NIS2 in Litauen

Leitfaden zur NIS2-Umsetzung und -Compliance in Litauen.

Dieses Dokument enthält Informationen mit Stand Februar 2026. Obwohl alle zumutbaren Schritte unternommen wurden, um die Richtigkeit der Inhalte zu überprüfen, werden die Informationen ohne Gewähr für Vollständigkeit oder Richtigkeit bereitgestellt und können Änderungen unterliegen. Obgleich wir beabsichtigen, diese Inhalte regelmäßig zu aktualisieren, wird empfohlen, kritische Informationen eigenständig zu verifizieren.

Litauen stärkt sein nationales Cybersicherheitsregime, um es an die erweiterten Pflichten der NIS2-Richtlinie anzugleichen. Der aktualisierte Rahmen erweitert die Sektorabdeckung, stärkt die Verantwortlichkeit der Leitungsebene und verbessert Aufsichts- und Durchsetzungsmechanismen. Dieser Leitfaden bietet einen strukturierten Überblick über die NIS2-Compliance-Anforderungen in Litauen für KMU, die in regulierten Sektoren tätig sind.

1. Kurzüberblick zur Anwendbarkeit für KMU in Litauen

Gilt NIS2 für KMU in Litauen?

Ja — abhängig von Sektor und Größe.

Automatische Anwendbarkeit auf mittelgroße Einrichtungen (≥50 Beschäftigte und ≥€10 Millionen Umsatz oder Bilanzsumme) in erfassten Sektoren.
Kleine oder Kleinst-Einrichtungen sind nur einbezogen, wenn sie förmlich benannt werden oder in hochkritischen Sektoren tätig sind.
Gilt für in Litauen ansässige Einrichtungen und in bestimmten Fällen für ausländische digitale Anbieter, die den litauischen Markt bedienen.

KMU sollten ihre Einstufung nach dem nationalen Cybersicherheitsrahmen Litauens anhand der Sektorzuordnung und gesetzlicher Schwellenwerte prüfen.

2. Überblick zur Umsetzung der NIS2-Richtlinie in Litauen

Litauen setzt die Richtlinie durch Änderungen am Law on Cybersecurity um, das die Grundlage des nationalen Cybersicherheitsregimes bildet.

Die überarbeitete Gesetzgebung bringt den litauischen Rahmen in Einklang mit der Richtlinie (EU) 2022/2555 und stärkt Pflichten in Bezug auf Governance, Risikomanagement, Meldung von Sicherheitsvorfällen sowie die Befugnisse der Aufsichtsbehörden.

Das aktualisierte Gesetz integriert die Vorgaben der Richtlinie in die bestehende Cybersicherheitsaufsichtsstruktur Litauens.

3. Anwendungsbereich in Litauen

Wesentliche Einrichtungen

Einrichtungen, die in hochkritischen Sektoren tätig sind:

Wichtige Einrichtungen

Einrichtungen, die in anderen aufgeführten Sektoren tätig sind:

Litauens Anwendungsbereich spiegelt die Mindestsektorkategorien der Richtlinie wider, ohne bestätigte strukturelle Erweiterung.

4. Größenschwellen und Anwendbarkeit auf KMU in Litauen

Die Basisschwellen gelten:

≥50 Beschäftigte und
≥€10 Millionen Jahresumsatz oder Bilanzsumme.

Einrichtungen, die beide Kriterien innerhalb der erfassten Sektoren erfüllen, fallen automatisch in den Anwendungsbereich.

Klein- und Kleinstunternehmen können bestimmt werden, wenn sie als kritisch für die nationale Sicherheit, die wirtschaftliche Stabilität oder die Kontinuität wesentlicher Dienste angesehen werden.

Die litauischen Behörden behalten formelle Benennungsbefugnisse, wenn systemische Risiken eine Einbeziehung rechtfertigen.

5. Einstufungsrahmen für Einrichtungen in Litauen

Einrichtungen werden wie folgt eingestuft:

Wesentliche Einrichtungen — Unterliegen einer proaktiven Aufsicht, einschließlich Inspektionen und strukturierter Compliance-Überwachung.
Wichtige Einrichtungen — Unterliegen in erster Linie einer reaktiven Aufsicht, die durch schwerwiegende Vorfälle oder Compliance-Bedenken ausgelöst wird.

Die Einstufung richtet sich nach Sektor und Größe. Behörden können Einrichtungen neu einstufen, wenn betriebliche Auswirkungen oder Risikobelastung eine verstärkte Aufsicht rechtfertigen.

Litauen folgt der zweistufigen Aufsichtsstruktur der Richtlinie.

