetz 4577/2018 zur Umsetzung von NIS1 ersetzt. Für Gebietskörperschaften der ersten Ebene begann die Durchsetzung am 27. November 2025.

Der Rahmen wird durch zwei zentrale Ministerialerlasse ergänzt: Ministerialerlass 1645/2025 (15. April 2025) zur Festlegung des Registrierungsverfahrens und Ministerialerlass 1689/2025 (6. Mai 2025) zur Definition des nationalen Rahmens für Cybersicherheitsanforderungen, der 22 spezifische Sicherheitsthemen abdeckt und für regulierte Einrichtungen gilt.

Die griechische Umsetzung enthält mehrere Anforderungen, die über den Mindeststandard der Richtlinie hinausgehen: verpflichtende Bestellung eines Information and Communication Systems Security Officer (ICSSO) – eine Rolle, die mit der des Datenschutzbeauftragten unvereinbar ist; verpflichtende jährliche Cybersicherheitsschulungen für Geschäftsleitung und Beschäftigte; sowie die Pflicht, ein umfassendes Inventar materieller und immaterieller IKT-Vermögenswerte zu führen. Die Genehmigung der Risikomanagementmaßnahmen durch das Leitungsorgan war innerhalb von drei Monaten nach Inkrafttreten erforderlich (Frist: 28. Februar 2025 – bereits abgelaufen).

3. Anwendungsbereich in Griechenland

Der Anwendungsbereich Griechenlands spiegelt die Mindestsektorkategorien der Richtlinie wider, ohne bestätigte strukturelle Ausweitung.

4. Größenschwellen und Anwendbarkeit auf KMU in Griechenland

Die Basisschwellen gelten:

• ≥50 Beschäftigte und
• ≥€10 Millionen Jahresumsatz oder Bilanzsumme.

Einrichtungen in erfassten Sektoren, die beide Kriterien erfüllen, fallen automatisch in den Anwendungsbereich.

Kleinst- und Kleinunternehmen können bestimmt werden, wenn sie als kritisch für die öffentliche Sicherheit, die wirtschaftliche Stabilität oder das Funktionieren der Gesellschaft angesehen werden.

Die griechischen Behörden behalten die formalen Befugnisse zur Bestimmung bei, wenn systemisches Risiko eine Einbeziehung rechtfertigt.

5. Klassifizierungsrahmen für Einrichtungen in Griechenland

Einrichtungen werden wie folgt kategorisiert:

• Wesentliche Einrichtungen — unterliegen einer proaktiven Aufsicht, einschließlich Audits und strukturierter Compliance-Überwachung.
• Wichtige Einrichtungen — unterliegen in erster Linie einer reaktiven Aufsicht, die durch erhebliche Vorfälle oder Compliance-Bedenken ausgelöst wird.

Die Einstufung wird durch Sektor und Größe bestimmt. Behörden können Einrichtungen neu einstufen, wenn betriebliche Auswirkungen oder Risikobelastung eine verstärkte Aufsicht rechtfertigen.

Griechenland folgt dem zweistufigen Aufsichtsmodell der Richtlinie.

6. Anforderungen an das Cybersicherheits-Risikomanagement in Griechenland

Griechenlands nationales Regime steht im Einklang mit den Grundanforderungen der Richtlinie für das Management von Cybersicherheitsrisiken. Erfasste Einrichtungen müssen verhältnismäßige technische und organisatorische Maßnahmen umsetzen, die Folgendes abdecken:

• Risikoanalyse und Systemschutz
• Vorfallserkennung und -reaktion
• Geschäftskontinuität und Krisenmanagement
• Risikokontrollen in der Lieferkette gemäß NIS2 in Griechenland
• Sichere Beschaffung und Entwicklung von IKT-Systemen
• Zugriffskontrolle und Identitätsmanagement
• Verschlüsselung und kryptografische Schutzmaßnahmen
• Verfahren zum Schwachstellenmanagement
• Cybersicherheitsschulungen für Mitarbeitende

Die Maßnahmen müssen dem Stand der Technik und der Risikobelastung der Organisation entsprechen. Griechenland hat einen nationalen Rahmen für Cybersicherheitsanforderungen (Ministerialerlass 1689/2025) veröffentlicht, der 22 spezifische Sicherheitsthemen definiert, die von wesentlichen und wichtigen Einrichtungen zu adressieren sind. Einrichtungen müssen außerdem ein umfassendes Inventar materieller und immaterieller IKT-Vermögenswerte führen und der NCSA eine Cybersicherheitsrichtlinie übermitteln. Risikobewertungen sind jährlich oder nach wesentlichen Änderungen zu überprüfen. Eine Ausrichtung an ISO/IEC 27001 wird empfohlen.

