Zurück zu den Leitfäden

    NIS2 in Malta

    Leitfaden zur NIS2-Umsetzung und -Compliance in Malta.

    Malta stärkt sein nationales Cybersicherheitsrahmenwerk, um es an die im Rahmen der NIS2 Directive eingeführten erweiterten Pflichten anzugleichen. Das überarbeitete Regime erweitert die sektorale Abdeckung, formalisiert die Verantwortlichkeit der Geschäftsleitung und stärkt Aufsichts- und Durchsetzungsmechanismen. Dieser Leitfaden bietet einen strukturierten Überblick über die NIS2-Compliance-Anforderungen in Malta für SMEs, die in erfassten Sektoren tätig sind.

    1. Schneller Überblick zur Anwendbarkeit auf SMEs in Malta

    Gilt NIS2 für KMU in Malta?

    Ja — abhängig von Sektor und Größe.

    • Automatische Anwendbarkeit auf mittelgroße Einrichtungen (≥50 Beschäftigte und ≥€10 Millionen Umsatz oder Bilanzsumme) in erfassten Sektoren.
    • Kleine oder Kleinst-Einrichtungen sind nur einbezogen, wenn sie förmlich benannt werden oder in hochkritischen Sektoren tätig sind.
    • Gilt für in Malta niedergelassene Einheiten und in bestimmten Fällen für ausländische digitale Anbieter, die den maltesischen Markt bedienen.

    SMEs sollten ihre Einstufung im Rahmen des nationalen Cybersicherheitsrahmens Maltas anhand der Sektorzuordnung und gesetzlicher Schwellenwerte prüfen.

    2. Überblick über die Umsetzung der NIS2 in Malta

    Malta hat die NIS2-Richtlinie durch Legal Notice 71 of 2025 (S.L. 460.41 — NIS2 Order) umgesetzt, veröffentlicht am 8. April 2025 und seit 23. Januar 2026 vollständig in Kraft durch L.N. 22 of 2026.

    Die NIS2 Order ersetzt den bisherigen NIS1-Rahmen (L.N. 216 of 2018) vollständig und etabliert ein geteiltes Aufsichtsmodell: das Critical Infrastructure Protection Department (CIPD) fungiert als primäre nationale Aufsichtsbehörde, während die Malta Communications Authority (MCA) als zuständige Behörde für digitale Infrastruktur und Post-/Kurierdienste benannt ist. Das Critical Infrastructure Protection Advisory Board (CIPAB) berät das CIPD zu Verwaltungssanktionen.

    Innerhalb des CIPD wurde ein nationales CSIRT (CSIRT Malta) zur Koordinierung der Reaktion auf Sicherheitsvorfälle eingerichtet. In den Anwendungsbereich fallende Einrichtungen müssen ein internes oder autonomes CSIRT benennen und sich beim CIPD über den nationalen Selbstregistrierungsmechanismus registrieren.

    3. Anwendungsbereich in Malta

    Wesentliche Einrichtungen

    Einrichtungen, die in hochkritischen Sektoren tätig sind:

    Wichtige Einrichtungen

    Einrichtungen, die in anderen aufgeführten Sektoren tätig sind:

    Der maltesische Anwendungsbereich spiegelt die Mindestsektorkategorien der Richtlinie wider, ohne bestätigte strukturelle Erweiterung.

    4. Größenschwellen und Anwendbarkeit auf KMU in Malta

    Die Basisschwellen gelten:

    • ≥50 Beschäftigte und
    • ≥€10 Millionen Jahresumsatz oder Bilanzsumme.

    Einrichtungen, die beide Kriterien in erfassten Sektoren erfüllen, fallen automatisch in den Anwendungsbereich.

    Kleine und Kleinstunternehmen können benannt werden, wenn sie als kritisch für die nationale Sicherheit, die wirtschaftliche Stabilität oder die Aufrechterhaltung wesentlicher Dienste gelten.

    Die maltesischen Behörden behalten formelle Benennungsbefugnisse, wenn systemisches Risiko eine Einbeziehung rechtfertigt.

    5. Klassifizierungsrahmen für Einrichtungen in Malta

    Einrichtungen werden wie folgt kategorisiert:

    • Wesentliche Einrichtungen — Unterliegen einer proaktiven Aufsicht, einschließlich Inspektionen und strukturierter Compliance-Überwachung.
    • Wichtige Einrichtungen — Unterliegen in erster Linie einer reaktiven Aufsicht, die durch schwerwiegende Vorfälle oder Compliance-Bedenken ausgelöst wird.

