NIS2 in Slowenien

1. Schnellüberblick zur Anwendbarkeit für KMU in Slowenien

Gilt NIS2 für KMU in Slowenien?

Ja — abhängig von Sektor und Größe.

• Automatische Anwendbarkeit auf mittelgroße Einrichtungen (≥50 Beschäftigte und ≥€10 Millionen Umsatz oder Bilanzsumme) in erfassten Sektoren.
• Kleine oder Kleinst-Einrichtungen sind nur einbezogen, wenn sie förmlich benannt werden oder in hochkritischen Sektoren tätig sind.
• Gilt für in Slowenien niedergelassene Rechtsträger und in bestimmten Fällen für ausländische digitale Anbieter, die den slowenischen Markt bedienen.

KMU sollten ihre Einstufung im nationalen Cybersicherheitsrahmen Sloweniens anhand der Sektorklassifizierung und gesetzlicher Schwellenwerte prüfen.

2. Überblick über die NIS2-Umsetzung in Slowenien

Slowenien hat die Umsetzung der NIS2 durch das Informationssicherheitsgesetz (ZInfV-1) (Zakon o informacijski varnosti) abgeschlossen, ein neues umfassendes Gesetz, das das vorherige ZInfV (2018) ersetzt. Das Gesetz wurde am 23. Mai 2025 von der Nationalversammlung verabschiedet, am 4. Juni 2025 im Amtsblatt Nr. 40/25 veröffentlicht und ist am 19. Juni 2025 in Kraft getreten.

Slowenien hatte die ursprüngliche Umsetzungsfrist vom 17. Oktober 2024 versäumt; die Europäische Kommission gab am 7. Mai 2025 eine mit Gründen versehene Stellungnahme ab, woraufhin die Umsetzung im Eilverfahren abgeschlossen wurde. ZInfV-1 erweitert den Anwendungsbereich über das Mindestmaß der Richtlinie hinaus auf Forschungs- und Hochschuleinrichtungen, wobei der Rahmen für Cybersicherheitsanforderungen dem Gesetz als Anhang beigefügt ist und ISO/IEC 27001 als anwendbarer Standard genannt wird.

URSIV (Urad Vlade Republike Slovenije za informacijsko varnost — Regierungsstelle für Informationssicherheit) ist die federführende Behörde und fungiert zugleich als NCC-SI und nationale zentrale Anlaufstelle. SI-CERT (betrieben von ARNES) ist das nationale CSIRT für den privaten Sektor; SIGOV-CERT ist für Regierungsbehörden zuständig. Die Risikomanagement-Pflichten gelten gestaffelt: 12 Monate (bis 19. Juni 2026) für Einrichtungen, die bereits unter dem vorherigen ZInfV als Anbieter wesentlicher Dienste eingestuft waren, und 18 Monate (bis 19. Dezember 2026) für alle anderen wesentlichen und wichtigen Einrichtungen.

3. Anwendungsbereich in Slowenien

Der slowenische Anwendungsbereich spiegelt die Mindestsektorkategorien der Directive wider, ohne bestätigte strukturelle Erweiterung.

4. Größenschwellenwerte und Anwendbarkeit auf SME in Slowenien

Die Basisschwellen gelten:

• ≥50 Beschäftigte und
• ≥€10 Millionen Jahresumsatz oder Bilanzsumme.

Einrichtungen, die beide Kriterien innerhalb der erfassten Sektoren erfüllen, fallen automatisch in den Anwendungsbereich.

Kleine und Kleinstunternehmen können benannt werden, wenn sie als kritisch für die nationale Sicherheit, die wirtschaftliche Stabilität oder die Kontinuität wesentlicher Dienste erachtet werden.

Die slowenischen Behörden behalten formelle Benennungsbefugnisse bei, wenn systemisches Risiko eine Einbeziehung rechtfertigt.

