NIS2 in Litauen

1. Kurzüberblick zur Anwendbarkeit für KMU in Litauen

Gilt NIS2 für KMU in Litauen?

Ja — abhängig von Sektor und Größe.

• Automatische Anwendbarkeit auf mittelgroße Einrichtungen (≥50 Beschäftigte und ≥€10 Millionen Umsatz oder Bilanzsumme) in erfassten Sektoren.
• Kleine oder Kleinst-Einrichtungen sind nur einbezogen, wenn sie förmlich benannt werden oder in hochkritischen Sektoren tätig sind.
• Gilt für in Litauen ansässige Einrichtungen und in bestimmten Fällen für ausländische digitale Anbieter, die den litauischen Markt bedienen.

KMU sollten ihre Einstufung nach dem nationalen Cybersicherheitsrahmen Litauens anhand der Sektorzuordnung und gesetzlicher Schwellenwerte prüfen.

2. Überblick zur Umsetzung der NIS2-Richtlinie in Litauen

Litauen hat NIS2 durch eine Änderung (Gesetz XIV-2902) des Gesetzes über die Cybersicherheit der Republik Litauen (Nr. XII-1428) umgesetzt, das am 11. Juli 2024 verabschiedet wurde und seit dem 18. Oktober 2024 in Kraft ist. Die ergänzende Regierungsverordnung zur Umsetzung — mit den Cybersicherheitsanforderungen für wesentliche und wichtige Einrichtungen — trat am 12. November 2024 in Kraft.

Der Rahmen bringt das litauische Regime mit der Richtlinie (EU) 2022/2555 in Einklang und führt mehrere nationale Besonderheiten ein: Litauen erweitert den Anwendungsbereich über die Richtlinie hinaus auf die kommunale öffentliche Verwaltung, Einrichtungen, die in der kritischen Forschung und experimentellen Entwicklung tätig sind (möglicherweise einschließlich bestimmter Universitäten), und Anbieter von elektronischen Informationshostingdiensten. Einrichtungen müssen einen Cybersicherheitsmanager ernennen, der für Umsetzung und Compliance verantwortlich ist, und es besteht keine Selbstregistrierungspflicht — das NCSC identifiziert und benachrichtigt Einrichtungen direkt.

Benachrichtigte Einrichtungen haben 12 Monate ab der Benachrichtigung Zeit, organisatorische Maßnahmen umzusetzen, und 24 Monate für technische Maßnahmen. Das NCSC hat das Erstregister von 1.443 Cybersicherheitseinrichtungen um den 17. April 2025 herum benachrichtigt.

3. Anwendungsbereich in Litauen

Der litauische Anwendungsbereich übersteigt das Richtlinien-Minimum. Das Gesetz erstreckt sich ausdrücklich auch auf die kommunale öffentliche Verwaltung, Einrichtungen, die in der kritischen Forschung und experimentellen Entwicklung tätig sind (einschließlich bestimmter Universitäten), und Anbieter von elektronischen Informationshostingdiensten — keine davon sind nach der Richtlinie verpflichtend.

4. Größenschwellen und Anwendbarkeit auf KMU in Litauen

Die Basisschwellen gelten:

• ≥50 Beschäftigte und
• ≥€10 Millionen Jahresumsatz oder Bilanzsumme.

Einrichtungen, die beide Kriterien innerhalb der erfassten Sektoren erfüllen, fallen automatisch in den Anwendungsbereich.

Klein- und Kleinstunternehmen können bestimmt werden, wenn sie als kritisch für die nationale Sicherheit, die wirtschaftliche Stabilität oder die Kontinuität wesentlicher Dienste angesehen werden.

Die litauischen Behörden behalten formelle Benennungsbefugnisse, wenn systemische Risiken eine Einbeziehung rechtfertigen.