6. Anforderungen an das Cybersicherheits-Risikomanagement in Litauen

Das nationale Regelwerk Litauens entspricht den in der Richtlinie festgelegten Mindestanforderungen für das Cybersicherheits-Risikomanagement. Erfasste Einrichtungen müssen angemessene technische und organisatorische Maßnahmen umsetzen, die Folgendes abdecken:

Risikobewertung und Systemschutz
Vorfallserkennung und -reaktion
Geschäftskontinuität und Krisenmanagement
Risikokontrollen für die Lieferkette nach NIS-2 in Litauen
Sichere Beschaffung und Entwicklung von IKT-Systemen
Zugriffskontrolle und Identitätsmanagement
Verschlüsselung und kryptografische Schutzmaßnahmen
Verfahren für das Schwachstellenmanagement
Schulungen zur Cybersicherheit für Mitarbeitende

Die Maßnahmen müssen dem Stand der Technik und der Risikobelastung der Organisation entsprechen. Eine Ausrichtung an ISO/IEC 27001 und an litauischen Leitlinien zur Cybersicherheit wird empfohlen.

Die Überwachung der Lieferkette umfasst Lieferanten-Due-Diligence und vertragliche Vorkehrungen zur Cybersicherheit.

7. Managementhaftung und Governance in Litauen

Leitungsorgane müssen Maßnahmen zum Management von Cybersicherheitsrisiken formell genehmigen und deren Umsetzung überwachen.

Nach dem Rechtsrahmen Litauens:

Leitungsorgane sind für die Überwachung der Compliance verantwortlich.
Die oberste Leitung muss ausreichende Cybersicherheitskompetenzen sicherstellen.
Verwaltungsrechtliche Sanktionen können Governance-Versäumnisse ahnden.
Eine vorübergehende Aussetzung von Leitungsfunktionen kann im Rahmen richtlinienkonformer Durchsetzungsmechanismen vorgesehen sein.

Die Erwartungen zur Managementhaftung nach der NIS-2-Richtlinie in Litauen heben die Cybersicherheits-Governance auf eine Verantwortung der Führungsebene.

8. Meldepflichten bei Sicherheitsvorfällen in Litauen

Definition eines erheblichen Sicherheitsvorfalls

Ein Vorfall ist meldepflichtig, wenn er Folgendes verursacht:

Schwere Betriebsstörung
Erheblicher finanzieller Verlust
Erhebliche gesellschaftliche Auswirkungen
Grenzüberschreitende Auswirkungen

Meldezeitplan

Meldestufe	Frist	Behörde
Frühwarnung	24 Stunden	National Cyber Security Centre (NCSC Lithuania)
Vorfallsmeldung	72 Stunden	National Cyber Security Centre (NCSC Lithuania)
Abschlussbericht	1 Monat	National Cyber Security Centre (NCSC Lithuania)

9. Aufsichtsbehörden und Durchsetzungsmodell in Litauen

Primär zuständige Behörde: National Cyber Security Centre (NCSC Litauen).

Litauen verfolgt ein zentrales Aufsichtsmodell, koordiniert durch das NCSC, wobei bei Bedarf sektorspezifische Aufsichtsbehörden einbezogen werden.

Aufsichtsbefugnisse umfassen:

Aufforderungen zur Vorlage von Unterlagen und Informationen
Sicherheitsaudits
Vor-Ort-Kontrollen
Verbindliche Anweisungen zur Einhaltung der Vorschriften
Teilnahme an den Koordinierungsmechanismen der EU für die Cybersicherheit

Die Durchsetzungsstruktur steht im Einklang mit den Kooperationsanforderungen auf Ebene der Richtlinie.

10. NIS2-Bußgelder und Sanktionen in Litauen

Litauen wendet richtlinienkonforme verwaltungsrechtliche Sanktionen an.

Wesentliche Einrichtungen

Bis zu €10 Millionen oder 2% des weltweiten jährlichen Gesamtumsatzes (je nachdem, welcher Betrag höher ist)

Wichtige Einrichtungen

Bis zu €7 Millionen oder 1.4% des weltweiten jährlichen Gesamtumsatzes (je nachdem, welcher Betrag höher ist)

Neben Geldbußen kann die NIS2-Durchsetzung in Litauen auch Folgendes umfassen:

Verbindliche Abhilfeanordnungen
Öffentliche Benennung nicht konformer Einrichtungen
Aussetzung von Genehmigungen oder Zertifizierungen
Befugnis zur Suspendierung von Mitgliedern der Leitungsorgane

Strafrechtliche Haftung gilt nur, wenn sie ausdrücklich nach litauischem Recht vorgesehen ist.

11. NIS2-Lieferketten- und Lieferantensicherheit in Litauen

Einrichtungen müssen die Cybersicherheitsrisiken durch Dritte mittels folgender Maßnahmen steuern:

Risikobewertungen von Lieferanten
Vertragliche Bestimmungen zur Weitergabe von Sicherheitsanforderungen
Kontinuierliche Überwachung von IKT-Lieferanten
Konzentrationsrisikoanalyse
Eindämmung der Ausbreitung von Sicherheitsvorfällen

Der Ansatz Litauens entspricht den grundlegenden Erwartungen der Richtlinie an das Lieferantenrisikomanagement.

