NIS2 in Slowakei

1. Kurzübersicht zur Anwendbarkeit für KMU in der Slowakei

Gilt NIS2 für KMU in der Slowakei?

Ja — abhängig von Sektor und Größe.

• Automatische Anwendbarkeit auf mittelgroße Einrichtungen (≥50 Beschäftigte und ≥€10 Millionen Umsatz oder Bilanzsumme) in erfassten Sektoren.
• Kleine oder Kleinst-Einrichtungen sind nur einbezogen, wenn sie förmlich benannt werden oder in hochkritischen Sektoren tätig sind.
• Gilt für in der Slowakei ansässige Einrichtungen und in bestimmten Fällen für ausländische digitale Anbieter, die den slowakischen Markt bedienen.

KMU sollten ihre Einstufung nach dem nationalen Cybersicherheitsrahmen der Slowakei anhand der Sektorzuordnung und gesetzlicher Schwellenwerte prüfen.

2. Überblick zur Umsetzung von NIS2 in der Slowakei

Die Slowakei hat die NIS2-Umsetzung durch das Gesetz Nr. 366/2024 Slg. abgeschlossen, das das Cybersicherheitsgesetz Nr. 69/2018 Slg. ändert. Der Nationalrat verabschiedete das Gesetz am 28. November 2024, es wurde am 19. Dezember 2024 in der Gesetzessammlung veröffentlicht und trat am 1. Januar 2025 in Kraft — damit war die Slowakei der 4. EU-Mitgliedstaat, der die Umsetzung abschloss.

Der geänderte Rahmen bringt das slowakische Regime in Einklang mit der Directive (EU) 2022/2555 und wird über die JISKB-Plattform (verwaltet von der NBÚ) für Registrierung und Vorfallsmeldung operationalisiert, während SK-CERT (National Cyber Security Centre, innerhalb der NBÚ) als nationales CSIRT fungiert. Das Risikomanagement orientiert sich an der ISO-27000-Normenfamilie, ergänzt durch eine 2025 entwickelte Verordnung über Sicherheitsmaßnahmen.

Voraussichtlich fallen ca. 3.500–14.000 Einrichtungen in den Anwendungsbereich. Das slowakische Regime geht über das Mindestmaß der Richtlinie hinaus, indem es Drittparteien in der Lieferkette ausdrücklich als direkte Einrichtungen reguliert; die vollständige Einhaltung aller Pflichten ist bis zum 31. Dezember 2026 erforderlich.

3. Anwendungsbereich in der Slowakei

Der Anwendungsbereich der Slowakei spiegelt die Mindestsektorkategorien der Richtlinie wider, ohne bestätigte strukturelle Erweiterung.

4. Größenschwellen und Anwendbarkeit auf KMU in der Slowakei

Die Basisschwellen gelten:

• ≥50 Beschäftigte und
• ≥€10 Millionen Jahresumsatz oder Bilanzsumme.

Einrichtungen, die innerhalb der erfassten Sektoren beide Kriterien erfüllen, fallen automatisch in den Anwendungsbereich.

Kleine und Kleinstunternehmen können benannt werden, wenn sie als kritisch für die nationale Sicherheit, die wirtschaftliche Stabilität oder die Aufrechterhaltung essenzieller Dienste angesehen werden.

Die slowakischen Behörden behalten formelle Benennungsbefugnisse, wenn systemisches Risiko eine Einbeziehung rechtfertigt.

5. Klassifizierungsrahmen für Einrichtungen in der Slowakei

Einrichtungen werden kategorisiert als:

• Wesentliche Einrichtungen — Unterliegen einer proaktiven Aufsicht, einschließlich Inspektionen und strukturierter Compliance-Überwachung.
• Wichtige Einrichtungen — Unterliegen in erster Linie einer reaktiven Aufsicht, die durch bedeutende Vorfälle oder Compliance-Bedenken ausgelöst wird.

Die Einstufung wird durch Sektor und Größe bestimmt. Behörden können Einrichtungen neu einstufen, wenn betriebliche Auswirkungen oder die Risikobelastung eine verstärkte Aufsicht erfordern.

Die Slowakei folgt der zweistufigen Aufsichtsstruktur der Richtlinie.

