NIS2 in Spanien

1. Kurzer SME-Anwendbarkeitsüberblick in Spanien

Gilt NIS2 für KMU in Spanien?

Ja — abhängig von Sektor und Größe.

• Automatische Anwendbarkeit auf mittelgroße Einrichtungen (≥50 Beschäftigte und ≥€10 Millionen Umsatz oder Bilanzsumme) in erfassten Sektoren.
• Kleine oder Kleinst-Einrichtungen sind nur einbezogen, wenn sie förmlich benannt werden oder in hochkritischen Sektoren tätig sind.
• Gilt für in Spanien niedergelassene Einheiten und in bestimmten Fällen für ausländische digitale Anbieter, die den spanischen Markt bedienen.

SMEs sollten ihre Einstufung nach dem nationalen Cybersecurity-Rahmen Spaniens anhand der Sektorklassifizierung und gesetzlicher Schwellenwerte prüfen.

2. Überblick zur NIS2-Umsetzung in Spanien

Spanien hat seine NIS2-Umsetzung noch nicht erlassen. Das Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad wurde am 14. Januar 2025 vom Ministerrat verabschiedet, ist jedoch im April 2026 weiterhin in der parlamentarischen Beratung in den Cortes Generales. Spanien hat die Umsetzungsfrist vom 17. Oktober 2024 versäumt und am 7. Mai 2025 eine mit Gründen versehene Stellungnahme der EU-Kommission erhalten. Der bisherige NIS1-Rahmen (Royal Decree-Law 12/2018) gilt weiterhin.

Nach Inkrafttreten wird das neue Gesetz das Centro Nacional de Ciberseguridad (CNC) als federführende Behörde, einzige EU-Anlaufstelle und Krisenkoordinator schaffen. Drei referenzielle CSIRTs sind benannt — CCN-CERT (öffentlicher Sektor), INCIBE-CERT (private Einrichtungen) und ESPDEF-CERT (Streitkräfte). Meldungen erfolgen über die Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes.

Spaniens Entwurf erweitert den Anwendungsbereich über das Mindestmaß der Richtlinie hinaus (Universitäten, Forschungseinrichtungen, große Gemeinden, private Sicherheitsunternehmen, Einrichtungen mit Bedeutung für die Verteidigung sowie ausländische Unternehmen mit fester Niederlassung in Spanien), führt eine gestaffelte nationale Bußgeldstruktur ein (€10.000–€2 Mio., mit höheren NIS2-konformen Obergrenzen für die schwersten Fälle) und verlangt von jeder Einrichtung die Benennung eines Responsable de Seguridad de la Información.

3. Anwendungsbereich in Spanien

Spaniens Anwendungsbereich spiegelt die Mindestsektorkategorien der Richtlinie wider, ohne bestätigte strukturelle Ausweitung.

4. Größenschwellen und Anwendbarkeit auf SME in Spanien

Die Basisschwellen gelten:

• ≥50 Beschäftigte und
• ≥€10 Millionen Jahresumsatz oder Bilanzsumme.

Einrichtungen, die beide Kriterien innerhalb der erfassten Sektoren erfüllen, fallen automatisch in den Anwendungsbereich.

Kleine und Kleinstunternehmen können benannt werden, wenn sie als kritisch für die nationale Sicherheit, die wirtschaftliche Stabilität oder die Aufrechterhaltung wesentlicher Dienste angesehen werden.

Spanische Behörden behalten formelle Benennungsbefugnisse bei, wenn systemisches Risiko eine Einbeziehung rechtfertigt.

5. Klassifizierungsrahmen für Einrichtungen in Spanien

Einrichtungen werden wie folgt kategorisiert:

• Wesentliche Einrichtungen — unterliegen einer proaktiven Aufsicht, einschließlich Inspektionen und strukturiertem Compliance-Monitoring.
• Wichtige Einrichtungen — unterliegen in erster Linie einer reaktiven Aufsicht, die durch erhebliche Vorfälle oder Compliance-Bedenken ausgelöst wird.

Die Einstufung richtet sich nach Sektor und Größe. Behörden können Einrichtungen neu einstufen, wenn betriebliche Auswirkungen oder Risikobelastung eine verstärkte Aufsicht rechtfertigen.

Spanien folgt der zweistufigen Aufsichtsstruktur der Richtlinie.

