NIS2 in Malta

Leitfaden zur NIS2-Umsetzung und -Compliance in Malta.

Dieses Dokument enthält Informationen mit Stand Februar 2026. Obwohl alle zumutbaren Schritte unternommen wurden, um die Richtigkeit der Inhalte zu überprüfen, werden die Informationen ohne Gewähr für Vollständigkeit oder Richtigkeit bereitgestellt und können Änderungen unterliegen. Obgleich wir beabsichtigen, diese Inhalte regelmäßig zu aktualisieren, wird empfohlen, kritische Informationen eigenständig zu verifizieren.

Malta stärkt sein nationales Cybersicherheitsrahmenwerk, um es an die im Rahmen der NIS2 Directive eingeführten erweiterten Pflichten anzugleichen. Das überarbeitete Regime erweitert die sektorale Abdeckung, formalisiert die Verantwortlichkeit der Geschäftsleitung und stärkt Aufsichts- und Durchsetzungsmechanismen. Dieser Leitfaden bietet einen strukturierten Überblick über die NIS2-Compliance-Anforderungen in Malta für SMEs, die in erfassten Sektoren tätig sind.

1. Schneller Überblick zur Anwendbarkeit auf SMEs in Malta

Gilt NIS2 für KMU in Malta?

Ja — abhängig von Sektor und Größe.

Automatische Anwendbarkeit auf mittelgroße Einrichtungen (≥50 Beschäftigte und ≥€10 Millionen Umsatz oder Bilanzsumme) in erfassten Sektoren.
Kleine oder Kleinst-Einrichtungen sind nur einbezogen, wenn sie förmlich benannt werden oder in hochkritischen Sektoren tätig sind.
Gilt für in Malta niedergelassene Einheiten und in bestimmten Fällen für ausländische digitale Anbieter, die den maltesischen Markt bedienen.

SMEs sollten ihre Einstufung im Rahmen des nationalen Cybersicherheitsrahmens Maltas anhand der Sektorzuordnung und gesetzlicher Schwellenwerte prüfen.

2. Überblick über die Umsetzung der NIS2 in Malta

Malta setzt die Richtlinie durch Änderungen am Critical Information Infrastructure Protection Act und an damit zusammenhängenden Cybersicherheitsvorschriften um.

Der aktualisierte Rechtsrahmen bringt Maltas Regelwerk in Einklang mit Directive (EU) 2022/2555 und stärkt die Pflichten in Bezug auf Governance, Risikomanagement, Meldung von Sicherheitsvorfällen, aufsichtsrechtliche Überwachung und Sanktionen.

Die Umsetzung baut auf Maltas etablierter Cybersicherheits-Aufsichtsstruktur auf und erweitert zugleich den Anwendungsbereich im Einklang mit EU-Standards.

3. Anwendungsbereich in Malta

Wesentliche Einrichtungen

Einrichtungen, die in hochkritischen Sektoren tätig sind:

Wichtige Einrichtungen

Einrichtungen, die in anderen aufgeführten Sektoren tätig sind:

Der maltesische Anwendungsbereich spiegelt die Mindestsektorkategorien der Richtlinie wider, ohne bestätigte strukturelle Erweiterung.

4. Größenschwellen und Anwendbarkeit auf KMU in Malta

Die Basisschwellen gelten:

≥50 Beschäftigte und
≥€10 Millionen Jahresumsatz oder Bilanzsumme.

Einrichtungen, die beide Kriterien in erfassten Sektoren erfüllen, fallen automatisch in den Anwendungsbereich.

Kleine und Kleinstunternehmen können benannt werden, wenn sie als kritisch für die nationale Sicherheit, die wirtschaftliche Stabilität oder die Aufrechterhaltung wesentlicher Dienste gelten.

Die maltesischen Behörden behalten formelle Benennungsbefugnisse, wenn systemisches Risiko eine Einbeziehung rechtfertigt.

5. Klassifizierungsrahmen für Einrichtungen in Malta

Einrichtungen werden wie folgt kategorisiert:

Wesentliche Einrichtungen — Unterliegen einer proaktiven Aufsicht, einschließlich Inspektionen und strukturierter Compliance-Überwachung.
Wichtige Einrichtungen — Unterliegen in erster Linie einer reaktiven Aufsicht, die durch schwerwiegende Vorfälle oder Compliance-Bedenken ausgelöst wird.

Die Einstufung wird durch Sektor und Größe bestimmt. Behörden können Einrichtungen neu klassifizieren, wenn operative Auswirkungen oder Risikobelastung eine verstärkte Aufsicht rechtfertigen.

Malta folgt der zweistufigen Aufsichtsstruktur der Richtlinie.

