NIS2 in Lettland

Leitfaden zur NIS2-Umsetzung und -Compliance in Lettland.

Dieses Dokument enthält Informationen mit Stand April 2026. Obwohl alle zumutbaren Schritte unternommen wurden, um die Richtigkeit der Inhalte zu überprüfen, werden die Informationen ohne Gewähr für Vollständigkeit oder Richtigkeit bereitgestellt und können Änderungen unterliegen. Obgleich wir beabsichtigen, diese Inhalte regelmäßig zu aktualisieren, wird empfohlen, kritische Informationen eigenständig zu verifizieren.

Lettland stärkt sein nationales Cybersicherheitsregime, um es mit den erweiterten Pflichten der NIS2-Richtlinie in Einklang zu bringen. Der überarbeitete Rahmen erweitert die Sektorabdeckung, stärkt die Verantwortlichkeit der Geschäftsleitung und verbessert Aufsichts- und Durchsetzungsmechanismen. Dieser Leitfaden bietet einen strukturierten Überblick über die NIS2-Compliance-Anforderungen in Lettland für KMU, die in erfassten Sektoren tätig sind.

1. Schneller Überblick zur Anwendbarkeit auf KMU in Lettland

Gilt NIS2 für KMU in Lettland?

Ja — abhängig von Sektor und Größe.

Automatische Anwendbarkeit auf mittelgroße Einrichtungen (≥50 Beschäftigte und ≥€10 Millionen Umsatz oder Bilanzsumme) in erfassten Sektoren.
Kleine oder Kleinst-Einrichtungen sind nur einbezogen, wenn sie förmlich benannt werden oder in hochkritischen Sektoren tätig sind.
Gilt für in Lettland ansässige Einrichtungen und in bestimmten Fällen für ausländische digitale Diensteanbieter, die den lettischen Markt bedienen.

KMU sollten ihre Einordnung im nationalen Cybersicherheitsrahmen Lettlands anhand der Sektorzuordnung und gesetzlicher Schwellenwerte prüfen.

2. Überblick über die NIS2-Umsetzung in Lettland

Lettland hat die Richtlinie durch das neue Nationale Cybersicherheitsgesetz (Nacionālās kiberdrošības likums) umgesetzt, das am 20. Juni 2024 vom Saeima verabschiedet, am 4. Juli 2024 unterzeichnet und seit dem 1. September 2024 in Kraft ist — und das frühere Gesetz über die Sicherheit der Informationstechnologie vollständig aufhebt und ersetzt (es handelt sich um ein neues Gesetz, nicht um eine Änderung).

Die sekundäre Gesetzgebung wurde durch die Verordnung des Ministerkabinetts Nr. 397 über Mindestanforderungen an die Cybersicherheit abgeschlossen, die seit dem 2. Juli 2025 in Kraft ist.

Zu den nationalen Besonderheiten gehören die verpflichtende Bestellung eines Cybersicherheitsbeauftragten, eine dreistufige Systemklassifizierung (A erweitert / B grundlegend / C minimal) und eine jährliche ICT-Sicherheitsüberprüfungspflicht nach Artikel 25. Das mit Gründen versehene Schreiben der Europäischen Kommission vom Mai 2025 wurde mit der Annahme der Verordnung Nr. 397 erledigt.

3. Anwendungsbereich in Lettland

Wesentliche Einrichtungen

Einrichtungen, die in hochkritischen Sektoren tätig sind:

Wichtige Einrichtungen

Einrichtungen, die in anderen aufgeführten Sektoren tätig sind:

Lettlands Anwendungsbereich spiegelt die Mindestsektorkategorien der Richtlinie wider, ohne bestätigte strukturelle Erweiterung.

4. Größenschwellen und Anwendbarkeit auf KMU in Lettland

Die Basisschwellen gelten:

≥50 Beschäftigte und
≥€10 Millionen Jahresumsatz oder Bilanzsumme.