6. Anforderungen an das Management von Cybersicherheitsrisiken in Spanien

Das nationale Regelwerk Spaniens ist mit dem Basisrahmen der Richtlinie für das Management von Cybersicherheitsrisiken im Einklang. Erfasste Einrichtungen müssen angemessene technische und organisatorische Maßnahmen umsetzen, die Folgendes abdecken:

• Risikonanalyse und Schutz der Systeme
• Erkennung und Reaktion auf Sicherheitsvorfälle
• Geschäftskontinuität und Krisenmanagement
• Risikokontrollen in der NIS2-Lieferkette in Spanien
• Sichere Beschaffung und Entwicklung von IKT-Systemen
• Zugriffskontrolle und Identitätsmanagement
• Verschlüsselung und kryptografische Schutzmaßnahmen
• Verfahren zum Schwachstellenmanagement
• Schulungen zur Cybersicherheit für Mitarbeitende

Die Maßnahmen müssen den Stand der Technik und das Risikoprofil der Organisation widerspiegeln. Eine Ausrichtung an ISO/IEC 27001 und an spanischen Leitlinien zur Cybersicherheit wird empfohlen.

7. Managementhaftung und Governance in Spanien

Leitungsorgane müssen Maßnahmen des Cybersicherheits-Risikomanagements formell genehmigen und die Umsetzung überwachen.

Nach dem spanischen Rahmen:

• Vorstände sind für die Überwachung der Compliance verantwortlich.
• Die Geschäftsleitung muss für ausreichende Cybersicherheitskompetenz sorgen.
• Verwaltungsrechtliche Sanktionen können Governance-Versäumnisse ahnden.
• Eine befristete Suspendierung von Leitungsfunktionen kann im Rahmen von richtlinienkonformen Durchsetzungsmechanismen vorgesehen sein.

NIS2-Erwartungen an die Managementhaftung in Spanien heben die Cybersicherheits-Governance auf eine Verantwortung der obersten Führungsebene.

8. Meldepflichten bei Sicherheitsvorfällen in Spanien

9. Aufsichtsbehörden und Durchsetzungsmodell in Spanien

Im aktuellen NIS1-Rahmen (weiterhin in Kraft) fungieren sektorspezifische Ministerien als zuständige Behörden. Nach dem vorgeschlagenen Gesetz (noch nicht erlassen) wird das Centro Nacional de Ciberseguridad (CNC) federführende Behörde, einzige EU-Anlaufstelle und Krisenmanagementbehörde sein und die drei nationalen CSIRTs (CCN-CERT, INCIBE-CERT, ESPDEF-CERT) koordinieren. Eine Übergangsregelung beauftragt sektorspezifische Behörden, bis das CNC operativ ist.

Spanien betreibt ein Multi-Behörden-Aufsichtsmodell. Sektorministerien beaufsichtigen derzeit unter NIS1; das vorgeschlagene Gesetz würde die Koordinierung beim CNC bündeln, wobei CCN-CERT, INCIBE-CERT und ESPDEF-CERT die Vorfallsreaktion unterstützen. Diese Regelungen sind rechtlich noch nicht in Betrieb.

Aufsichtsbefugnisse umfassen:

• Anforderungen von Unterlagen und Informationen
• Sicherheitsaudits
• Vor-Ort-Inspektionen
• Verbindliche Compliance-Anordnungen
• Teilnahme an EU-Koordinierungsmechanismen zur Cybersicherheit

Die Durchsetzungsstruktur entspricht den Kooperationsanforderungen auf Richtlinienebene. Diese Befugnisse sind rechtlich noch nicht in Kraft bis zur Verabschiedung der Ley de Coordinación y Gobernanza de la Ciberseguridad.

10. NIS2-Bußgelder und Sanktionen in Spanien

Spanien wendet richtlinienkonforme verwaltungsrechtliche Sanktionen an.

Die Durchsetzung von NIS2-Bußgeldern in Spanien kann zudem Folgendes umfassen:

• Verbindliche Abhilfsanordnungen
• Öffentliche Identifizierung nicht konformer Einrichtungen
• Aussetzung von Genehmigungen oder Zertifizierungen
• Befugnisse zur Suspendierung von Leitungspersonen

Strafrechtliche Haftung gilt nur, sofern sie ausdrücklich im spanischen Recht vorgesehen ist.

11. NIS2-Lieferketten- und Lieferantensicherheit in Spanien

Einrichtungen müssen Drittparteirisiken in der Cybersicherheit durch Folgendes managen:

• Lieferanten-Risikobewertungen
• Vertragliche Sicherheits-Flow-down-Klauseln
• Kontinuierliches Monitoring von ICT-Lieferanten
• Analyse von Konzentrationsrisiken
• Eindämmung der Ausbreitung von Sicherheitsvorfällen

Der Ansatz Spaniens steht im Einklang mit den Mindestanforderungen der Richtlinie zum Lieferantenrisikomanagement.

