NIS-2-Compliance

NIS-2-Compliance in Luxemburg

Begegnen Sie der NIS-2-Richtlinie mit Zuversicht. ObsidianCorps begleitet luxemburgische Unternehmen durch Gap-Analyse, Behebung und fortlaufende Compliance mit der bedeutendsten Cybersicherheitsregulierung der EU.

NIS-2-Bewertung starten Mehr erfahren

Zuletzt aktualisiert: Februar 2026

Was ist die NIS-2-Richtlinie?

Die NIS-2-Richtlinie (EU 2022/2555) ist die überarbeitete und verstärkte Cybersicherheitsgesetzgebung der Europäischen Union, die die ursprüngliche NIS-Richtlinie von 2016 ersetzt. NIS-2 erweitert den Geltungsbereich der erfassten Organisationen erheblich, führt strengere Sicherheitsanforderungen ein und sieht wesentlich höhere Strafen bei Nichteinhaltung vor. Luxemburg hat NIS-2 im Jahr 2024 in nationales Recht umgesetzt, und die Durchsetzung ist nun aktiv.

10 Millionen EUR
Höchststrafe für wesentliche Einrichtungen unter NIS-2

Die Richtlinie legt ein gemeinsames Cybersicherheitsniveau in allen EU-Mitgliedstaaten fest und verlangt von den erfassten Organisationen die Umsetzung umfassender Risikomanagementmaßnahmen, die zeitnahe Meldung von Sicherheitsvorfällen und die Gewährleistung der Rechenschaftspflicht auf Führungsebene für die Cybersicherheits-Governance. In Luxemburg dient das Institut Luxembourgeois de Régulation (ILR) als primäre zuständige Behörde für die Durchsetzung und Beaufsichtigung von NIS-2.

NIS-2 stellt einen grundlegenden Wandel in der EU-Cybersicherheitsregulierung dar. Anders als der Vorgänger, der sich hauptsächlich auf Betreiber wesentlicher Dienste und Anbieter digitaler Dienste konzentrierte, erfasst NIS-2 ein wesentlich breiteres Spektrum. Die Richtlinie führt einen größenbasierten Schwellenwert ein, der mittlere und große Unternehmen in den erfassten Sektoren automatisch in den Geltungsbereich einbezieht und das bisherige Ermessensverfahren zur Benennung abschafft. Für Luxemburg mit seiner Konzentration an Finanzdienstleistungen, digitaler Infrastruktur und grenzüberschreitenden Unternehmen sind die Auswirkungen erheblich.

Unsere Sicherheitsdienste ansehen

Gilt NIS-2 für mein luxemburgisches Unternehmen?

NIS-2 gilt für Ihr luxemburgisches Unternehmen, wenn Sie in einem der von der Richtlinie bezeichneten Sektoren tätig sind und bestimmte Größenschwellen erfüllen. Zu verstehen, ob Ihre Organisation als „wesentliche Einrichtung" oder „wichtige Einrichtung" eingestuft wird, ist der entscheidende erste Schritt zur Compliance.

18
von der NIS-2-Richtlinie erfasste Sektoren

Essential Entities

Wesentliche Einrichtungen umfassen Organisationen in den Bereichen: Energie (Strom, Öl, Gas, Wasserstoff, Fernwärme), Verkehr (Luft, Schiene, Wasser, Straße), Banken und Finanzmarktinfrastrukturen, Gesundheit (Krankenhäuser, Labore, Pharmaunternehmen), Trinkwasserversorgung und -verteilung, Abwasserentsorgung, digitale Infrastruktur (IXPs, DNS-Anbieter, TLD-Register, Cloud Computing, Rechenzentren, CDNs), IKT-Dienstverwaltung (Managed Service Provider, Managed Security Service Provider), öffentliche Verwaltung und Raumfahrt.

Important Entities

Wichtige Einrichtungen umfassen Organisationen in den Bereichen: Post- und Kurierdienste, Abfallwirtschaft, Herstellung von Chemikalien und Medizinprodukten, Lebensmittelproduktion und -vertrieb, digitale Anbieter (Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerkplattformen) und Forschungseinrichtungen.