Einrichtungen, die innerhalb der erfassten Sektoren beide Kriterien erfüllen, fallen automatisch in den Anwendungsbereich.

Kleine und Kleinstunternehmen können bezeichnet werden, wenn sie als kritisch für die nationale Sicherheit, die wirtschaftliche Stabilität oder die Aufrechterhaltung wesentlicher Dienste angesehen werden.

Die lettischen Behörden behalten formelle Benennungsbefugnisse, wenn systemische Risiken eine Einbeziehung rechtfertigen.

5. Klassifizierungsrahmen für Einrichtungen in Lettland

Einrichtungen werden wie folgt kategorisiert:

Wesentliche Einrichtungen — Unterliegen einer proaktiven Aufsicht, einschließlich Inspektionen und strukturiertem Compliance-Monitoring.
Wichtige Einrichtungen — Unterliegen überwiegend einer reaktiven Aufsicht, die durch erhebliche Vorfälle oder Compliance-Bedenken ausgelöst wird.

Die Einstufung richtet sich nach Sektor und Größe. Behörden können Einrichtungen neu einstufen, wenn betriebliche Auswirkungen oder Risikobelastung eine verstärkte Aufsicht rechtfertigen.

Lettland folgt der zweistufigen Aufsichtsstruktur der Richtlinie.

6. Anforderungen an das Cybersicherheits-Risikomanagement in Lettland

Das nationale Regime Lettlands entspricht dem Basisrahmen der Richtlinie für das Management von Cybersicherheitsrisiken. Erfasste Einrichtungen müssen angemessene technische und organisatorische Maßnahmen umsetzen, die Folgendes abdecken:

Risikobewertung und Systemschutz
Vorfallserkennung und -reaktion
Geschäftskontinuität und Krisenmanagement
NIS2-Lieferketten-Risikokontrollen in Lettland
Sichere Beschaffung und Entwicklung von IKT-Systemen
Zugriffskontrolle und Identitätsmanagement
Verschlüsselung und kryptografische Schutzmaßnahmen
Verfahren zum Schwachstellenmanagement
Cybersicherheitsschulungen für Mitarbeitende

Die Maßnahmen müssen dem Stand der Technik und der organisatorischen Risikolage entsprechen. Eine Ausrichtung an ISO/IEC 27001 und an lettischen Leitlinien zur Cybersicherheit wird empfohlen.

7. Haftung des Managements und Governance in Lettland

Leitungsorgane müssen Maßnahmen zum Management von Cybersicherheitsrisiken formell genehmigen und deren Umsetzung überwachen.

Nach dem lettischen Rahmenwerk:

Aufsichtsgremien sind für die Überwachung der Compliance verantwortlich.
Die Geschäftsleitung muss ausreichende Cybersicherheitskompetenz sicherstellen und förmlich einen Cybersicherheitsbeauftragten bestellen, mit Meldung an das NCSC (Frist 1. Oktober 2025 — abgelaufen).
Verwaltungsrechtliche Sanktionen können Governance-Versäumnisse ahnden.
Eine vorübergehende Aussetzung von Leitungsfunktionen kann im Rahmen richtlinienkonformer Durchsetzungsmechanismen vorgesehen sein.

Die Erwartungen zur NIS2-Managementhaftung in Lettland heben die Cybersicherheits-Governance auf die Ebene einer Verantwortung auf Führungsebene.