5. Klassifizierungsrahmen für Einrichtungen in Slowenien

Einrichtungen werden wie folgt kategorisiert:

• Wesentliche Einrichtungen — Unterliegen einer proaktiven Aufsicht, einschließlich Inspektionen und strukturiertem Compliance‑Monitoring.
• Wichtige Einrichtungen — In erster Linie einer reaktiven Aufsicht unterworfen, die durch schwerwiegende Vorfälle oder Compliance‑Bedenken ausgelöst wird.

Die Einstufung richtet sich nach Sektor und Größe. Behörden können Einrichtungen neu einstufen, wenn betriebliche Auswirkungen oder die Risikobelastung eine verstärkte Aufsicht rechtfertigen.

Slowenien folgt der zweistufigen Aufsichtsstruktur der Richtlinie.

6. Anforderungen an das Cybersicherheits-Risikomanagement in Slowenien

Das nationale Regime Sloweniens steht im Einklang mit der Baseline der Richtlinie für das Cybersicherheits-Risikomanagement. In den Anwendungsbereich fallende Einrichtungen müssen verhältnismäßige technische und organisatorische Maßnahmen umsetzen, die Folgendes abdecken:

• Risikoanalyse und Systemschutz
• Vorfallserkennung und -reaktion
• Geschäftskontinuität und Krisenmanagement
• NIS2 Supply-Chain-Risikokontrollen in Slowenien
• Sichere Beschaffung und Entwicklung von IKT-Systemen
• Zugriffskontrolle und Identitätsmanagement
• Verschlüsselung und kryptografische Schutzmaßnahmen
• Prozesse zum Schwachstellenmanagement
• Schulungen zur Cybersicherheit für Beschäftigte

Die Maßnahmen müssen dem Stand der Technik und der Risikobelastung der Organisation entsprechen. Eine Ausrichtung an ISO/IEC 27001 und an slowenischen Leitlinien zur Cybersicherheit wird empfohlen.

7. Managementhaftung und Governance in Slowenien

Leitungsorgane müssen Maßnahmen des Cybersicherheits-Risikomanagements formell genehmigen und deren Umsetzung überwachen.

Im slowenischen Rechtsrahmen:

• Leitungsorgane sind für die Überwachung der Compliance verantwortlich.
• Das obere Management muss für ausreichende Kompetenz in der Cybersicherheit sorgen.
• Verwaltungssanktionen können Governance-Versäumnisse ahnden.
• Eine vorübergehende Aussetzung von Leitungsfunktionen kann im Rahmen von an die Directive ausgerichteten Durchsetzungsmechanismen vorgesehen sein.

Die Erwartungen in Slowenien an die NIS2-Managementhaftung heben die Cybersicherheits-Governance auf eine Verantwortung auf Führungsebene.

8. Meldepflichten für Sicherheitsvorfälle in Slowenien

9. Aufsichtsbehörden und Durchsetzungsmodell in Slowenien

Federführende Behörde: URSIV (Urad Vlade Republike Slovenije za informacijsko varnost) — Regierungsstelle für Informationssicherheit. Unter ZInfV-1 fungiert URSIV zugleich als nationales Koordinierungszentrum für Cybersicherheit (NCC-SI) und als nationale zentrale Anlaufstelle. SI-CERT (betrieben von ARNES) ist das nationale CSIRT für den privaten Sektor; SIGOV-CERT ist für Regierungsbehörden zuständig.

Slowenien verfolgt ein zentralisiertes Aufsichtsmodell unter Federführung von URSIV. Wesentliche Einrichtungen unterliegen sowohl proaktiven (ex-ante) als auch reaktiven (ex-post) Inspektionen, während wichtige Einrichtungen reaktiven Inspektionen unterliegen. Wesentliche Einrichtungen müssen ihre Konformität mindestens alle zwei Jahre durch eine akkreditierte Konformitätsbewertungsstelle (CAB) prüfen lassen; wichtige Einrichtungen führen mindestens alle zwei Jahre eine Selbstbewertung durch.

Aufsichtsbefugnisse umfassen:

• Anforderungen von Unterlagen und Informationen
• Sicherheitsaudits
• Vor-Ort-Inspektionen
• Verbindliche Anordnungen zur Einhaltung
• Teilnahme an Koordinierungsmechanismen der EU zur Cybersicherheit

Die Durchsetzungsstruktur entspricht den Kooperationsanforderungen auf Richtlinienebene.