12. Registrierungs- und Selbstidentifizierungspflichten in Spanien

Einrichtungen im Anwendungsbereich müssen:

• In Spanien besteht derzeit keine NIS2-Registrierungspflicht — die Ley de Coordinación y Gobernanza ist noch nicht erlassen; Registrierungspflichten werden mit der Verabschiedung des Gesetzes festgelegt; Einrichtungen sollten bereits jetzt mit einer freiwilligen Selbstbewertung beginnen, um ihre voraussichtliche Einstufung als wesentliche/wichtige Einrichtung zu ermitteln
• Unternehmensidentifikationsdaten bereitstellen
• Sektorklassifizierung offenlegen
• Aktuelle Meldekontakte pflegen

Es bestehen derzeit keine aktiven NIS2-Registrierungs- oder Compliance-Fristen in Spanien. Nach Inkrafttreten wird das Gesetz Registrierungsfristen festlegen und je Einrichtung die Benennung eines Responsable de Seguridad de la Información verlangen. Nutzen Sie die Sektorleitlinien und Selbstklassifizierungs-Tools von INCIBE zur Vorbereitung.

Selbstidentifizierung wird verpflichtend, sobald das Gesetz in Kraft tritt. Eine freiwillige Anwendungsbereichs-Bewertung jetzt (Sektorklassifizierung + Größenschwellen) wird dringend empfohlen.

13. Interaktion mit der GDPR und anderen Gesetzen in Spanien

Die General Data Protection Regulation findet weiterhin parallel Anwendung.

Überschneidungen betreffen unter anderem:

• 72-Stunden-Meldung bei Verletzungen des Schutzes personenbezogener Daten
• Koordination der Aufsichtsbehörden

14. Grenzüberschreitende Anwendbarkeit

Einrichtungen mit ihrer Hauptniederlassung in Spanien werden für grenzüberschreitende Dienste von den spanischen Behörden beaufsichtigt.

Ausländische digitale Anbieter, die in Spanien Dienste erbringen, können je nach Niederlassungsstruktur nationalen Verpflichtungen unterliegen.

Vertretungsanforderungen folgen den Vorgaben der Richtlinie für Nicht-EU-Anbieter, die den spanischen Markt bedienen.

15. Umsetzungszeitplan in Spanien

• Annahme der Richtlinie: 2022
• Annahme der Richtlinie: 2022
• Nationale Gesetzesänderungen: Anteproyecto am 14. Januar 2025 vom Ministerrat verabschiedet; öffentliche Anhörung/Konsultation Jan–Feb 2025; ausstehende parlamentarische Beratung in den Cortes Generales (Stand April 2026)
• Inkrafttreten: Noch nicht erlassen; NIS1 RD-Law 12/2018 gilt weiterhin
• Notifizierung an die Kommission: Mit Gründen versehene Stellungnahme der EU-Kommission vom 7. Mai 2025; eine Befassung des EuGH bleibt möglich
• Compliance-Meilenstein: Derzeit keine NIS2-Fristen aktiv; Registrierungs-, Klassifizierungs- und Risikomanagementpflichten werden nach Inkrafttreten festgelegt

Spanien hat die EU-NIS2-Frist versäumt und steht weiterhin unter EU-Vertragsverletzungsverfahren. Die Ley de Coordinación y Gobernanza ist im parlamentarischen Verfahren; NIS1 gilt weiter. Einrichtungen sollten diese Phase für freiwillige Anwendungsbereichs-Bewertungen und Compliance-Vorbereitung nutzen.

16. Zentrale Erkenntnisse für KMU in Spanien

• Mittelgroße Einrichtungen in erfassten Sektoren fallen mit Inkrafttreten des Gesetzes in den Anwendungsbereich; der Entwurf erweitert den Anwendungsbereich über das Mindestmaß der Richtlinie hinaus (Universitäten, Forschungseinrichtungen, große Gemeinden, private Sicherheitsunternehmen) — beginnen Sie jetzt mit einer freiwilligen Anwendungsbereichs-Bewertung.
• Kleine Einrichtungen können bestimmt werden, wenn sie für die nationale oder wirtschaftliche Stabilität kritisch sind.
• Aufsicht auf Ebene des Leitungsorgans ist verpflichtend.
• Die Meldung von Vorfällen folgt nach Inkrafttreten Fristen von 24h / 72h / 1 Monat und erfolgt an das zuständige CSIRT — CCN-CERT (öffentlich) / INCIBE-CERT (privat) / ESPDEF-CERT (Streitkräfte).
• Finanzielle Sanktionen können bis zu €10 Millionen oder 2 % des weltweiten Umsatzes erreichen.
• Lieferantenrisikomanagement ist erforderlich.
• Der Gesetzentwurf ist noch nicht erlassen, eine Verabschiedung kann jedoch jederzeit erfolgen. Führen Sie eine freiwillige Anwendungsbereichs-Bewertung mithilfe von INCIBE-Tools durch, richten Sie die interne Governance am ENS-Rahmen (Esquema Nacional de Seguridad) aus und bereiten Sie die Benennung eines Responsable de Seguridad de la Información nach Inkrafttreten vor.

FAQ: NIS2 Spanien KMU-Leitfaden