8. Meldepflichten für Sicherheitsvorfälle in Lettland

Definition eines erheblichen Sicherheitsvorfalls

Ein Vorfall gilt als erheblich, wenn er verursacht:

Schwere Betriebsstörung
Erheblicher finanzieller Verlust
Erhebliche gesellschaftliche Auswirkungen
Grenzüberschreitende Auswirkungen

Meldezeitplan

Meldestufe	Frist	Behörde
Frühwarnung	24 Stunden	CERT.LV (nationales CSIRT — Vorfallmeldungen per Telefon oder E-Mail)
Vorfallsmeldung	72 Stunden	CERT.LV (nationales CSIRT — Vorfallmeldungen per Telefon oder E-Mail)
Abschlussbericht	1 Monat	CERT.LV (nationales CSIRT — Vorfallmeldungen per Telefon oder E-Mail)

CERT.LV ist das nationale CSIRT für Vorfallmeldungen und Cyber-Reaktion. Das Nationale Zentrum für Cybersicherheit (NCSC) — dessen Aufgaben vom Verteidigungsministerium in Zusammenarbeit mit CERT.LV wahrgenommen werden — ist die primäre Aufsichts- und Strategiebehörde. Das Verfassungsschutzbüro beaufsichtigt Eigentümer kritischer ICT-Infrastruktur. Erfasste Einrichtungen müssen Dienstleistungsempfänger zudem über erhebliche Vorfälle informieren, die die Dienstkontinuität beeinträchtigen.

9. Aufsichtsbehörden und Durchsetzungsmodell in Lettland

Primäre Aufsichtsbehörde: Nationales Zentrum für Cybersicherheit (NCSC), dessen Aufgaben vom Verteidigungsministerium in Zusammenarbeit mit CERT.LV wahrgenommen werden; das NCSC fungiert als zentrale Anlaufstelle, überwacht die Umsetzung und entwickelt die nationale Cybersicherheitspolitik. CERT.LV ist das nationale CSIRT für die Reaktion auf Vorfälle. Das Verfassungsschutzbüro beaufsichtigt Eigentümer kritischer ICT-Infrastruktur.

Lettland verfügt über ein koordiniertes Aufsichtsmodell unter dem NCSC; CERT.LV ist für die Vorfallreaktion zuständig; das Verfassungsschutzbüro beaufsichtigt kritische ICT-Infrastruktur. Das NCSC kann Inspektionen durchführen, Korrekturmaßnahmen anordnen, Warnungen aussprechen, Dienste aussetzen und Sanktionen verhängen.

Zu den Aufsichtsbefugnissen gehören:

Anforderungen von Unterlagen und Informationen
Sicherheitsaudits
Vor-Ort-Kontrollen
Verbindliche Compliance-Anordnungen
Teilnahme an EU-Koordinierungsmechanismen für Cybersicherheit

Die Durchsetzungsstruktur entspricht den Kooperationsanforderungen auf Richtlinienebene.

10. NIS2-Bußgelder und Sanktionen in Lettland

Lettland wendet richtlinienkonforme Verwaltungssanktionen an.

Wesentliche Einrichtungen

Bis zu €10 Millionen oder 2% des weltweiten jährlichen Gesamtumsatzes (je nachdem, welcher Betrag höher ist)

Wichtige Einrichtungen

Bis zu €7 Millionen oder 1.4% des weltweiten jährlichen Gesamtumsatzes (je nachdem, welcher Betrag höher ist)

Über finanzielle Sanktionen hinaus können die Behörden zusätzliche Durchsetzungsmaßnahmen verhängen:

Öffentliche Bekanntmachung der Nichteinhaltung
Verbindliche Anweisungen mit Fristen
Vorübergehende Aussetzung von Zertifizierungen
Vorübergehende Managementverbote für wesentliche Einrichtungen

11. NIS2-Lieferketten- und Lieferantensicherheit in Lettland

Einrichtungen müssen die Cybersicherheitsrisiken durch Dritte durch folgende Maßnahmen steuern:

Risikobewertungen von Lieferanten
Vertragliche Sicherheits-Flow-down-Klauseln
Kontinuierliche Überwachung von IKT-Lieferanten
Analyse von Konzentrationsrisiken
Minderung der Ausbreitung von Sicherheitsvorfällen

Der Ansatz Lettlands steht im Einklang mit den grundlegenden Erwartungen der Richtlinie hinsichtlich des Lieferantenrisikomanagements.