    Die Einstufung wird durch Sektor und Größe bestimmt. Behörden können Einrichtungen neu klassifizieren, wenn operative Auswirkungen oder Risikobelastung eine verstärkte Aufsicht rechtfertigen.

    Malta folgt der zweistufigen Aufsichtsstruktur der Richtlinie.

    6. Anforderungen an das Cybersicherheits-Risikomanagement in Malta

    Maltas nationales Regelwerk entspricht der in der Richtlinie festgelegten Baseline für das Cybersicherheits-Risikomanagement. In den Geltungsbereich fallende Einrichtungen müssen verhältnismäßige technische und organisatorische Maßnahmen umsetzen, die Folgendes adressieren:

    • Risikoanalyse und Systemschutz
    • Erkennung und Reaktion auf Sicherheitsvorfälle
    • Geschäftskontinuität und Krisenmanagement
    • NIS2-Lieferketten-Risikokontrollen in Malta
    • Sichere Beschaffung und Entwicklung von ICT-Systemen
    • Zugriffskontrolle und Identitätsverwaltung
    • Verschlüsselung und kryptografische Schutzmaßnahmen
    • Verfahren zum Schwachstellenmanagement
    • Mitarbeiterschulungen zur Cybersicherheit

    Maßnahmen müssen dem Stand der Technik und der organisatorischen Risikobelastung entsprechen. Eine Ausrichtung an ISO/IEC 27001 und maltesischen Leitlinien zur Cybersicherheit wird empfohlen.

    Die Überwachung der Lieferkette umfasst Lieferanten-Due-Diligence und vertragliche Cybersicherheits-Schutzmaßnahmen.

    7. Haftung der Geschäftsleitung und Governance in Malta

    Leitungsorgane müssen Maßnahmen des Cybersicherheits-Risikomanagements formell genehmigen und deren Umsetzung überwachen.

    Nach dem maltesischen Rechtsrahmen:

    • Verwaltungs- bzw. Aufsichtsgremien sind für die Überwachung der Compliance verantwortlich.
    • Das obere Management muss ausreichende Cybersicherheitskompetenz sicherstellen.
    • Verwaltungssanktionen können Governance-Versäumnisse ahnden.
    • Die vorübergehende Aussetzung von Leitungsfunktionen kann im Rahmen richtlinienkonformer Durchsetzungsmechanismen vorgesehen sein.

    Die maltesischen Erwartungen zur NIS2-Managementhaftung erheben die Cybersicherheits-Governance zur Verantwortung auf Führungsebene.

    8. Meldepflichten für Sicherheitsvorfälle in Malta

    Definition eines erheblichen Sicherheitsvorfalls

    Ein Vorfall gilt als meldepflichtig, wenn er Folgendes verursacht:

    • Schwere Betriebsstörung
    • Erheblicher finanzieller Verlust
    • Erhebliche gesellschaftliche Auswirkungen
    • Grenzüberschreitende Auswirkungen

    Meldezeitplan

    MeldestufeFristBehörde
    Frühwarnung24 StundenCSIRT Malta (nationales CSIRT, eingerichtet innerhalb des CIPD)
    Vorfallsmeldung72 StundenCSIRT Malta (nationales CSIRT, eingerichtet innerhalb des CIPD)
    Abschlussbericht1 MonatCSIRT Malta (nationales CSIRT, eingerichtet innerhalb des CIPD)

    Meldungen erheblicher Vorfälle gehen an CSIRT Malta, das die nationale Reaktion und die Schnittstelle zur EU koordiniert. Das CIPD bleibt Aufsichtsbehörde; die MCA ist zuständig für digitale Infrastruktur sowie Post- und Kurierdienste. Einrichtungen müssen zudem ihre Dienstempfänger ggf. über erhebliche Vorfälle informieren.

    9. Aufsichtsbehörden und Durchsetzungsmodell in Malta

    Primäre Aufsichtsbehörde: Critical Infrastructure Protection Department (CIPD). Zuständige Behörde für digitale Infrastruktur sowie Post-/Kurierdienste: Malta Communications Authority (MCA). Reaktion auf Sicherheitsvorfälle: CSIRT Malta (innerhalb des CIPD). Der Premierminister kann per Verordnung weitere sektorale Behörden benennen.

    Malta betreibt ein geteiltes Aufsichtsmodell: Das CIPD deckt die meisten Sektoren ab, während die MCA für digitale Infrastruktur sowie Post- und Kurierdienste zuständig ist. Das CIPAB berät das CIPD zu Verwaltungssanktionen.