6. Anforderungen an das Cybersicherheits-Risikomanagement in Malta

Maltas nationales Regelwerk entspricht der in der Richtlinie festgelegten Baseline für das Cybersicherheits-Risikomanagement. In den Geltungsbereich fallende Einrichtungen müssen verhältnismäßige technische und organisatorische Maßnahmen umsetzen, die Folgendes adressieren:

Risikoanalyse und Systemschutz
Erkennung und Reaktion auf Sicherheitsvorfälle
Geschäftskontinuität und Krisenmanagement
NIS2-Lieferketten-Risikokontrollen in Malta
Sichere Beschaffung und Entwicklung von ICT-Systemen
Zugriffskontrolle und Identitätsverwaltung
Verschlüsselung und kryptografische Schutzmaßnahmen
Verfahren zum Schwachstellenmanagement
Mitarbeiterschulungen zur Cybersicherheit

Maßnahmen müssen dem Stand der Technik und der organisatorischen Risikobelastung entsprechen. Eine Ausrichtung an ISO/IEC 27001 und maltesischen Leitlinien zur Cybersicherheit wird empfohlen.

Die Überwachung der Lieferkette umfasst Lieferanten-Due-Diligence und vertragliche Cybersicherheits-Schutzmaßnahmen.

7. Haftung der Geschäftsleitung und Governance in Malta

Leitungsorgane müssen Maßnahmen des Cybersicherheits-Risikomanagements formell genehmigen und deren Umsetzung überwachen.

Nach dem maltesischen Rechtsrahmen:

Verwaltungs- bzw. Aufsichtsgremien sind für die Überwachung der Compliance verantwortlich.
Das obere Management muss ausreichende Cybersicherheitskompetenz sicherstellen.
Verwaltungssanktionen können Governance-Versäumnisse ahnden.
Die vorübergehende Aussetzung von Leitungsfunktionen kann im Rahmen richtlinienkonformer Durchsetzungsmechanismen vorgesehen sein.

Die maltesischen Erwartungen zur NIS2-Managementhaftung erheben die Cybersicherheits-Governance zur Verantwortung auf Führungsebene.

8. Meldepflichten für Sicherheitsvorfälle in Malta

Definition eines erheblichen Sicherheitsvorfalls

Ein Vorfall gilt als meldepflichtig, wenn er Folgendes verursacht:

Schwere Betriebsstörung
Erheblicher finanzieller Verlust
Erhebliche gesellschaftliche Auswirkungen
Grenzüberschreitende Auswirkungen

Meldezeitplan

Meldestufe	Frist	Behörde
Frühwarnung	24 Stunden	Critical Infrastructure Protection Department (CIPD)
Vorfallsmeldung	72 Stunden	Critical Infrastructure Protection Department (CIPD)
Abschlussbericht	1 Monat	Critical Infrastructure Protection Department (CIPD)

Malta folgt der Richtlinienstruktur für NIS2-Meldefristen. Sektorspezifische Regulierungsbehörden können gegebenenfalls mit dem CIPD koordinieren.

9. Aufsichtsbehörden und Durchsetzungsmodell in Malta

Zuständige Hauptbehörde: Critical Infrastructure Protection Department (CIPD).

Malta betreibt ein zentrales Aufsichtsmodell, das vom CIPD koordiniert wird; sektorspezifische Regulierungsbehörden werden bei Bedarf einbezogen.

Aufsichtsbefugnisse umfassen:

Anforderungen von Unterlagen und Informationen
Sicherheitsaudits
Vor-Ort-Inspektionen
Verbindliche Compliance-Anordnungen
Mitwirkung an EU-Koordinierungsmechanismen zur Cybersicherheit

Die Durchsetzungsstruktur entspricht den Kooperationsanforderungen auf Richtlinienebene.

10. NIS2-Geldbußen und Sanktionen in Malta

Malta wendet richtlinienkonforme verwaltungsrechtliche Sanktionen an.

Wesentliche Einrichtungen

Bis zu €10 Millionen oder 2% des weltweiten jährlichen Gesamtumsatzes (je nachdem, welcher Betrag höher ist)

Wichtige Einrichtungen

Bis zu €7 Millionen oder 1.4% des weltweiten jährlichen Gesamtumsatzes (je nachdem, welcher Betrag höher ist)

Zusätzlich zu NIS2-Geldbußen kann die Durchsetzung in Malta auch Folgendes umfassen:

Verbindliche Anordnungen zur Abhilfe
Öffentliche Identifizierung nicht konformer Einrichtungen
Aussetzung von Genehmigungen oder Zertifizierungen
Befugnisse zur Suspendierung von Mitgliedern der Leitungsorgane

Strafrechtliche Haftung greift nur, wenn dies ausdrücklich nach maltesischem Recht vorgesehen ist.

11. NIS2-Lieferkette und Lieferantensicherheit in Malta

Einrichtungen müssen die Cybersecurity-Exponierung durch Dritte managen mittels:

Risikobewertungen von Lieferanten
Vertragliche Security-Flow-down-Bestimmungen
Kontinuierliches Monitoring von ICT-Lieferanten
Analyse von Konzentrationsrisiken
Eindämmung der Incident-Ausbreitung

Der Ansatz Maltas entspricht den grundlegenden Erwartungen der Richtlinie in Bezug auf das Lieferantenrisikomanagement.