5. Einstufungsrahmen für Einrichtungen in Litauen

Einrichtungen werden wie folgt eingestuft:

• Wesentliche Einrichtungen — Unterliegen einer proaktiven Aufsicht, einschließlich Inspektionen und strukturierter Compliance-Überwachung.
• Wichtige Einrichtungen — Unterliegen in erster Linie einer reaktiven Aufsicht, die durch schwerwiegende Vorfälle oder Compliance-Bedenken ausgelöst wird.

Die Einstufung richtet sich nach Sektor und Größe. Behörden können Einrichtungen neu einstufen, wenn betriebliche Auswirkungen oder Risikobelastung eine verstärkte Aufsicht rechtfertigen.

Litauen folgt der zweistufigen Aufsichtsstruktur der Richtlinie.

6. Anforderungen an das Cybersicherheits-Risikomanagement in Litauen

Das nationale Regelwerk Litauens entspricht den in der Richtlinie festgelegten Mindestanforderungen für das Cybersicherheits-Risikomanagement. Erfasste Einrichtungen müssen angemessene technische und organisatorische Maßnahmen umsetzen, die Folgendes abdecken:

• Risikobewertung und Systemschutz
• Vorfallserkennung und -reaktion
• Geschäftskontinuität und Krisenmanagement
• Risikokontrollen für die Lieferkette nach NIS-2 in Litauen
• Sichere Beschaffung und Entwicklung von IKT-Systemen
• Zugriffskontrolle und Identitätsmanagement
• Verschlüsselung und kryptografische Schutzmaßnahmen
• Verfahren für das Schwachstellenmanagement
• Schulungen zur Cybersicherheit für Mitarbeitende

Die Maßnahmen müssen dem Stand der Technik und der Risikobelastung der Organisation entsprechen. Eine Ausrichtung an ISO/IEC 27001 und an litauischen Leitlinien zur Cybersicherheit wird empfohlen.

Die Überwachung der Lieferkette umfasst Lieferanten-Due-Diligence und vertragliche Vorkehrungen zur Cybersicherheit.

7. Managementhaftung und Governance in Litauen

Leitungsorgane müssen Maßnahmen zum Management von Cybersicherheitsrisiken formell genehmigen und deren Umsetzung überwachen.

Nach dem Rechtsrahmen Litauens:

• Vorstände sind für die Compliance-Aufsicht verantwortlich.
• Die Geschäftsleitung muss ausreichende Cybersicherheitskompetenz sicherstellen. Einrichtungen sind verpflichtet, einen Cybersicherheitsmanager sowie weitere für Cybersicherheitsumsetzung und Compliance zuständige Personen zu ernennen.
• Verwaltungssanktionen können Governance-Versagen ahnden.
• Die vorübergehende Aussetzung von Leitungsfunktionen ist im Gesetz vorgesehen, gilt jedoch nur für wesentliche Einrichtungen und nur nach einer Gerichtsentscheidung. Darüber hinaus müssen wesentliche Einrichtungen mindestens alle drei Jahre eine unabhängige Konformitätsbewertung durch eine akkreditierte Zertifizierungsstelle nach einem Schema ähnlich ISO/IEC 27001 durchlaufen.

Die Erwartungen zur Managementhaftung nach der NIS-2-Richtlinie in Litauen heben die Cybersicherheits-Governance auf eine Verantwortung der Führungsebene.

8. Meldepflichten bei Sicherheitsvorfällen in Litauen

9. Aufsichtsbehörden und Durchsetzungsmodell in Litauen

Primär zuständige Behörde: National Cyber Security Centre (NCSC Litauen).

Litauen verfolgt ein zentrales Aufsichtsmodell, koordiniert durch das NCSC, wobei bei Bedarf sektorspezifische Aufsichtsbehörden einbezogen werden.

Aufsichtsbefugnisse umfassen:

• Aufforderungen zur Vorlage von Unterlagen und Informationen
• Sicherheitsaudits
• Vor-Ort-Kontrollen
• Verbindliche Anweisungen zur Einhaltung der Vorschriften
• Teilnahme an den Koordinierungsmechanismen der EU für die Cybersicherheit

Die Durchsetzungsstruktur steht im Einklang mit den Kooperationsanforderungen auf Ebene der Richtlinie.