7. Haftung des Managements und Governance in Griechenland

Leitungsorgane müssen Maßnahmen zum Management von Cyberrisiken formell genehmigen und deren Umsetzung überwachen.

Nach dem griechischen Rechtsrahmen:

• Leitungsgremien sind für die Überwachung der Compliance verantwortlich. Leitungsorgane mussten Maßnahmen zum Cybersicherheits-Risikomanagement innerhalb von drei Monaten nach Inkrafttreten des Gesetzes formell genehmigen (Frist: 28. Februar 2025 – bereits abgelaufen).
• Die Geschäftsleitung muss für ausreichende Cybersicherheitskompetenz sorgen. Mitglieder der Leitungsorgane sind verpflichtet, an einer besonderen Cybersicherheitsschulung teilzunehmen und sicherzustellen, dass mindestens jährlich entsprechende Schulungen für die Beschäftigten stattfinden.
• Verwaltungsrechtliche Sanktionen können Governance-Fehlleistungen ahnden.
• Die NCSA kann jeder natürlichen Person, die Leitungsverantwortung auf Ebene des Vorstandsvorsitzenden oder gesetzlichen Vertreters wahrnimmt, die Ausübung von Leitungsfunktionen in einer wesentlichen Einrichtung vorübergehend untersagen. Mitglieder der Geschäftsleitung können nach Gesetz 5160/2024 zudem für Verstöße gegen Pflichten zum Cybersicherheits-Risikomanagement und zur Schulung persönlich haftbar gemacht werden.

Die NIS2-Erwartungen zur Managementhaftung in Griechenland heben die Cybersicherheits-Governance auf eine Verantwortung auf Führungsebene.

8. Meldepflichten bei Sicherheitsvorfällen in Griechenland

9. Aufsichtsbehörden und Durchsetzungsmodell in Griechenland

Zuständige Hauptbehörde: National Cybersecurity Authority (NCSA).

Griechenland betreibt ein zentrales Aufsichtsmodell, das von der NCSA koordiniert wird; sektorspezifische Aufsichtsbehörden werden bei Bedarf einbezogen.

Aufsichtsbefugnisse umfassen:

• Anforderungen von Unterlagen und Informationen
• Sicherheitsaudits
• Vor-Ort-Inspektionen
• Verbindliche Compliance-Anordnungen
• Teilnahme an EU-Koordinierungsmechanismen für Cybersicherheit

Die Durchsetzungsstruktur entspricht den Kooperationsanforderungen auf EU-Richtlinienebene.

10. NIS2-Bußgelder und Sanktionen in Griechenland

Griechenland wendet richtlinienkonforme Verwaltungssanktionen an.

Die Durchsetzung von NIS2-Bußgeldern in Griechenland kann außerdem Folgendes umfassen:

• Verbindliche Anordnungen zur Abhilfe
• Öffentliche Benennung nicht konformer Einrichtungen
• Aussetzung von Zulassungen oder Zertifizierungen
• Befugnisse zur Suspendierung der Geschäftsleitung

Strafrechtliche Haftung gilt nur, soweit sie ausdrücklich nach griechischem Recht vorgesehen ist.

11. NIS2-Lieferketten- und Lieferantensicherheit in Griechenland

Einrichtungen müssen die durch Dritte entstehenden Cybersicherheitsrisiken mittels:

• Lieferantenrisikobewertungen
• Vertragliche Sicherheits-Flow-down-Klauseln
• Fortlaufende Überwachung von IKT-Lieferanten
• Analyse von Konzentrationsrisiken
• Eindämmung der Ausbreitung von Vorfällen

Der Ansatz Griechenlands entspricht den grundlegenden Erwartungen der Richtlinie hinsichtlich des Lieferantenrisikomanagements.

12. Registrierungs- und Selbsteinstufungspflichten in Griechenland

Einrichtungen im Anwendungsbereich müssen:

• Registrierung über die digitale Plattform der NCSA (nis2register.cyber.gov.gr). Die allgemeine Registrierungsfrist endete am 30. September 2025 (verlängert gegenüber früheren Terminen); für DNS-, Cloud-, CDN-, Managed-Service-Anbieter und ähnliche digitale Infrastruktureinrichtungen galt eine frühere Frist bis 28. März 2025. Beide Fristen sind nun abgelaufen – noch nicht registrierte Einrichtungen sollten unverzüglich handeln.
• Angabe von Unternehmensidentifikationsdaten
• Offenlegung der Sektorzugehörigkeit
• Aktuelle Meldekontaktdaten pflegen. Änderungen registrierter Angaben sind der NCSA innerhalb von zwei Wochen mitzuteilen.

Zusätzlich zur Registrierung müssen Einrichtungen einen ICSSO (Information and Communication Systems Security Officer) als dedizierten Ansprechpartner für die NCSA bestellen. Diese Rolle ist mit der des Datenschutzbeauftragten unvereinbar. Die Qualifikationsanforderungen für den ICSSO gelten seit 1. November 2025.