12. Registrierungs- und Selbstidentifizierungspflichten in Lettland

Einrichtungen im Geltungsbereich müssen:

Beim Nationalen Zentrum für Cybersicherheit (NCSC) registrieren; die ursprüngliche Registrierungsfrist 1. April 2025 ist abgelaufen; Einrichtungen, die danach in den Anwendungsbereich gelangen, müssen das NCSC innerhalb eines Monats informieren. Eine Selbstbewertung ist über das Online-NCL-Testtool des Verteidigungsministeriums möglich.
Angaben zur Unternehmensidentität bereitstellen
Sektorklassifizierung angeben und alle Informationssysteme in drei Sicherheitskategorien einstufen: A (erweitert), B (grundlegend) oder C (minimal).
Aktualisierte Meldekontaktdaten pflegen

Die Verordnung des Ministerkabinetts Nr. 397 (in Kraft seit 2. Juli 2025) legt die technischen und organisatorischen Mindestmaßnahmen je Sicherheitsklassifizierung fest. Einrichtungen müssen einen aktuellen ICT-Ressourcenkatalog führen, der Informationssysteme, Architektur sowie ICT-gestützte Produkte und Dienste umfasst.

Selbstidentifizierung ist verpflichtend. Der erste Selbstbewertungsbericht war bis zum 1. Oktober 2025 beim NCSC einzureichen (Frist abgelaufen). Anschließend sind jährliche ICT-Sicherheitsüberprüfungen nach Artikel 25 mit förmlicher Behebung festgestellter Mängel erforderlich.

13. Wechselwirkung mit der DSGVO und anderen Gesetzen in Lettland

Die Datenschutz-Grundverordnung gilt weiterhin parallel.

Relevante Überschneidungen umfassen:

72-Stunden-Meldung von Verletzungen des Schutzes personenbezogener Daten
Koordination mit der Aufsichtsbehörde
Parallele Untersuchungen zu Cybersicherheit und Datenschutz
Sektorspezifische lettische Cybersicherheitsgesetzgebung

Ein Cybervorfall kann Meldepflichten nach beiden Regimen auslösen.

14. Grenzüberschreitende Anwendbarkeit

Einheiten mit ihrer Hauptniederlassung in Lettland werden für grenzüberschreitende Dienste von den lettischen Behörden beaufsichtigt.

Ausländische digitale Anbieter, die in Lettland Dienstleistungen erbringen, können je nach Niederlassungsstruktur nationalen Pflichten unterliegen.

Vertretungsanforderungen richten sich nach den Standards der Richtlinie für Nicht-EU-Anbieter, die den lettischen Markt bedienen.

15. Umsetzungszeitplan in Lettland

Annahme der Richtlinie: 2022
Nationale Gesetzgebung: Nationales Cybersicherheitsgesetz am 20. Juni 2024 verabschiedet, am 4. Juli 2024 unterzeichnet; Verordnung Nr. 397 in Kraft seit 2. Juli 2025.
Inkrafttreten: 1. September 2024 (NCL); 2. Juli 2025 (Verordnung Nr. 397).
Notifizierung an die Kommission: Mit Gründen versehene Stellungnahme der Kommission vom 7. Mai 2025 wegen unvollständiger Sekundärgesetzgebung — nach Annahme der Verordnung Nr. 397 erledigt.
Compliance-Meilensteine: Registrierung 1. April 2025 (abgelaufen); Bestellung des Cybersicherheitsbeauftragten 1. Oktober 2025 (abgelaufen); erster Selbstbewertungsbericht 1. Oktober 2025 (abgelaufen); jährliche ICT-Sicherheitsüberprüfungen laufend.

Die Umsetzung ist abgeschlossen (1. September 2024), die Sekundärgesetzgebung finalisiert (2. Juli 2025). Alle Anfangstermine sind abgelaufen; jährliche ICT-Sicherheitsüberprüfungen sind eine fortlaufende Pflicht.