6. Anforderungen an das Management von Cybersicherheitsrisiken in der Slowakei

Das nationale Regelwerk der Slowakei entspricht den Mindestvorgaben der Richtlinie für das Management von Cybersicherheitsrisiken. Einrichtungen im Anwendungsbereich müssen verhältnismäßige technische und organisatorische Maßnahmen umsetzen, die Folgendes adressieren:

• Risikobewertung und Systemschutz
• Erkennung und Reaktion auf Sicherheitsvorfälle
• Geschäftskontinuität und Krisenmanagement
• NIS2-Lieferketten-Risikokontrollen in der Slowakei
• Sichere Beschaffung und Entwicklung von IKT-Systemen
• Zugriffskontrolle und Identitätsmanagement
• Verschlüsselung und kryptografische Schutzmaßnahmen
• Verfahren für das Schwachstellenmanagement
• Schulungen des Personals zur Cybersicherheit

Die Maßnahmen müssen dem Stand der Technik entsprechen und das Risikoprofil der Organisation widerspiegeln. Eine Ausrichtung an ISO/IEC 27001 und an slowakischen Cybersicherheitsleitlinien wird empfohlen.

7. Haftung des Managements und Governance in Slovakia

Leitungsorgane müssen Maßnahmen zum cybersecurity-Risikomanagement formell genehmigen und die Umsetzung überwachen.

Unter Slovakia's framework:

• Leitungsorgane sind für die Überwachung der Compliance verantwortlich.
• Das Top-Management muss ausreichende cybersecurity-Kompetenz sicherstellen.
• Verwaltungssanktionen können Governance-Fehlleistungen ahnden.
• Eine vorübergehende Aussetzung von Leitungsfunktionen kann im Rahmen von an die Directive angelehnten Durchsetzungsmechanismen möglich sein.

NIS2 management liability Slovakia expectations heben die cybersecurity-Governance auf eine Verantwortung auf Führungsebene.

8. Meldepflichten für Incidents in Slovakia

9. Aufsichtsbehörden und Durchsetzungsmodell in der Slowakei

Primär zuständige Behörde: NBÚ (Národný bezpečnostný úrad) — nationale zuständige Behörde, zentrale Anlaufstelle und primäres Aufsichtsorgan. SK-CERT (National Cyber Security Centre) ist innerhalb der NBÚ als nationales CSIRT für die Behandlung, Analyse und Koordinierung von Vorfällen tätig.

Die Slowakei betreibt ein zentrales Aufsichtsmodell unter Federführung der NBÚ. Sektorspezifische Ministerien (z. B. Gesundheits- und Verkehrsministerium) haben ergänzende sektorale Funktionen. Registrierung und Vorfallsmeldung erfolgen über die JISKB-Plattform, die von der NBÚ verwaltet wird und sowohl als Compliance-Register als auch als Meldeplattform dient.

Zu den Aufsichtsbefugnissen gehören:

• Anforderung von Unterlagen und Informationen
• Sicherheitsaudits
• Vor-Ort-Inspektionen
• Verbindliche Compliance-Anordnungen
• Teilnahme an EU-Koordinationsmechanismen für die Cybersicherheit

Die Durchsetzungsstruktur entspricht den Kooperationsanforderungen auf Richtlinienebene.

10. NIS2-Bußgelder und Sanktionen in der Slowakei

Die Slowakei wendet richtlinienkonforme Verwaltungssanktionen an.

Die Durchsetzung von NIS2-Geldbußen in der Slowakei kann außerdem Folgendes umfassen:

• Verbindliche Abhilfsanordnungen
• Öffentliche Identifizierung nicht konformer Einrichtungen
• Aussetzung von Genehmigungen oder Zertifizierungen
• Befugnisse zur Suspendierung von Leitungsorganen

Strafrechtliche Haftung gilt nur, soweit dies ausdrücklich nach slowakischem Recht vorgesehen ist.

11. NIS2-Lieferketten- und Lieferantensicherheit in der Slowakei

Einrichtungen müssen die Cybersicherheitsrisiken durch Dritte steuern durch:

• Lieferanten-Risikobewertungen
• Vertragliche Flow-down-Bestimmungen zu Sicherheitsanforderungen
• Kontinuierliche Überwachung von IKT-Lieferanten
• Analyse von Konzentrationsrisiken
• Eindämmung der Weiterverbreitung von Sicherheitsvorfällen

Der Ansatz der Slowakei entspricht den Basiserwartungen der Richtlinie in Bezug auf das Lieferantenrisikomanagement.

12. Registrierungs- und Selbstidentifizierungspflichten in der Slowakei

Einrichtungen im Anwendungsbereich müssen:

• Registrierung bei der NBÚ über die JISKB-Plattform (jiskb.sk.gov.sk) — Einrichtungen, die seit dem 1.1.2025 im Anwendungsbereich liegen, hatten eine Registrierungsfrist bis ca. 1.3.2025 (abgelaufen); neue Einrichtungen müssen sich innerhalb von 60 Tagen nach Eintritt in den Anwendungsbereich registrieren; Einrichtungen, die bereits unter dem vorherigen NIS1-Rahmen registriert waren, wurden automatisch übergeleitet, ohne dass eine erneute Registrierung erforderlich ist
• Angaben zur Unternehmensidentität bereitstellen
• Sektorklassifizierung offenlegen — vor der Registrierung den Online-Klassifizierungsassistenten der NBÚ nutzen, um den Status als wesentliche/wichtige Einrichtung zu bestimmen
• Aktuelle Meldekontakte pflegen