    Aufsichtsbefugnisse umfassen:

    • Anforderungen von Unterlagen und Informationen
    • Sicherheitsaudits
    • Vor-Ort-Inspektionen
    • Verbindliche Compliance-Anordnungen
    • Mitwirkung an EU-Koordinierungsmechanismen zur Cybersicherheit

    Die Durchsetzungsstruktur entspricht den Kooperationsanforderungen auf Richtlinienebene.

    10. NIS2-Geldbußen und Sanktionen in Malta

    Malta wendet richtlinienkonforme verwaltungsrechtliche Sanktionen an.

    Wesentliche Einrichtungen

    Bis zu €10 Millionen oder 2% des weltweiten jährlichen Gesamtumsatzes (je nachdem, welcher Betrag höher ist)

    Wichtige Einrichtungen

    Bis zu €7 Millionen oder 1.4% des weltweiten jährlichen Gesamtumsatzes (je nachdem, welcher Betrag höher ist)

    Zusätzlich zu NIS2-Geldbußen kann die Durchsetzung in Malta auch Folgendes umfassen:

    • Verbindliche Anordnungen zur Abhilfe
    • Öffentliche Identifizierung nicht konformer Einrichtungen
    • Aussetzung von Genehmigungen oder Zertifizierungen
    • Befugnisse zur Suspendierung von Mitgliedern der Leitungsorgane

    Strafrechtliche Haftung greift nur, wenn dies ausdrücklich nach maltesischem Recht vorgesehen ist.

    11. NIS2-Lieferkette und Lieferantensicherheit in Malta

    Einrichtungen müssen die Cybersecurity-Exponierung durch Dritte managen mittels:

    • Risikobewertungen von Lieferanten
    • Vertragliche Security-Flow-down-Bestimmungen
    • Kontinuierliches Monitoring von ICT-Lieferanten
    • Analyse von Konzentrationsrisiken
    • Eindämmung der Incident-Ausbreitung

    Der Ansatz Maltas entspricht den grundlegenden Erwartungen der Richtlinie in Bezug auf das Lieferantenrisikomanagement.

    12. Registrierungs- und Selbstidentifizierungspflichten in Malta

    Erfasste Einrichtungen müssen:

    • Registrierung über den nationalen Selbstregistrierungsmechanismus des CIPD (aktiv seit 23. Januar 2026) und Mitteilung der Einstufung als wesentliche oder wichtige Einrichtung an das CIPD
    • Angaben zur Unternehmensidentifizierung bereitstellen
    • Sektorzuordnung offenlegen
    • Aktualisierte Meldekontakte vorhalten

    Alle NIS2-Pflichten sind seit dem 23. Januar 2026 operativ. Einrichtungen müssen ein internes oder autonomes CSIRT für die laufende Überwachung benennen, dokumentierte Geschäftskontinuitätsregelungen vorhalten und Sicherheitspläne für Betreiber umsetzen.

    Self-identification ist verpflichtend. Einrichtungen müssen ihren Status als wesentliche/wichtige Einrichtung anhand von Sektor und Größe bewerten und sich beim CIPD registrieren.

    13. Interaktion mit GDPR und anderen Gesetzen in Malta

    Die General Data Protection Regulation gilt weiterhin parallel.

    Überschneidungen umfassen:

    • 72-Stunden-Meldung einer Verletzung des Schutzes personenbezogener Daten
    • Koordinierung der Aufsichtsbehörden
    • Parallele Untersuchungen zu Cybersicherheit und Datenschutz
    • Sektorspezifische maltesische Cybersicherheitsgesetzgebung

    Ein Cybervorfall kann Meldepflichten nach beiden Rechtsrahmen auslösen.

    14. Grenzüberschreitende Anwendbarkeit

    Einrichtungen mit ihrer Hauptniederlassung in Malta werden für grenzüberschreitende Dienste durch maltesische Behörden beaufsichtigt.

    Ausländische Anbieter digitaler Dienste, die Dienste in Malta erbringen, können je nach Niederlassungsstruktur nationalen Pflichten unterliegen.

    Vertretungspflichten richten sich nach den Vorgaben der Richtlinie für Drittstaatenanbieter, die den maltesischen Markt bedienen.

    15. Umsetzungszeitplan in Malta

    • Annahme der Richtlinie: 2022
    • Nationale Gesetzesänderungen: Legal Notice 71 of 2025 (S.L. 460.41 — NIS2 Order), veröffentlicht am 8. April 2025; L.N. 306 of 2024 zur Errichtung des CIPD
    • Inkrafttreten: Vollständig in Kraft seit 23. Januar 2026 durch L.N. 22 of 2026
    • Notifizierung der Kommission: Ursprüngliche Frist vom 17. Oktober 2024 verpasst; mit vollständigem Inkrafttreten gelöst
    • Compliance-Meilenstein: Alle Pflichten seit dem 23. Januar 2026 operativ; Selbstregistrierung und Benennung eines CSIRT erforderlich; erste formale Audits werden für H2 2027 erwartet

    Die NIS2 Order ist seit dem 23. Januar 2026 vollständig in Kraft, und alle Pflichten sind operativ. Einrichtungen, die noch nicht beim CIPD registriert sind oder noch kein CSIRT benannt haben, sollten unverzüglich handeln.