16. Zentrale Erkenntnisse für KMU in Lettland

Mittelgroße Einheiten in erfassten Sektoren fallen automatisch in den Anwendungsbereich.
Kleine Einheiten können benannt werden, wenn sie für die nationale oder wirtschaftliche Stabilität kritisch sind.
Governance-Aufsicht auf Vorstandsebene ist verpflichtend; Einrichtungen müssen einen Cybersicherheitsbeauftragten bestellen und das NCSC informieren (Frist 1. Oktober 2025 — abgelaufen).
Vorfallmeldungen folgen Fristen von 24 Std. / 72 Std. / 1 Monat.
Finanzielle Sanktionen können bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes betragen.
Lieferantenrisikomanagement ist erforderlich.
Alle Anfangstermine sind abgelaufen (Registrierung 1. April 2025; Cybersicherheitsbeauftragter und erster Selbstbewertungsbericht 1. Oktober 2025); Systeme sind in A/B/C zu klassifizieren, Mindestmaßnahmen der Verordnung Nr. 397 umzusetzen und jährliche ICT-Sicherheitsüberprüfungen fortlaufend durchzuführen.

FAQ: NIS2 Lettland KMU-Leitfaden

Gilt NIS2 für kleine Unternehmen in Lettland?

Kleine Unternehmen sind grundsätzlich ausgenommen, es sei denn, sie werden ausdrücklich benannt oder sind in hochkritischen Sektoren tätig. Mittlere Unternehmen, die die Größenschwellen erfüllen, fallen automatisch darunter.

Wie hoch sind die NIS2-Geldbußen in Lettland?

Wesentliche Einrichtungen drohen Geldbußen von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes. Wichtige Einrichtungen drohen bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes.

Wann tritt NIS2 in Lettland in Kraft?

Das lettische Nationale Cybersicherheitsgesetz wurde am 20. Juni 2024 vom Saeima verabschiedet und ist am 1. September 2024 in Kraft getreten — es ersetzt das frühere Gesetz über die Sicherheit der Informationstechnologie vollständig. Die Verordnung des Ministerkabinetts Nr. 397 über Mindestanforderungen an die Cybersicherheit ist seit dem 2. Juli 2025 in Kraft. Alle Anfangstermine — Registrierung (1. April 2025), Bestellung des Cybersicherheitsbeauftragten (1. Oktober 2025) und erster Selbstbewertungsbericht (1. Oktober 2025) — sind abgelaufen.

Wer setzt NIS2 in Lettland durch?

Das Nationale Zentrum für Cybersicherheit (NCSC) — dessen Aufgaben vom Verteidigungsministerium in Zusammenarbeit mit CERT.LV wahrgenommen werden — ist die primäre Aufsichtsbehörde und zentrale Anlaufstelle; es führt Inspektionen durch und kann Sanktionen verhängen. CERT.LV ist das nationale CSIRT für die Vorfallreaktion. Das Verfassungsschutzbüro beaufsichtigt Eigentümer kritischer ICT-Infrastruktur.

Können Leitungsorgane unter NIS2 in Lettland persönlich haftbar sein?

Leitungsorgane müssen Cybersicherheitsmaßnahmen genehmigen und überwachen. Verwaltungsrechtliche Durchsetzungsinstrumente können in schweren Fällen auch Befugnisse zur Suspendierung von Leitungsmitgliedern umfassen.

Worin unterscheidet sich NIS2 von der DSGVO in Lettland?

NIS2 regelt die Resilienz der Cybersicherheit und das operative Risikomanagement, während die DSGVO den Schutz personenbezogener Daten regelt. Beide Rahmenwerke können nach einem Cybervorfall anwendbar sein.

Was gilt als erheblicher Vorfall nach NIS2 in Lettland?

Ein Vorfall, der zu schweren Betriebsstörungen, erheblichen finanziellen Verlusten, gesellschaftlichen Auswirkungen oder grenzüberschreitenden Folgen führt, erfüllt in der Regel die Meldeschwelle.