10. NIS2-Bußgelder und Sanktionen in Litauen

Litauen wendet richtlinienkonforme verwaltungsrechtliche Sanktionen an.

Neben Geldbußen kann die NIS2-Durchsetzung in Litauen auch Folgendes umfassen:

• Verbindliche Abhilfeanordnungen
• Öffentliche Benennung nicht konformer Einrichtungen
• Aussetzung von Genehmigungen oder Zertifizierungen
• Befugnis zur Suspendierung von Mitgliedern der Leitungsorgane

Strafrechtliche Haftung gilt nur, wenn sie ausdrücklich nach litauischem Recht vorgesehen ist.

11. NIS2-Lieferketten- und Lieferantensicherheit in Litauen

Einrichtungen müssen die Cybersicherheitsrisiken durch Dritte mittels folgender Maßnahmen steuern:

• Risikobewertungen von Lieferanten
• Vertragliche Bestimmungen zur Weitergabe von Sicherheitsanforderungen
• Kontinuierliche Überwachung von IKT-Lieferanten
• Konzentrationsrisikoanalyse
• Eindämmung der Ausbreitung von Sicherheitsvorfällen

Der Ansatz Litauens entspricht den grundlegenden Erwartungen der Richtlinie an das Lieferantenrisikomanagement.

12. Pflichten zur Registrierung und Selbstidentifizierung in Litauen

Einrichtungen im Anwendungsbereich müssen:

• Es ist keine Selbstregistrierung erforderlich. Das NCSC identifiziert gemeinsam mit anderen staatlichen Stellen Einrichtungen, die in den Anwendungsbereich fallen, und benachrichtigt sie direkt elektronisch. Einrichtungen sollten prüfen, ob sie eine Benachrichtigung des NCSC erhalten haben (gesendet an die im litauischen Register juristischer Personen hinterlegte E-Mail-Adresse). Einrichtungen, die sich ihres Status nicht sicher sind, können das NCSC direkt kontaktieren oder das öffentliche Compliance-Prüfwerkzeug des NCSC nutzen.
• Das NCSC kann Ergänzungen oder Klarstellungen zu Informationen über Tätigkeiten, Mitarbeitende und sonstige für die Bestimmung des Anwendungsbereichs relevante Umstände einer Einrichtung anfordern.
• Sektorklassifizierung offenlegen
• Aktuelle Meldekontakte pflegen

Das NCSC hat das Erstregister von 1.443 Cybersicherheitseinrichtungen um den 17. April 2025 herum erstellt und benachrichtigt (abgeschlossen). Benachrichtigte Einrichtungen haben 12 Monate ab der Benachrichtigung Zeit, organisatorische Maßnahmen umzusetzen (Frist: ca. 17. April 2026) und 24 Monate für technische Maßnahmen (Frist: ca. 17. April 2027). Das Register ist nicht öffentlich zugänglich.

Auch wenn Einrichtungen sich nicht selbst registrieren müssen, sollten Organisationen, die die Größen- und Sektorschwellen erfüllen, proaktiv überprüfen, ob sie benachrichtigt wurden. Falls noch keine Benachrichtigung erfolgt ist, sollten Organisationen das NCSC kontaktieren, da die Nichteinhaltung nach Identifizierung erhebliche Sanktionen nach sich zieht.

13. Zusammenspiel mit der DSGVO und anderen Gesetzen in Litauen

Die Datenschutz-Grundverordnung (DSGVO) ist weiterhin parallel anwendbar.

Überschneidungen betreffen insbesondere:

• 72-Stunden-Meldung einer Verletzung des Schutzes personenbezogener Daten
• Koordinierung der Aufsichtsbehörden

14. Grenzüberschreitende Anwendbarkeit

Einrichtungen mit ihrer Hauptniederlassung in Litauen werden für grenzüberschreitende Dienstleistungen von den litauischen Behörden beaufsichtigt.