    16. Zentrale Punkte für KMU in Malta

    • Mittelgroße Einrichtungen in erfassten Sektoren fallen automatisch in den Anwendungsbereich.
    • Kleine Einrichtungen können bestimmt werden, wenn sie für die nationale oder wirtschaftliche Stabilität kritisch sind.
    • Governance-Aufsicht durch das Leitungsorgan ist verpflichtend; Leitungsorgane müssen Cybersicherheits-Risikomanagementmaßnahmen genehmigen und überwachen sowie bei Bedarf Cybersicherheitsschulungen absolvieren; bei Compliance-Verstößen kann persönliche Haftung greifen.
    • Vorfallmeldungen erfolgen nach Fristen von 24 h / 72 h / 1 Monat und sind an CSIRT Malta zu richten; Einrichtungen für digitale Infrastruktur sowie Post-/Kurierdienste melden über die MCA.
    • Geldbußen können bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes betragen.
    • Lieferantenrisikomanagement ist erforderlich.
    • Alle NIS2-Pflichten sind seit dem 23. Januar 2026 operativ; Einrichtungen müssen sich beim CIPD selbst registrieren und ein internes/autonomes CSIRT benennen. Erste formale Audits werden für H2 2027 erwartet; noch nicht konforme Einrichtungen sollten unverzüglich handeln.

    FAQ: NIS2 Malta KMU-Leitfaden

    Gilt NIS2 für kleine Unternehmen in Malta?

    Kleine Unternehmen sind grundsätzlich ausgenommen, es sei denn, sie werden bestimmt oder sind in hochkritischen Sektoren tätig. Mittelgroße Einrichtungen, die die Größenschwellen erfüllen, sind automatisch erfasst.

    Wie hoch sind die NIS2-Bußgelder in Malta?

    Essential Entities drohen Geldbußen von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes. Important Entities drohen bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes.

    Wann tritt NIS2 in Malta in Kraft?

    Maltas NIS2-Rahmen ist vollständig operativ. Legal Notice 71 of 2025 (S.L. 460.41) wurde am 8. April 2025 veröffentlicht und am 23. Januar 2026 durch L.N. 22 of 2026 vollständig in Kraft gesetzt. Zu den Pflichten gehören die Selbstregistrierung beim CIPD, die Benennung eines internen oder autonomen CSIRT, die Umsetzung von Risikomanagementmaßnahmen sowie die Meldung von Sicherheitsvorfällen an CSIRT Malta. Die ersten formalen Audits werden für H2 2027 erwartet.

    Wer setzt NIS2 in Malta durch?

    Das Critical Infrastructure Protection Department (CIPD) ist die primäre nationale Aufsichtsbehörde, zuständig für Compliance, Audits und Sanktionen in den meisten Sektoren. Die Malta Communications Authority (MCA) ist zuständige Behörde für digitale Infrastruktur sowie Post- und Kurierdienste. CSIRT Malta, eingerichtet innerhalb des CIPD, koordiniert die Reaktion auf Sicherheitsvorfälle und nimmt Meldungen erheblicher Vorfälle entgegen. Das Critical Infrastructure Protection Advisory Board (CIPAB) berät das CIPD zu Verwaltungssanktionen.

    Können Mitglieder des Leitungsorgans unter NIS2 in Malta persönlich haftbar sein?

    Leitungsorgane müssen Cybersicherheitsmaßnahmen genehmigen und überwachen. Verwaltungsrechtliche Durchsetzungsinstrumente können in schweren Fällen die Befugnis zur Suspendierung von Führungspersonen umfassen.

    Worin unterscheidet sich NIS2 in Malta von GDPR?

    NIS2 regelt die Cybersicherheitsresilienz und das operative Risikomanagement, während GDPR den Schutz personenbezogener Daten regelt. Beide Rahmenwerke können nach einem Cybervorfall anwendbar sein.

    Was gilt als erheblicher Vorfall nach NIS2 in Malta?

    Ein Vorfall, der zu schwerwiegenden Betriebsstörungen, erheblichen finanziellen Verlusten, gesellschaftlichen Auswirkungen oder grenzüberschreitenden Folgen führt, erfüllt in der Regel die Meldepflichtschwelle.