10. NIS2-Bußgelder und Sanktionen in Slowenien

Slowenien wendet richtlinienkonforme verwaltungsrechtliche Sanktionen an.

Neben Geldbußen kann die NIS2-Durchsetzung in Slowenien auch Folgendes umfassen:

• Verbindliche Abhilfeanordnungen
• Öffentliche Nennung nicht konformer Einrichtungen
• Aussetzung von Genehmigungen oder Zertifizierungen
• Befugnis zur Suspendierung der Geschäftsleitung
• Disqualifikation der Geschäftsleitung gemäß slowenischem Gesellschaftsgesetz bei anhaltender Fahrlässigkeit

11. NIS2-Lieferketten- und Lieferantensicherheit in Slowenien

Einrichtungen müssen Cybersicherheitsrisiken durch Dritte mittels folgender Maßnahmen steuern:

• Lieferantenrisikobewertungen
• Vertragliche Flow-down-Klauseln zu Sicherheitsanforderungen
• Kontinuierliche ICT-Lieferantenüberwachung
• Analyse von Konzentrationsrisiken
• Eindämmung der Ausbreitung von Incidents

Der Ansatz Sloweniens entspricht den grundlegenden Erwartungen der Richtlinie hinsichtlich des Lieferantenrisikomanagements.

12. Registrierungs- und Selbstidentifizierungspflichten in Slowenien

Einrichtungen im Anwendungsbereich müssen:

• Registrierung bei URSIV — Einrichtungen, die am 19. Juni 2025 bereits in den Anwendungsbereich fielen, hatten eine Registrierungsfrist bis 19. Dezember 2025 (6 Monate ab Inkrafttreten, inzwischen abgelaufen); neue Einrichtungen müssen sich innerhalb von 30 Tagen ab Eintritt in den Anwendungsbereich registrieren; die Erstregistrierung erfolgt durch digitale Übermittlung der Daten an URSIV, bis eine formelle Selbstregistrierungsplattform eingeführt wird
• Angabe der Unternehmensidentifikationsdaten
• Offenlegung der Sektoreinstufung
• Aktuelle Meldekontakte pflegen

ZInfV-1 verpflichtet Einrichtungen zur Einführung eines dokumentierten Informationssicherheits-Managementsystems (ISMS) und Business-Continuity-Managementsystems (BCMS), einschließlich Risikoanalyse, Incident-Response-Plänen, Geschäftskontinuitätsplänen und Wiederherstellungsplänen. Die Risikomanagement-Maßnahmen nach Artikeln 21 und 22 müssen bis 19. Juni 2026 (Einrichtungen, die bereits unter dem vorherigen ZInfV als Anbieter wesentlicher Dienste eingestuft waren / 12 Monate) bzw. 19. Dezember 2026 (alle anderen wesentlichen und wichtigen Einrichtungen / 18 Monate) umgesetzt sein.

Die Selbstidentifikation ist verpflichtend, wenn Einrichtungen die gesetzlichen Schwellenwerte erfüllen. ISO/IEC 27001-Zertifizierung (durch eine SA-akkreditierte Stelle) wird ausdrücklich als anwendbarer Standard genannt und kann für Konformitätsbewertungen herangezogen werden; wesentliche Einrichtungen müssen ihre Konformität mindestens alle zwei Jahre durch eine akkreditierte Konformitätsbewertungsstelle (CAB) prüfen lassen.

13. Interaktion mit GDPR und anderen Gesetzen in Slovenia

Die General Data Protection Regulation gilt weiterhin parallel.

Überschneidungen umfassen:

• 72-Stunden-Meldung von Verletzungen des Schutzes personenbezogener Daten
• Koordinierung der Aufsichtsbehörden

14. Grenzüberschreitende Anwendbarkeit

Einrichtungen mit ihrer Hauptniederlassung in Slowenien werden für grenzüberschreitende Dienste von den slowenischen Behörden beaufsichtigt.