Größenschwellen: NIS-2 gilt im Allgemeinen für mittlere Unternehmen (50+ Mitarbeiter oder 10 Millionen EUR+ Jahresumsatz) und große Unternehmen in den erfassten Sektoren. Bestimmte Einrichtungen sind jedoch unabhängig von ihrer Größe erfasst, darunter alleinige Anbieter eines kritischen Dienstes, Einrichtungen, deren Störung systemische Auswirkungen haben könnte, und von nationalen Behörden bezeichnete Einrichtungen. In Luxemburg führt das ILR das Register der NIS-2-pflichtigen Einrichtungen und kann eine formelle Bestimmung der Anwendbarkeit vornehmen.

Was sind die NIS-2-Anforderungen?

NIS-2 legt den erfassten Einrichtungen in Luxemburg vier übergeordnete Pflichtkategorien auf. ObsidianCorps hilft Organisationen, jede Anforderung durch gezielte Beratung, technische Umsetzung und fortlaufende Unterstützung zu erfüllen.

1

Risikomanagement-Maßnahmen

Organisationen müssen angemessene und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen zur Bewältigung von Cybersicherheitsrisiken umsetzen. Dies umfasst Richtlinien zur Risikoanalyse, Informationssystemsicherheit, Vorfallsbehandlung, Geschäftskontinuität, Backup-Management, Disaster Recovery, Lieferkettensicherheit, Schwachstellenmanagement und -offenlegung, Kryptografie- und Verschlüsselungsrichtlinien, Personalsicherheit, Zugriffskontrolle und Asset-Management.

2

Vorfallsmeldung

NIS-2 führt strenge Fristen für die Vorfallsmeldung ein. Organisationen müssen innerhalb von 24 Stunden nach Bekanntwerden eines erheblichen Vorfalls eine Frühwarnung an das ILR übermitteln, gefolgt von einer Vorfallsmeldung innerhalb von 72 Stunden mit einer ersten Bewertung von Schweregrad und Auswirkung sowie einem Abschlussbericht innerhalb eines Monats mit Details zur Ursache, Abhilfemaßnahmen und grenzüberschreitenden Auswirkungen. Die Nichteinhaltung dieser Fristen kann zu gesonderten Strafen führen.

3

Lieferkettensicherheit

Erfasste Einrichtungen müssen Cybersicherheitsrisiken in ihren Lieferketten und Lieferantenbeziehungen bewerten und steuern. Dies umfasst die Bewertung der Sicherheitspraktiken direkter Lieferanten und Dienstleister, die Implementierung vertraglicher Sicherheitsanforderungen und die Überwachung von Lieferkettenschwachstellen. Für luxemburgische Unternehmen mit umfangreichen grenzüberschreitenden Lieferketten in der Großregion erfordert diese Verpflichtung besondere Aufmerksamkeit.

4

Governance und Verantwortlichkeit

NIS-2 verlangt, dass Leitungsorgane (Vorstände, Geschäftsführung) Maßnahmen zum Cybersicherheits-Risikomanagement genehmigen, deren Umsetzung überwachen und für Nichteinhaltung zur Verantwortung gezogen werden können. Geschäftsführer und oberes Management müssen Cybersicherheitsschulungen absolvieren. Die persönliche Haftung der Geschäftsleitung ist ein wesentliches neues Element, das Cybersicherheit von einem IT-Thema zu einer Vorstandsverantwortung erhebt.

Wie kann ObsidianCorps bei der NIS-2-Compliance helfen?

ObsidianCorps bietet End-to-End-NIS-2-Compliance-Dienstleistungen für luxemburgische Unternehmen, von der Erstbewertung über die Umsetzung bis zur fortlaufenden Überwachung. Unser Ansatz ist pragmatisch, kosteneffizient und auf die spezifischen Bedürfnisse von Organisationen im Großherzogtum und der Großregion zugeschnitten.

