NIS2 in Luxemburg

1. Schneller Überblick zur Anwendbarkeit für KMU in Luxemburg

Gilt NIS2 für KMU in Luxemburg?

Ja — abhängig von Sektor und Größe.

• Automatische Anwendbarkeit auf mittelgroße Einrichtungen (≥50 Beschäftigte und ≥€10 Millionen Umsatz oder Bilanzsumme) in erfassten Sektoren.
• Kleine oder Kleinst-Einrichtungen sind nur einbezogen, wenn sie förmlich benannt werden oder in hochkritischen Sektoren tätig sind.
• Gilt für Unternehmen mit Sitz in Luxemburg und in bestimmten Fällen für ausländische digitale Anbieter, die den luxemburgischen Markt bedienen.

KMU sollten ihre Einstufung im Rahmen des nationalen Cybersicherheitsrahmens Luxemburgs anhand der Sektorklassifizierung und gesetzlicher Schwellenwerte prüfen.

2. Überblick über die Umsetzung von NIS2 in Luxemburg

Luxemburg setzt die Richtlinie durch Änderungen an der Law on Measures for a High Common Level of Security of Network and Information Systems um, die die nationalen Cybersicherheitsverpflichtungen regelt.

Der überarbeitete Rechtsrahmen bringt das luxemburgische Regime in Einklang mit der Directive (EU) 2022/2555 und verschärft Anforderungen in Bezug auf Governance, Risikomanagement, Vorfallmeldung, Aufsicht und Sanktionen.

Die Umsetzung baut auf Luxemburgs etabliertem Cybersicherheits-Aufsichtsmodell auf und erweitert gleichzeitig den Anwendungsbereich im Einklang mit EU-Standards.

3. Anwendungsbereich in Luxemburg

Der Anwendungsbereich in Luxemburg spiegelt die Mindestsektorkategorien der Richtlinie wider, ohne bestätigte strukturelle Erweiterung.

4. Größenschwellen und Anwendbarkeit für KMU in Luxemburg

Die Basisschwellen gelten:

• ≥50 Beschäftigte und
• ≥€10 Millionen Jahresumsatz oder Bilanzsumme.

Einrichtungen, die beide Kriterien in den erfassten Sektoren erfüllen, fallen automatisch in den Anwendungsbereich.

Kleine und Kleinstunternehmen können benannt werden, wenn sie als kritisch für die nationale Sicherheit, die wirtschaftliche Stabilität oder die Aufrechterhaltung wesentlicher Dienste gelten.

Die luxemburgischen Behörden behalten formelle Benennungsbefugnisse, wenn systemisches Risiko eine Einbeziehung rechtfertigt.

5. Klassifizierungsrahmen für Einrichtungen in Luxemburg

Einrichtungen werden wie folgt kategorisiert:

• Wesentliche Einrichtungen — Unterliegen einer proaktiven Aufsicht, einschließlich Inspektionen und strukturierter Compliance-Überwachung.
• Wichtige Einrichtungen — Unterliegen vor allem einer reaktiven Aufsicht, die durch erhebliche Vorfälle oder Compliance-Bedenken ausgelöst wird.

Die Einstufung richtet sich nach Sektor und Größe. Behörden können Einrichtungen neu einstufen, wenn betriebliche Auswirkungen oder Risikobelastung eine verstärkte Aufsicht rechtfertigen.

Luxembourg folgt der zweistufigen Aufsichtsstruktur der Directive.

6. Anforderungen an das Cybersicherheits-Risikomanagement in Luxembourg

Das nationale Regelwerk von Luxembourg steht im Einklang mit den Grundanforderungen der Directive für das Cybersicherheits-Risikomanagement. Erfasste Einrichtungen müssen angemessene technische und organisatorische Maßnahmen umsetzen, die Folgendes adressieren:

• Risikobewertung und Systemschutz
• Erkennung und Reaktion auf Sicherheitsvorfälle
• Geschäftskontinuität und Krisenmanagement
• NIS2‑Lieferketten‑Risikokontrollen in Luxembourg
• Sichere Beschaffung und Entwicklung von ICT‑Systemen
• Zugriffskontrolle und Identitätsmanagement
• Verschlüsselung und kryptografische Schutzmechanismen
• Verfahren zum Schwachstellenmanagement
• Schulungen zur Cybersicherheit für Mitarbeitende

Die Maßnahmen müssen dem Stand der Technik entsprechen und die Risikobelastung der Organisation berücksichtigen. Eine Ausrichtung an ISO/IEC 27001 und den Cybersicherheitsleitlinien von Luxembourg wird empfohlen.

7. Haftung der Leitungsorgane und Governance in Luxemburg

Leitungsorgane müssen Maßnahmen des Cybersecurity-Risikomanagements formell genehmigen und deren Umsetzung überwachen.

Nach dem luxemburgischen Rechtsrahmen:

• Leitungs- und Aufsichtsgremien sind für die Überwachung der Compliance verantwortlich.
• Das Top-Management muss für ausreichende Cybersecurity-Kompetenz sorgen.
• Verwaltungsrechtliche Sanktionen können Governance-Versäumnisse ahnden.
• Eine vorübergehende Aussetzung von Leitungsfunktionen kann im Rahmen richtlinienkonformer Durchsetzungsmechanismen vorgesehen sein.