12. Pflichten zur Registrierung und Selbstidentifizierung in Litauen

Einrichtungen im Anwendungsbereich müssen:

Bei den zuständigen Behörden registrieren
Angaben zur Unternehmensidentität bereitstellen
Sektorzuordnung offenlegen
Meldekontakte auf dem neuesten Stand halten

Verfahrensfristen richten sich nach Litauens Umsetzungsrahmen. Nach dem aktuellen Stand der Umsetzung folgt Litauen dem Basisrahmen der NIS-2-Richtlinie. Nationale Umsetzungsdetails können spezifische Verpflichtungen konkretisieren.

Selbstidentifizierung ist verpflichtend, sofern Einrichtungen die gesetzlichen Schwellenwerte erreichen oder überschreiten.

13. Zusammenspiel mit der DSGVO und anderen Gesetzen in Litauen

Die Datenschutz-Grundverordnung (DSGVO) ist weiterhin parallel anwendbar.

Überschneidungen betreffen insbesondere:

72-Stunden-Meldung einer Verletzung des Schutzes personenbezogener Daten
Koordinierung der Aufsichtsbehörden

14. Grenzüberschreitende Anwendbarkeit

Einrichtungen mit ihrer Hauptniederlassung in Litauen werden für grenzüberschreitende Dienstleistungen von den litauischen Behörden beaufsichtigt.

Ausländische Anbieter digitaler Dienste, die in Litauen Dienstleistungen erbringen, können je nach Niederlassungsstruktur nationalen Verpflichtungen unterliegen.

Vertretungsanforderungen richten sich nach den Vorgaben der Richtlinie für Anbieter aus Drittstaaten, die den litauischen Markt bedienen.

15. Umsetzungszeitplan in Litauen

Annahme der Richtlinie: 2022
Nationale gesetzgeberische Änderungen: 2024–2025
Inkrafttreten: Mit nationaler Veröffentlichung
Notifizierung der Kommission: Gemäß den EU-Verfahren
Meilenstein für die Einhaltung: Richtlinienkonforme Fristen

Litauens Umsetzungszeitplan steht im Einklang mit den EU-Umsetzungsanforderungen.

16. Zentrale Erkenntnisse für KMU in Litauen

Mittlere Einrichtungen in erfassten Sektoren fallen automatisch in den Geltungsbereich.
Kleine Einrichtungen können bestimmt werden, wenn sie für die nationale oder wirtschaftliche Stabilität kritisch sind.
Überwachung der Governance auf Ebene des Leitungsorgans ist verpflichtend.
Die Vorfallmeldung folgt Fristen von 24h / 72h / 1 Monat.
Geldbußen können bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes betragen.
Risikomanagement für Lieferanten ist erforderlich.
Frühzeitige Compliance-Planung senkt das Risiko behördlicher Durchsetzungsmaßnahmen.

FAQ: NIS2-Leitfaden für KMU in Litauen

Gilt die NIS-2-Richtlinie für kleine Unternehmen in Litauen?

Kleine Unternehmen sind grundsätzlich ausgenommen, es sei denn, sie werden benannt oder sind in hochkritischen Sektoren tätig. Mittelgroße Unternehmen, die die Größenschwellen erfüllen, sind automatisch erfasst.

Welche NIS-2-Geldbußen gelten in Litauen?

Für wesentliche Einrichtungen können Geldbußen bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes verhängt werden. Für wichtige Einrichtungen bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes.

Ab wann gilt die NIS-2-Richtlinie in Litauen?

Litauen ändert sein Gesetz über die Cybersicherheit, um es an die Richtlinie anzupassen. Das Inkrafttreten erfolgt nach der nationalen Gesetzesverkündung.

Wer setzt die NIS-2-Richtlinie in Litauen durch?

Das National Cyber Security Centre (NCSC Lithuania) fungiert als primäre Aufsichtsbehörde und koordiniert, soweit zutreffend, mit Sektoraufsichten.

Können Mitglieder der Leitungsorgane unter der NIS-2-Richtlinie in Litauen persönlich haftbar sein?

Leitungsorgane müssen Cybersicherheitsmaßnahmen genehmigen und überwachen. Verwaltungsrechtliche Durchsetzungsinstrumente können in schweren Fällen die vorübergehende Untersagung der Ausübung von Leitungsfunktionen umfassen.

Worin unterscheidet sich die NIS-2-Richtlinie in Litauen von der DSGVO?

Die NIS-2-Richtlinie regelt die Cybersicherheitsresilienz und das operationelle Risikomanagement, während die DSGVO den Schutz personenbezogener Daten regelt. Beide Rahmenwerke können nach einem Cybervorfall anwendbar sein.

Was gilt als erheblicher Vorfall nach der NIS-2-Richtlinie in Litauen?

Ein Vorfall, der schwere Betriebsstörungen, erhebliche finanzielle Verluste, gesellschaftliche Auswirkungen oder grenzüberschreitende Folgen verursacht, erfüllt in der Regel die Meldeschwelle.