Ausländische Anbieter digitaler Dienste, die in Litauen Dienstleistungen erbringen, können je nach Niederlassungsstruktur nationalen Verpflichtungen unterliegen.

Vertretungsanforderungen richten sich nach den Vorgaben der Richtlinie für Anbieter aus Drittstaaten, die den litauischen Markt bedienen.

15. Umsetzungszeitplan in Litauen

• Annahme der Richtlinie: 2022
• Nationale Gesetzesänderungen: Geändertes Cybersicherheitsgesetz (Nr. XII-1428) vom Seimas am 11. Juli 2024 verabschiedet; Regierungsverordnung zur Umsetzung am 6. November 2024 verabschiedet und am 12. November 2024 in Kraft getreten
• Inkrafttreten: 18. Oktober 2024 (geändertes Cybersicherheitsgesetz); 12. November 2024 (Regierungsverordnung zur Umsetzung)
• Notifizierung an die Kommission: Vollständig notifiziert; Litauen gehört zu den Mitgliedstaaten, die die Umsetzung fristgerecht abgeschlossen haben, und ist keiner mit Gründen versehenen Stellungnahme der EK unterworfen
• Compliance-Meilensteine: Frist zur Identifizierung und Benachrichtigung der Einrichtungen durch das NCSC: 17. April 2025 (abgeschlossen; 1.443 Einrichtungen benachrichtigt); Frist für organisatorische Maßnahmen: 17. April 2026 (12 Monate ab Benachrichtigung); Frist für technische Maßnahmen: 17. April 2027 (24 Monate ab Benachrichtigung); Konformitätsbewertung wesentlicher Einrichtungen: mindestens alle 3 Jahre ab Listung

Litauen hat die NIS2-Umsetzung am 18. Oktober 2024 abgeschlossen und damit die EU-Frist eingehalten. Das NCSC hat das Erstregister der Cybersicherheitseinrichtungen um den 17. April 2025 herum benachrichtigt. Die Frist für organisatorische Maßnahmen am 17. April 2026 steht für benachrichtigte Einrichtungen unmittelbar bevor; die Frist für technische Maßnahmen folgt am 17. April 2027.

16. Zentrale Erkenntnisse für KMU in Litauen

• Mittelgroße Einrichtungen in den abgedeckten Sektoren fallen automatisch in den Anwendungsbereich. Beachten Sie, dass der litauische Anwendungsbereich auch kommunale öffentliche Verwaltung, kritische Forschungseinrichtungen und Anbieter von elektronischen Informationshostingdiensten über das Richtlinien-Minimum hinaus umfasst.
• Kleine Einrichtungen können benannt werden, wenn sie für die nationale oder wirtschaftliche Stabilität kritisch sind.
• Governance-Aufsicht auf Vorstandsebene ist verpflichtend. Einrichtungen müssen außerdem einen Cybersicherheitsmanager ernennen. Wesentliche Einrichtungen müssen mindestens alle drei Jahre eine unabhängige Konformitätsbewertung durch eine akkreditierte Zertifizierungsstelle durchlaufen.
• Die Vorfallmeldung folgt den Fristen 24h / 72h / 1 Monat.
• Geldstrafen können bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes erreichen.
• Lieferantenrisikomanagement ist erforderlich.
• Einrichtungen registrieren sich nicht selbst — das NCSC identifiziert und benachrichtigt Einrichtungen direkt. Prüfen Sie, ob Ihre Organisation eine Benachrichtigung des NCSC erhalten hat. Bei Benachrichtigung um den 17. April 2025 sind organisatorische Maßnahmen bis ca. 17. April 2026 und technische Maßnahmen bis 17. April 2027 umzusetzen. Noch nicht benachrichtigte Einrichtungen sollten das NCSC proaktiv kontaktieren.

FAQ: NIS2-Leitfaden für KMU in Litauen