12. Registrierungs- und Selbstidentifizierungspflichten in Malta

Erfasste Einrichtungen müssen:

Sich bei den zuständigen Behörden registrieren
Angaben zur Unternehmensidentifizierung bereitstellen
Sektorzuordnung offenlegen
Aktualisierte Meldekontakte vorhalten

Verfahrensfristen richten sich nach Maltas Umsetzungsrahmen. Nach dem aktuellen Umsetzungsstand folgt Malta dem Baseline-Rahmen der NIS2 Directive. Nationale Umsetzungsdetails können spezifische Pflichten präzisieren.

Self-identification ist verpflichtend, sofern Einrichtungen die gesetzlichen Schwellenwerte erfüllen.

13. Interaktion mit GDPR und anderen Gesetzen in Malta

Die General Data Protection Regulation gilt weiterhin parallel.

Überschneidungen umfassen:

72-Stunden-Meldung einer Verletzung des Schutzes personenbezogener Daten
Koordinierung der Aufsichtsbehörden
Parallele Untersuchungen zu Cybersicherheit und Datenschutz
Sektorspezifische maltesische Cybersicherheitsgesetzgebung

Ein Cybervorfall kann Meldepflichten nach beiden Rechtsrahmen auslösen.

14. Grenzüberschreitende Anwendbarkeit

Einrichtungen mit ihrer Hauptniederlassung in Malta werden für grenzüberschreitende Dienste durch maltesische Behörden beaufsichtigt.

Ausländische Anbieter digitaler Dienste, die Dienste in Malta erbringen, können je nach Niederlassungsstruktur nationalen Pflichten unterliegen.

Vertretungspflichten richten sich nach den Vorgaben der Richtlinie für Drittstaatenanbieter, die den maltesischen Markt bedienen.

15. Umsetzungszeitplan in Malta

Annahme der Richtlinie: 2022
Nationale Gesetzesänderungen: 2024–2025
Inkrafttreten: Mit nationaler Veröffentlichung
Notifizierung der Kommission: Gemäß den EU-Verfahren
Compliance-Meilenstein: Richtlinienkonforme Fristen

Maltas Umsetzungszeitplan steht im Einklang mit den EU-Umsetzungsvorgaben.

16. Zentrale Punkte für KMU in Malta

Mittelgroße Einrichtungen in erfassten Sektoren fallen automatisch in den Anwendungsbereich.
Kleine Einrichtungen können bestimmt werden, wenn sie für die nationale oder wirtschaftliche Stabilität kritisch sind.
Governance-Aufsicht durch das Leitungsorgan ist verpflichtend.
Vorfallmeldungen erfolgen nach Fristen von 24 h / 72 h / 1 Monat.
Geldbußen können bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes betragen.
Lieferantenrisikomanagement ist erforderlich.
Frühzeitige Compliance-Planung reduziert das Risiko von Durchsetzungsmaßnahmen.

FAQ: NIS2 Malta KMU-Leitfaden

Gilt NIS2 für kleine Unternehmen in Malta?

Kleine Unternehmen sind grundsätzlich ausgenommen, es sei denn, sie werden bestimmt oder sind in hochkritischen Sektoren tätig. Mittelgroße Einrichtungen, die die Größenschwellen erfüllen, sind automatisch erfasst.

Wie hoch sind die NIS2-Bußgelder in Malta?

Essential Entities drohen Geldbußen von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes. Important Entities drohen bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes.

Wann tritt NIS2 in Malta in Kraft?

Malta aktualisiert seine Cybersicherheitsgesetzgebung, um sie an die Richtlinie anzugleichen. Das Inkrafttreten erfolgt nach der nationalen Gesetzesverkündung.

Wer setzt NIS2 in Malta durch?

Das Critical Infrastructure Protection Department (CIPD) fungiert als primäre Aufsichtsbehörde und koordiniert, wo zutreffend, mit den Sektorregulierungsbehörden.

Können Mitglieder des Leitungsorgans unter NIS2 in Malta persönlich haftbar sein?

Leitungsorgane müssen Cybersicherheitsmaßnahmen genehmigen und überwachen. Verwaltungsrechtliche Durchsetzungsinstrumente können in schweren Fällen die Befugnis zur Suspendierung von Führungspersonen umfassen.

Worin unterscheidet sich NIS2 in Malta von GDPR?

NIS2 regelt die Cybersicherheitsresilienz und das operative Risikomanagement, während GDPR den Schutz personenbezogener Daten regelt. Beide Rahmenwerke können nach einem Cybervorfall anwendbar sein.

Was gilt als erheblicher Vorfall nach NIS2 in Malta?

Ein Vorfall, der zu schwerwiegenden Betriebsstörungen, erheblichen finanziellen Verlusten, gesellschaftlichen Auswirkungen oder grenzüberschreitenden Folgen führt, erfüllt in der Regel die Meldepflichtschwelle.