Die JISKB-Plattform dient sowohl als Registrierungsplattform als auch als zentrale Stelle für die Meldung von Vorfällen. Zusätzliche Bußgelder gelten bei Versäumnis der Registrierung, der Durchführung erforderlicher Audits/Selbstbewertungen sowie bei Nichteinhaltung von Fristen für Korrekturmaßnahmen. Vollständige Einhaltung aller Pflichten ist bis zum 31. Dezember 2026 erforderlich.

Selbstidentifizierung ist verpflichtend, wenn Einrichtungen die gesetzlichen Schwellenwerte erfüllen. Alle Registrierungen und Meldungen von Vorfällen erfolgen über die JISKB-Plattform.

13. Wechselwirkung mit der GDPR und anderen Gesetzen in der Slowakei

Die General Data Protection Regulation gilt weiterhin parallel.

Überschneidungsaspekte umfassen:

• 72-Stunden-Meldung bei Verletzungen des Schutzes personenbezogener Daten
• Koordinierung der Aufsichtsbehörden

14. Grenzüberschreitende Anwendbarkeit

Einrichtungen mit ihrer Hauptniederlassung in der Slowakei werden für grenzüberschreitende Dienste von den slowakischen Behörden beaufsichtigt.

Ausländische digitale Anbieter, die in der Slowakei Dienstleistungen erbringen, können je nach Niederlassungsstruktur nationalen Verpflichtungen unterliegen.

Vertretungspflichten folgen den Vorgaben der Richtlinie für Nicht-EU-Anbieter, die den slowakischen Markt bedienen.

15. Umsetzungszeitplan in der Slowakei

• Annahme der Richtlinie: 2022
• Nationale Gesetzesänderungen: Gesetz Nr. 366/2024 Slg. vom Nationalrat am 28.11.2024 verabschiedet; Veröffentlichung in der Gesetzessammlung am 19.12.2024; ergänzende Verordnung über Sicherheitsmaßnahmen 2025 entwickelt
• Inkrafttreten: 1. Januar 2025 — die Slowakei war der 4. EU-Mitgliedstaat, der die Umsetzung abschloss
• Notifizierung bei der Kommission: Vollständig notifiziert; keine ausstehende begründete Stellungnahme der EU-Kommission
• Compliance-Meilenstein: JISKB-Registrierungsfrist ~1.3.2025 (abgelaufen) für Einrichtungen, die seit dem 1.1.2025 im Anwendungsbereich liegen; neue Einrichtungen 60 Tage ab Eintritt in den Anwendungsbereich; vollständige Einhaltung aller Pflichten bis zum 31. Dezember 2026

Die Slowakei hat die Umsetzung am 1. Januar 2025 abgeschlossen, früher als die meisten EU-Partner. Die anfängliche JISKB-Registrierungsfrist ist abgelaufen; vollständige Compliance nach dem geänderten Cybersicherheitsgesetz ist bis zum 31. Dezember 2026 erforderlich. Noch nicht registrierte Einrichtungen sollten umgehend handeln.

16. Zentrale Erkenntnisse für KMU in der Slowakei

• Mittelgroße Einheiten in erfassten Sektoren fallen automatisch in den Anwendungsbereich. Gesetz Nr. 366/2024 Slg. ist seit dem 1. Januar 2025 in Kraft; nutzen Sie den Online-Klassifizierungsassistenten der NBÚ, um den Status als wesentliche/wichtige Einrichtung zu überprüfen.
• Kleine Einheiten können benannt werden, wenn sie für die nationale oder wirtschaftliche Stabilität kritisch sind.
• Aufsicht auf Vorstandsebene ist verpflichtend.
• Die Meldung von Vorfällen folgt Fristen von 24h / 72h / 1 Monat. Meldungen erfolgen über die JISKB-Plattform an SK-CERT (nationales CSIRT); SK-CERT kann einen Zwischenbericht anfordern.
• Finanzielle Sanktionen können bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes erreichen.
• Lieferantenrisikomanagement ist erforderlich.
• Die anfängliche Registrierungsfrist (~1.3.2025) ist abgelaufen — Einrichtungen, die noch nicht registriert sind, sollten dies umgehend über die JISKB-Plattform nachholen. Vollständige Einhaltung aller Pflichten ist bis zum 31. Dezember 2026 erforderlich; das Risikomanagement sollte an den ISO-27000-Standards ausgerichtet sein.

FAQ: NIS2 Slowakei KMU-Leitfaden