6 bis 12 Monate
typischer Zeitrahmen für vollständige NIS-2-Compliance
1

NIS-2-Gap-Analyse

Wir führen eine gründliche Bewertung Ihrer aktuellen Cybersicherheitslage anhand der NIS-2-Anforderungen durch, identifizieren Lücken, priorisieren Risiken und erstellen eine Compliance-Roadmap mit klaren Meilensteinen und Ressourcenschätzungen. Dies dauert in der Regel 2 bis 4 Wochen.

2

Behebung und Umsetzung

Unser Team arbeitet gemeinsam mit Ihrem an der Implementierung der technischen Kontrollen, Richtlinien, Verfahren und Governance-Strukturen, die NIS-2 erfordert. Dies umfasst Risikomanagement-Frameworks, Verfahren zur Vorfallsreaktion, Maßnahmen zur Lieferkettensicherheit und Schulungsprogramme für die Geschäftsleitung.

3

Tests und Validierung

Wir validieren die Compliance durch Penetrationstests, Planübungen, Vorfallsreaktionsübungen und interne Audits. Dies stellt sicher, dass Ihre NIS-2-Maßnahmen nicht nur dokumentiert, sondern in der Praxis tatsächlich wirksam sind.

4

Fortlaufende Überwachung und Unterstützung

NIS-2-Compliance ist kein einmaliges Projekt. ObsidianCorps bietet fortlaufende Überwachung, vierteljährliche Reviews, jährliche Neubewertungen und Verfolgung regulatorischer Änderungen, um sicherzustellen, dass Ihre Organisation compliant bleibt, während sich die Regulierungslandschaft weiterentwickelt.

"NIS-2 ist nicht nur ein weiteres regulatorisches Kontrollkästchen -- es ist eine grundlegende Neustrukturierung der Cybersicherheits-Governance in Europa. Für luxemburgische Unternehmen, insbesondere im Bereich Finanzdienstleistungen und digitale Infrastruktur, verlangt die Richtlinie ein Maß an Cybersicherheitsreife, das viele Organisationen noch nicht erreicht haben. Die gute Nachricht ist, dass NIS-2-Compliance mit der richtigen Begleitung Ihre tatsächliche Sicherheitslage stärkt, nicht nur Ihren Papierkram."

PP
Philippe Parage
Sicherheitsleiter, ObsidianCorps
Sicherheitslösungen

Explore all security services
Cybersecurity Guide

Complete cybersecurity guide for Luxembourg
FAQ

Häufig gestellte Fragen

Häufige Fragen zur NIS-2-Compliance in Luxemburg

Welche Strafen drohen bei NIS-2-Nichteinhaltung in Luxemburg?
Die Strafen unter NIS-2 sind erheblich. Wesentliche Einrichtungen riskieren Verwaltungsstrafen von bis zu 10 Millionen EUR oder 2 % des gesamten weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Wichtige Einrichtungen riskieren Strafen von bis zu 7 Millionen EUR oder 1,4 % des weltweiten Jahresumsatzes. Darüber hinaus kann das ILR Compliance-Anordnungen, öffentliche Bekanntmachung der Nichteinhaltung und Aussetzung von Zertifizierungen verhängen. Die Geschäftsleitung kann persönlich haftbar gemacht werden, einschließlich temporärer Verbote der Ausübung von Leitungsfunktionen.

Was ist die Frist für die NIS-2-Compliance in Luxemburg?
Luxemburg hat die NIS-2-Richtlinie 2024 in nationales Recht umgesetzt, und die Durchsetzung ist nun aktiv. Organisationen, die in den NIS-2-Geltungsbereich fallen, sind bereits verpflichtet, deren Bestimmungen einzuhalten. Wenn Ihre Organisation noch nicht mit ihrem NIS-2-Compliance-Programm begonnen hat, empfiehlt ObsidianCorps, sofort zu starten. Ein typisches Compliance-Projekt dauert 6 bis 12 Monate, und die Regulierungsbehörden verstärken schrittweise die Durchsetzungsmaßnahmen.

