NIS2 in Luxemburg

1. Schneller Überblick zur Anwendbarkeit für KMU in Luxemburg

Gilt NIS2 für KMU in Luxemburg?

Ja — abhängig von Sektor und Größe.

• Automatische Anwendbarkeit auf mittelgroße Einrichtungen (≥50 Beschäftigte und ≥€10 Millionen Umsatz oder Bilanzsumme) in erfassten Sektoren.
• Kleine oder Kleinst-Einrichtungen sind nur einbezogen, wenn sie förmlich benannt werden oder in hochkritischen Sektoren tätig sind.
• Gilt für Unternehmen mit Sitz in Luxemburg und in bestimmten Fällen für ausländische digitale Anbieter, die den luxemburgischen Markt bedienen.

KMU sollten ihre Einstufung im Rahmen des nationalen Cybersicherheitsrahmens Luxemburgs anhand der Sektorklassifizierung und gesetzlicher Schwellenwerte prüfen.

2. Überblick über die Umsetzung von NIS2 in Luxemburg

Luxemburg setzt NIS2 durch Gesetzentwurf 8364 (Projet de loi n° 8364 concernant des mesures destinées à assurer un niveau élevé de cybersécurité) um, der am 13. März 2024 in der Abgeordnetenkammer eingebracht wurde. Mit Stand April 2026 ist der Gesetzentwurf noch nicht in Kraft — Luxemburg hat die EU-Umsetzungsfrist vom 17. Oktober 2024 versäumt und im Mai 2025 eine mit Gründen versehene Stellungnahme der EU-Kommission wegen ausbleibender Vollumsetzungsmitteilung erhalten.

Der Staatsrat hat im Dezember 2025 eine ergänzende Stellungnahme abgegeben, die staatliche Änderungen teilweise bestätigt; der Gesetzentwurf wartet auf die endgültige Verabschiedung. Der bestehende NIS1-Rahmen gilt zwischenzeitlich weiter.

Nach Inkrafttreten ersetzt der Gesetzentwurf das NIS1-Gesetz und führt einen erheblich erweiterten Anwendungsbereich ein — von etwa 1.000 Einrichtungen unter NIS1 auf geschätzte 6.000–8.000 unter NIS2, einschließlich mittelständischer Hersteller und Gemeinden mit mehr als 50.000 Einwohnern. Das vorgeschlagene Aufsichtsmodell ist eine geteilte Behördenstruktur: das Institut Luxembourgeois de Régulation (ILR) wird zuständige Behörde für die überwiegende Mehrheit der Sektoren, während die Commission de Surveillance du Secteur Financier (CSSF) Banken, Finanzmarktinfrastrukturen, digitale Infrastrukturen und IKT-Dienstleistungsmanagement im Finanzbereich beaufsichtigt. Das HCPN behält die strategische Koordinationsverantwortung. ILR hat die SERIMA-Plattform als zentrales Portal für Vorfallmeldungen und letztlich Registrierungen eingeführt.

3. Anwendungsbereich in Luxemburg

Der Anwendungsbereich in Luxemburg spiegelt die Mindestsektorkategorien der Richtlinie wider, ohne bestätigte strukturelle Erweiterung.

4. Größenschwellen und Anwendbarkeit für KMU in Luxemburg

Die Basisschwellen gelten:

• ≥50 Beschäftigte und
• ≥€10 Millionen Jahresumsatz oder Bilanzsumme.

Einrichtungen, die beide Kriterien in den erfassten Sektoren erfüllen, fallen automatisch in den Anwendungsbereich.

Kleine und Kleinstunternehmen können benannt werden, wenn sie als kritisch für die nationale Sicherheit, die wirtschaftliche Stabilität oder die Aufrechterhaltung wesentlicher Dienste gelten.

Die luxemburgischen Behörden behalten formelle Benennungsbefugnisse, wenn systemisches Risiko eine Einbeziehung rechtfertigt.