Ausländische digitale Anbieter, die in Slowenien Dienste erbringen, können je nach Niederlassungsstruktur nationalen Pflichten unterliegen.

Die Vertretungsanforderungen folgen den Richtlinienstandards für Nicht-EU-Anbieter, die den slowenischen Markt bedienen.

15. Umsetzungszeitplan in Slowenien

• Annahme der Richtlinie: 2022
• Annahme der Richtlinie: 2022
• Nationale Gesetzgebung: Informationssicherheitsgesetz (ZInfV-1) am 23. Mai 2025 verabschiedet; am 4. Juni 2025 im Amtsblatt Nr. 40/25 veröffentlicht; im Eilverfahren angenommen, nachdem die EU-Kommission am 7. Mai 2025 eine mit Gründen versehene Stellungnahme abgegeben hatte
• Inkrafttreten: 19. Juni 2025 (15 Tage nach Veröffentlichung); ZInfV-1 ersetzt das vorherige ZInfV (2018)
• Notifikation an die Kommission: Mit Gründen versehene Stellungnahme der EU-Kommission vom 7. Mai 2025 wegen unterlassener Notifikation; nach Annahme und Inkrafttreten am 19. Juni 2025 erledigt
• Compliance-Meilensteine: URSIV-Registrierungsfrist (Einrichtungen im Anwendungsbereich am 19. Juni 2025) — 19. Dezember 2025 (abgelaufen); Registrierung neuer Einrichtungen — 30 Tage ab Eintritt in den Anwendungsbereich; Risikomanagement-Maßnahmen (Anbieter wesentlicher Dienste nach vorherigem ZInfV) — 19. Juni 2026; Risikomanagement-Maßnahmen (alle anderen wesentlichen/wichtigen Einrichtungen) — 19. Dezember 2026; Konformitätsbewertungszyklus — mindestens alle 2 Jahre

Slowenien hat die NIS2-Umsetzung am 19. Juni 2025 abgeschlossen. Die URSIV-Registrierungsfrist vom 19. Dezember 2025 ist abgelaufen — noch nicht registrierte Einrichtungen sollten umgehend handeln. Die Fristen zur Umsetzung des Risikomanagements laufen bis Juni und Dezember 2026, und Konformitätsbewertungen sind ab Designation mindestens alle zwei Jahre erforderlich.

16. Kernpunkte für KMU in Slowenien

• Mittelgroße Einrichtungen in betroffenen Sektoren fallen automatisch in den Anwendungsbereich; ZInfV-1 ist seit 19. Juni 2025 in Kraft, und Sloweniens Anwendungsbereich geht über das Mindestmaß der Richtlinie hinaus und umfasst auch Forschungs- und Hochschuleinrichtungen.
• Kleine Einrichtungen können benannt werden, wenn sie für die nationale oder wirtschaftliche Stabilität von Bedeutung sind.
• Eine Aufsicht durch die Geschäftsleitung ist verpflichtend.
• Die Vorfallmeldung folgt den Fristen 24h / 72h / 1 Monat; Meldungen erfolgen an URSIV und das jeweils zuständige nationale CSIRT — SI-CERT (privater Sektor) oder SIGOV-CERT (Regierungsbehörden).
• Finanzielle Sanktionen können €10 Millionen oder 2 % des weltweiten Umsatzes erreichen.
• Lieferanten-Risikomanagement ist erforderlich.
• URSIV-Registrierungsfrist (19. Dezember 2025) ist abgelaufen — falls noch nicht erfolgt, umgehend registrieren; Risikomanagement-Maßnahmen müssen bis 19. Juni 2026 (wesentliche Einrichtungen nach vorherigem ZInfV) bzw. 19. Dezember 2026 (alle anderen) umgesetzt sein; ZInfV-1 verlangt dokumentiertes ISMS und BCMS gemäß ISO/IEC 27001; wesentliche Einrichtungen benötigen mindestens alle zwei Jahre eine Konformitätsbewertung durch eine akkreditierte CAB.

FAQ: NIS2-KMU-Leitfaden für Slowenien