Selbstmeldung ist verpflichtend, wenn Einrichtungen die gesetzlichen Schwellenwerte erfüllen. Die NCSA kann zudem weitere Einrichtungen auf Grundlage von Risiko- oder Kritikalitätsbewertungen benennen.

13. Zusammenspiel mit der DSGVO und anderen Gesetzen in Griechenland

Die Datenschutz-Grundverordnung (DSGVO) gilt weiterhin parallel.

Überschneidungen betreffen unter anderem:

• 72-Stunden-Meldung bei Verletzung des Schutzes personenbezogener Daten
• Koordinierung der Aufsichtsbehörden
• Parallele Untersuchungen zu Cybersicherheit und Datenschutz
• Sektorspezifische griechische Cybersicherheitsgesetzgebung

Ein einzelner Cybervorfall kann Meldepflichten nach beiden Regelwerken auslösen.

14. Grenzüberschreitende Anwendbarkeit

Einrichtungen mit ihrer Hauptniederlassung in Griechenland werden hinsichtlich grenzüberschreitender Dienste von den griechischen Behörden beaufsichtigt.

Ausländische Anbieter digitaler Dienste, die in Griechenland Dienste erbringen, können je nach Niederlassungsstruktur nationalen Pflichten unterliegen.

Vertretungserfordernisse richten sich nach den Vorgaben der Richtlinie für Nicht-EU-Anbieter, die den griechischen Markt bedienen.

15. Umsetzungszeitplan in Griechenland

• Annahme der Richtlinie: 2022
• Nationale Gesetzesänderungen: Gesetz 5160/2024 vom griechischen Parlament verabschiedet; veröffentlicht im Amtsblatt am 27. November 2024; ergänzt durch Ministerialerlass 1645/2025 (Registrierung, 15. April 2025) und Ministerialerlass 1689/2025 (Rahmen für Cybersicherheitsanforderungen mit 22 Themen, 6. Mai 2025).
• Inkrafttreten: 28. November 2024; Gebietskörperschaften der ersten Ebene: 27. November 2025.
• Notifizierung an die Kommission: Vollständig notifiziert; Griechenland gehört nicht zu den Mitgliedstaaten mit einer offenen begründeten Stellungnahme der Kommission.
• Compliance-Meilensteine: Genehmigung der Risikomanagementmaßnahmen durch das Leitungsorgan: 28. Februar 2025 (abgelaufen); Registrierung digitaler Infrastrukturanbieter: 28. März 2025 (abgelaufen); allgemeine Registrierung von Einrichtungen: 30. September 2025 (abgelaufen); Inkrafttreten der ICSSO-Qualifikationsanforderungen: 1. November 2025; NCSA-Audits begonnen: Q4 2025.

Griechenland zählte zu den ersten EU-Mitgliedstaaten, die die NIS2-Umsetzung abgeschlossen haben. Alle ersten Compliance-Meilensteine – Genehmigung der Risikomanagementmaßnahmen durch das Leitungsorgan, Registrierung der Einrichtungen und Bestellung des ICSSO – sind verstrichen. NCSA-Audits laufen.

16. Wesentliche Erkenntnisse für KMU in Griechenland

• Mittlere Unternehmen in erfassten Sektoren fallen automatisch in den Anwendungsbereich.
• Kleine Unternehmen können benannt werden, wenn sie für die nationale oder wirtschaftliche Stabilität kritisch sind.
• Aufsicht durch das Leitungsorgan ist verpflichtend. Die Geschäftsleitung muss die Cybersicherheits-Risikomanagementmaßnahmen formell genehmigt haben (Frist: 28. Februar 2025) und sicherstellen, dass jährlich Cybersicherheitsschulungen für Leitung und Beschäftigte stattfinden. Die persönliche Haftung von Mitgliedern der Leitungsorgane ist nach Gesetz 5160/2024 ausdrücklich vorgesehen.
• Die Meldung von Vorfällen folgt Fristen von 24 Std. / 72 Std. / 1 Monat.
• Geldbußen können 10 Millionen € oder 2 % des weltweiten Umsatzes erreichen.
• Risikomanagement für Lieferanten ist erforderlich.
• Alle wesentlichen Fristen sind abgelaufen. Einrichtungen müssen außerdem einen dedizierten ICSSO bestellen (mit der DPO-Rolle unvereinbar), den nationalen Rahmen für Cybersicherheitsanforderungen mit 22 Themen (Ministerialerlass 1689/2025) umsetzen und ein umfassendes IKT-Vermögensinventar führen. NCSA-Audits haben im Q4 2025 begonnen.

FAQ: NIS2 Griechenland KMU-Leitfaden