Die NIS2-Erwartungen zur Managementhaftung in Luxemburg machen die Cybersecurity-Governance zu einer Verantwortung auf Ebene der Geschäftsleitung.

8. Meldepflichten für Incidents in Luxemburg

9. Aufsichtsbehörden und Durchsetzungsmodell in Luxemburg

Zuständige Hauptbehörde: High Commission for National Protection (HCPN).

Luxemburg betreibt ein zentrales Aufsichtsmodell, koordiniert durch die HCPN, wobei sektorspezifische Regulierungsbehörden bei Bedarf einbezogen werden.

Aufsichtsbefugnisse umfassen:

• Anforderungen von Unterlagen und Informationen
• Sicherheitsaudits
• Vor-Ort-Inspektionen
• Verbindliche Compliance-Anweisungen
• Teilnahme an EU-Koordinierungsmechanismen für Cybersicherheit

Die Durchsetzungsstruktur ist auf Kooperationsanforderungen auf Richtlinienebene ausgerichtet.

10. NIS2-Geldbußen und Sanktionen in Luxemburg

Luxemburg wendet richtlinienkonforme Verwaltungssanktionen an.

NIS2-Geldbußen: Die Durchsetzung in Luxemburg kann außerdem Folgendes umfassen:

• Verbindliche Anordnungen zu Abhilfemaßnahmen
• Öffentliche Benennung nicht konformer Einrichtungen
• Aussetzung von Genehmigungen oder Zertifizierungen
• Befugnisse zur Suspendierung der Geschäftsleitung

Bis zu €7 Millionen oder 1,4 % des weltweiten Gesamtjahresumsatzes (je nachdem, welcher Betrag höher ist)

11. NIS2-Lieferkette und Lieferantensicherheit in Luxemburg

Einrichtungen müssen die Cybersicherheitsrisiken durch Dritte mittels:

• Risikobewertungen von Lieferanten
• Vertragliche Sicherheits-Flow-down-Bestimmungen
• Kontinuierliche Überwachung von IKT-Lieferanten
• Analyse von Konzentrationsrisiken
• Eindämmung der Vorfallausbreitung

Der Ansatz Luxemburgs entspricht den grundlegenden Erwartungen der Richtlinie hinsichtlich des Lieferantenrisikomanagements.

12. Registrierungs- und Selbstidentifizierungspflichten in Luxemburg

Einrichtungen im Geltungsbereich müssen:

• Sich bei den zuständigen Behörden registrieren
• Unternehmensidentifikationsangaben bereitstellen
• Sektorklassifizierung offenlegen
• Aktuelle Meldekontakte pflegen

Verfahrensfristen richten sich nach dem Umsetzungsrahmen von Luxembourg. Nach dem aktuellen Stand der Umsetzung folgt Luxembourg dem Baseline-Rahmen der NIS2 Directive. Nationale Umsetzungsdetails können spezifische Pflichten präzisieren.

Die Selbstidentifizierung ist verpflichtend, wenn Einrichtungen gesetzliche Schwellenwerte erfüllen.

13. Wechselwirkung mit der GDPR und anderen Gesetzen in Luxembourg

Die General Data Protection Regulation gilt weiterhin parallel.

Überschneidungen umfassen:

• 72-Stunden-Meldung bei Verletzungen personenbezogener Daten
• Koordinierung mit Aufsichtsbehörden
• Parallele Untersuchungen im Bereich Cybersicherheit und Datenschutz
• Sektorspezifische Cybersicherheitsgesetzgebung in Luxembourg

Ein Cybervorfall kann Meldepflichten nach beiden Regimen auslösen.

14. Grenzüberschreitende Anwendbarkeit

Einheiten mit ihrer Hauptniederlassung in Luxembourg werden für grenzüberschreitende Dienstleistungen von Behörden in Luxembourg beaufsichtigt.

Ausländische digitale Anbieter, die Dienstleistungen in Luxembourg erbringen, können abhängig von der Niederlassungsstruktur nationalen Verpflichtungen unterliegen.

Vertretungsanforderungen folgen den Directive-Standards für Nicht-EU-Anbieter, die den Luxembourg-Markt bedienen.

15. Umsetzungszeitplan in Luxembourg

• Annahme der Richtlinie: 2022
• Nationale Gesetzesänderungen: 2024–2025
• Inkrafttreten: Mit nationaler Veröffentlichung
• Commission-Notifizierung: Gemäß EU-Verfahren
• Compliance-Meilenstein: Directive-konforme Fristen

Der Umsetzungszeitplan von Luxembourg steht im Einklang mit den EU-Umsetzungsanforderungen.

16. Wichtigste Erkenntnisse für KMU in Luxemburg

• Mittelgroße Unternehmen in erfassten Sektoren fallen automatisch in den Anwendungsbereich.
• Kleine Unternehmen können benannt werden, wenn sie für die nationale oder wirtschaftliche Stabilität kritisch sind.
• Aufsicht auf Ebene der Geschäftsleitung ist verpflichtend.
• Die Vorfallmeldung folgt Fristen von 24 h / 72 h / 1 Monat.
• Finanzielle Sanktionen können bis zu €10 Millionen oder 2 % des weltweiten Umsatzes erreichen.
• Lieferantenrisikomanagement ist erforderlich.
• Frühzeitige Compliance-Planung verringert das Risiko behördlicher Maßnahmen.

FAQ: NIS2 Luxemburg KMU-Leitfaden