5. Klassifizierungsrahmen für Einrichtungen in Luxemburg

Einrichtungen werden wie folgt kategorisiert:

• Wesentliche Einrichtungen — Unterliegen einer proaktiven Aufsicht, einschließlich Inspektionen und strukturierter Compliance-Überwachung.
• Wichtige Einrichtungen — Unterliegen vor allem einer reaktiven Aufsicht, die durch erhebliche Vorfälle oder Compliance-Bedenken ausgelöst wird.

Die Einstufung richtet sich nach Sektor und Größe. Behörden können Einrichtungen neu einstufen, wenn betriebliche Auswirkungen oder Risikobelastung eine verstärkte Aufsicht rechtfertigen.

Luxembourg folgt der zweistufigen Aufsichtsstruktur der Directive.

6. Anforderungen an das Cybersicherheits-Risikomanagement in Luxembourg

Das nationale Regelwerk von Luxembourg steht im Einklang mit den Grundanforderungen der Directive für das Cybersicherheits-Risikomanagement. Erfasste Einrichtungen müssen angemessene technische und organisatorische Maßnahmen umsetzen, die Folgendes adressieren:

• Risikobewertung und Systemschutz
• Erkennung und Reaktion auf Sicherheitsvorfälle
• Geschäftskontinuität und Krisenmanagement
• NIS2‑Lieferketten‑Risikokontrollen in Luxembourg
• Sichere Beschaffung und Entwicklung von ICT‑Systemen
• Zugriffskontrolle und Identitätsmanagement
• Verschlüsselung und kryptografische Schutzmechanismen
• Verfahren zum Schwachstellenmanagement
• Schulungen zur Cybersicherheit für Mitarbeitende

Die Maßnahmen müssen dem Stand der Technik entsprechen und die Risikobelastung der Organisation berücksichtigen. Eine Ausrichtung an ISO/IEC 27001 und den Cybersicherheitsleitlinien von Luxembourg wird empfohlen.

7. Haftung der Leitungsorgane und Governance in Luxemburg

Leitungsorgane müssen Maßnahmen des Cybersecurity-Risikomanagements formell genehmigen und deren Umsetzung überwachen.

Nach dem luxemburgischen Rechtsrahmen:

• Leitungs- und Aufsichtsgremien sind für die Überwachung der Compliance verantwortlich.
• Das Top-Management muss für ausreichende Cybersecurity-Kompetenz sorgen.
• Verwaltungsrechtliche Sanktionen können Governance-Versäumnisse ahnden.
• Eine vorübergehende Aussetzung von Leitungsfunktionen kann im Rahmen richtlinienkonformer Durchsetzungsmechanismen vorgesehen sein.

Die NIS2-Erwartungen zur Managementhaftung in Luxemburg machen die Cybersecurity-Governance zu einer Verantwortung auf Ebene der Geschäftsleitung.

8. Meldepflichten für Incidents in Luxemburg

9. Aufsichtsbehörden und Durchsetzungsmodell in Luxemburg

Primäre zuständige Behörde (vorgeschlagen nach Gesetzentwurf 8364, noch nicht in Kraft): Institut Luxembourgeois de Régulation (ILR) für die überwiegende Mehrheit der Sektoren; Commission de Surveillance du Secteur Financier (CSSF) für Banken, Finanzmarktinfrastrukturen sowie damit verbundene digitale Infrastrukturen und IKT-Dienstleistungsmanagement. Das HCPN (Haut-Commissariat à la Protection nationale) behält die strategische Koordinationsverantwortung für die nationale Cybersicherheitspolitik, ist aber nicht primäre Vollzugsbehörde.

Das vorgeschlagene Modell Luxemburgs unter Gesetzentwurf 8364 ist eine geteilte Aufsichtsstruktur: ILR leitet die meisten Sektoren und CSSF die Finanzeinrichtungen, mit HCPN als strategischer nationaler Koordinator. Diese Struktur ist noch nicht rechtlich wirksam — der NIS1-Rahmen und die derzeitigen Aufsichtsregelungen gelten bis zum Inkrafttreten weiter.