Gilt NIS-2 für kleine und mittlere Unternehmen in Luxemburg?
NIS-2 gilt im Allgemeinen für mittlere Unternehmen (50+ Mitarbeiter oder 10 Millionen EUR+ Jahresumsatz) und große Unternehmen in den erfassten Sektoren. Kleine Unternehmen können jedoch ebenfalls betroffen sein, wenn sie der einzige Anbieter eines kritischen Dienstes in Luxemburg sind, ihre Störung erhebliche systemische Auswirkungen haben könnte, sie vom ILR benannt wurden oder sie Lieferanten von NIS-2-erfassten Einrichtungen sind (indirekte Verpflichtung durch Anforderungen an die Lieferkettensicherheit). ObsidianCorps kann eine formelle Bewertung des Geltungsbereichs durchführen, um die NIS-2-Verpflichtungen Ihrer Organisation zu bestimmen.

Wie verhält sich NIS-2 zu den CSSF-Cybersicherheitsanforderungen?
Für von der CSSF beaufsichtigte luxemburgische Finanzinstitute fügt NIS-2 eine zusätzliche Schicht von Cybersicherheitsverpflichtungen zu den bestehenden CSSF-Anforderungen hinzu (insbesondere Rundschreiben 22/806). Obwohl es erhebliche Überschneidungen zwischen NIS-2- und CSSF-Anforderungen gibt, führt NIS-2 zusätzliche Verpflichtungen in Bezug auf Fristen zur Vorfallsmeldung, Lieferkettensicherheit und Verantwortlichkeit der Geschäftsleitung ein. ObsidianCorps hilft CSSF-regulierten Einrichtungen, eine integrierte Compliance zu erreichen, die sowohl NIS-2- als auch CSSF-Anforderungen effizient adressiert und Doppelarbeit vermeidet.

Welche Pflichten auf Vorstandsebene bestehen unter NIS-2?
NIS-2 führt ausdrückliche Verantwortlichkeiten auf Vorstandsebene für die Cybersicherheits-Governance ein. Leitungsorgane müssen Maßnahmen zum Cybersicherheits-Risikomanagement formell genehmigen, deren Umsetzung überwachen und können für Versäumnisse persönlich haftbar gemacht werden. Vorstandsmitglieder und oberes Management müssen regelmäßige Cybersicherheitsschulungen absolvieren, um sicherzustellen, dass sie ihre Governance-Rolle wirksam ausfüllen können. ObsidianCorps bietet Cybersicherheits-Briefings für Führungskräfte und Vorstandsschulungsprogramme, die speziell für die NIS-2-Governance-Pflichten konzipiert sind.

Starten Sie noch heute Ihren Weg zur NIS-2-Compliance

ObsidianCorps bietet fachkundige NIS-2-Compliance-Dienstleistungen für luxemburgische Unternehmen. Von der Gap-Analyse bis zur fortlaufenden Überwachung begleiten wir Sie bei jedem Schritt des Compliance-Prozesses.

Kostenlose NIS-2-Bewertung vereinbaren Unsere Sicherheitsdienste ansehen

Unverbindlich. Kostenlose NIS-2-Erstbewertung für luxemburgische Unternehmen.

KONTAKT

Kontaktieren Sie uns

Bei Obsidiancorps verbinden wir innovative Technologie mit bewährten Sicherheitspraktiken, um maßgeschneiderte Lösungen zu schaffen, die Ihr Unternehmen schützen und voranbringen. Kontaktieren Sie uns und lassen Sie uns gemeinsam eine sicherere Zukunft gestalten.

Telefonnummer

+352 691 165 856

E-Mail-Adresse

info [at] obsidiancorps.com

Standort

Differdange, Luxembourg

Wir antworten in der Regel innerhalb von 24 Stunden

Senden Sie uns eine Nachricht

Wir freuen uns, von Ihnen zu hören! Füllen Sie das folgende Formular aus und unser Team wird sich so schnell wie möglich bei Ihnen melden.

captcha