Aufsichtsbefugnisse umfassen:

• Anforderungen von Unterlagen und Informationen
• Sicherheitsaudits
• Vor-Ort-Inspektionen
• Verbindliche Compliance-Anweisungen
• Teilnahme an EU-Koordinierungsmechanismen für Cybersicherheit

Die vorgeschlagene Vollzugsstruktur entspricht den Kooperationsanforderungen der Richtlinie. Diese Aufsichts- und Vollzugsbefugnisse sind bis zum Inkrafttreten von Gesetzentwurf 8364 noch nicht rechtlich wirksam.

10. NIS2-Geldbußen und Sanktionen in Luxemburg

Luxemburg wendet richtlinienkonforme Verwaltungssanktionen an.

NIS2-Geldbußen: Die Durchsetzung in Luxemburg kann außerdem Folgendes umfassen:

• Verbindliche Anordnungen zu Abhilfemaßnahmen
• Öffentliche Benennung nicht konformer Einrichtungen
• Aussetzung von Genehmigungen oder Zertifizierungen
• Befugnisse zur Suspendierung der Geschäftsleitung

Wichtige Einrichtungen: bis zu 7 Mio. € oder 1,4 % des gesamten weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist).

11. NIS2-Lieferkette und Lieferantensicherheit in Luxemburg

Einrichtungen müssen die Cybersicherheitsrisiken durch Dritte mittels:

• Risikobewertungen von Lieferanten
• Vertragliche Sicherheits-Flow-down-Bestimmungen
• Kontinuierliche Überwachung von IKT-Lieferanten
• Analyse von Konzentrationsrisiken
• Eindämmung der Vorfallausbreitung

Der Ansatz Luxemburgs entspricht den grundlegenden Erwartungen der Richtlinie hinsichtlich des Lieferantenrisikomanagements.

12. Registrierungs- und Selbstidentifizierungspflichten in Luxemburg

Einrichtungen im Geltungsbereich müssen:

• Nach Gesetzentwurf 8364 (noch nicht in Kraft) registrieren sich Einrichtungen selbst über die SERIMA-Plattform des ILR. Bereits unter NIS1 erfasste Einrichtungen werden automatisch als wesentliche Einrichtungen eingestuft, eine Selbstregistrierung wird dennoch empfohlen. Derzeit besteht in Luxemburg keine NIS2-Registrierungspflicht — bis zum Inkrafttreten gilt der NIS1-Rahmen.
• Angabe von Unternehmensidentifikationsdaten
• Offenlegung der Sektorklassifizierung
• Aktualisierung der Meldekontakte

Registrierungsfristen und Compliance-Zeitpläne werden nach Inkrafttreten von Gesetzentwurf 8364 festgelegt. Auf Grundlage verfügbarer Leitlinien wird die Registrierung über das ILR-Portal binnen Monaten nach Inkrafttreten erwartet, gefolgt von gestaffelten Governance- und technischen Compliance-Anforderungen.

Die Selbstidentifizierung wird unter dem verabschiedeten Gesetz verpflichtend sein. Einrichtungen sollten bereits jetzt Scope-Bewertungen anhand der veröffentlichten Leitlinien und FAQ des ILR durchführen, um ihre voraussichtliche Einstufung als wesentliche oder wichtige Einrichtung in Vorbereitung auf das Inkrafttreten zu bestimmen.

13. Wechselwirkung mit der GDPR und anderen Gesetzen in Luxembourg

Die General Data Protection Regulation gilt weiterhin parallel.

Überschneidungen umfassen:

• 72-Stunden-Meldung bei Verletzungen personenbezogener Daten
• Koordinierung mit Aufsichtsbehörden
• Parallele Untersuchungen im Bereich Cybersicherheit und Datenschutz
• Sektorspezifische Cybersicherheitsgesetzgebung in Luxembourg

Ein Cybervorfall kann Meldepflichten nach beiden Regimen auslösen.

14. Grenzüberschreitende Anwendbarkeit

Einheiten mit ihrer Hauptniederlassung in Luxembourg werden für grenzüberschreitende Dienstleistungen von Behörden in Luxembourg beaufsichtigt.

Ausländische digitale Anbieter, die Dienstleistungen in Luxembourg erbringen, können abhängig von der Niederlassungsstruktur nationalen Verpflichtungen unterliegen.

Vertretungsanforderungen folgen den Directive-Standards für Nicht-EU-Anbieter, die den Luxembourg-Markt bedienen.

15. Umsetzungszeitplan in Luxembourg

• Annahme der Richtlinie: 2022
• Nationale Gesetzesänderungen: Gesetzentwurf 8364 (Projet de loi n° 8364) am 13. März 2024 in der Abgeordnetenkammer eingebracht; Regierungsänderung am 13. März 2025 veröffentlicht; ergänzende Stellungnahme des Staatsrats im Dezember 2025 — teilweise Bestätigung der Änderungen bei gleichzeitiger Forderung weiterer Anpassungen; Gesetzentwurf wartet auf endgültige Verabschiedung.
• Inkrafttreten: Noch nicht in Kraft mit Stand April 2026; Inkrafttreten im Laufe von 2026 erwartet; das NIS1-Gesetz gilt zwischenzeitlich weiter.
• Mitteilung an die Kommission: Mit Gründen versehene Stellungnahme der EU-Kommission vom 7. Mai 2025 wegen ausbleibender Vollumsetzungsmitteilung; eine Befassung des Gerichtshofs der EU bleibt bei weiteren Verzögerungen möglich.
• Compliance-Meilenstein: Derzeit keine aktiven NIS2-Fristen; Registrierungs-, organisatorische und technische Compliance-Meilensteine werden nach Inkrafttreten festgelegt und voraussichtlich über 2026–2028 gestaffelt.

Luxemburg hat die EU-NIS2-Umsetzungsfrist vom 17. Oktober 2024 versäumt und steht weiter unter EU-Vertragsverletzungsverfahren. Gesetzentwurf 8364 wartet auf die endgültige Verabschiedung durch die Abgeordnetenkammer. NIS1 gilt für bestehende regulierte Einrichtungen weiter. Inkrafttreten und Start des ILR-Registrierungsportals werden im Laufe von 2026 erwartet; Einrichtungen sollten bereits jetzt Scope-Bewertungen vorbereiten.

16. Wichtigste Erkenntnisse für KMU in Luxemburg

• Mittelgroße Einrichtungen in erfassten Sektoren fallen nach Inkrafttreten von Gesetzentwurf 8364 automatisch in den Anwendungsbereich. Der vorgeschlagene Anwendungsbereich Luxemburgs ist deutlich breiter als unter NIS1 — von etwa 1.000 auf geschätzte 6.000–8.000 Einrichtungen, einschließlich mittelständischer Hersteller und Gemeinden mit mehr als 50.000 Einwohnern.
• Kleine Einrichtungen können benannt werden, wenn sie für die nationale oder wirtschaftliche Stabilität kritisch sind.
• Aufsicht durch die Geschäftsleitung ist verpflichtend.
• Vorfallmeldung folgt nach Inkrafttreten von Gesetzentwurf 8364 den Fristen 24 Std. / 72 Std. / 1 Monat. Meldungen werden über die SERIMA-Plattform des ILR eingereicht — an ILR für die meisten Sektoren und an CSSF für Finanzeinrichtungen.
• Geldbußen können 10 Mio. € oder 2 % des weltweiten Umsatzes erreichen.
• Lieferanten-Risikomanagement ist erforderlich.
• Gesetzentwurf 8364 ist noch nicht in Kraft, ein Inkrafttreten wird jedoch im Laufe von 2026 erwartet. Einrichtungen sollten bereits jetzt Scope-Bewertungen anhand der veröffentlichten Leitlinien und FAQ des ILR durchführen, prüfen, ob sie unter ILR- oder CSSF-Aufsicht fallen, und Registrierungsdaten für das SERIMA-Portal vorbereiten.

FAQ: NIS2 Luxemburg KMU-Leitfaden