NIS2 in Slowenien

1. Schnellüberblick zur Anwendbarkeit für KMU in Slowenien

Gilt NIS2 für KMU in Slowenien?

Ja — abhängig von Sektor und Größe.

• Automatische Anwendbarkeit auf mittelgroße Einrichtungen (≥50 Beschäftigte und ≥€10 Millionen Umsatz oder Bilanzsumme) in erfassten Sektoren.
• Kleine oder Kleinst-Einrichtungen sind nur einbezogen, wenn sie förmlich benannt werden oder in hochkritischen Sektoren tätig sind.
• Gilt für in Slowenien niedergelassene Rechtsträger und in bestimmten Fällen für ausländische digitale Anbieter, die den slowenischen Markt bedienen.

KMU sollten ihre Einstufung im nationalen Cybersicherheitsrahmen Sloweniens anhand der Sektorklassifizierung und gesetzlicher Schwellenwerte prüfen.

2. Überblick über die NIS2-Umsetzung in Slowenien

Slowenien setzt die Richtlinie durch Änderungen des Information Security Act um, der die nationalen Cybersicherheitsanforderungen regelt.

Der überarbeitete Rechtsrahmen bringt das slowenische Regelwerk mit der Directive (EU) 2022/2555 in Einklang und verschärft die Anforderungen hinsichtlich Governance, Cybersicherheits-Risikomanagement, Vorfallmeldung, aufsichtsrechtlicher Überwachung und verwaltungsrechtlicher Sanktionen.

Die Umsetzung baut auf der etablierten Cybersicherheitsaufsichtsstruktur Sloweniens auf und erweitert zugleich den Anwendungsbereich im Einklang mit EU-Standards.

3. Anwendungsbereich in Slowenien

Der slowenische Anwendungsbereich spiegelt die Mindestsektorkategorien der Directive wider, ohne bestätigte strukturelle Erweiterung.

4. Größenschwellenwerte und Anwendbarkeit auf SME in Slowenien

Die Basisschwellen gelten:

• ≥50 Beschäftigte und
• ≥€10 Millionen Jahresumsatz oder Bilanzsumme.

Einrichtungen, die beide Kriterien innerhalb der erfassten Sektoren erfüllen, fallen automatisch in den Anwendungsbereich.

Kleine und Kleinstunternehmen können benannt werden, wenn sie als kritisch für die nationale Sicherheit, die wirtschaftliche Stabilität oder die Kontinuität wesentlicher Dienste erachtet werden.

Die slowenischen Behörden behalten formelle Benennungsbefugnisse bei, wenn systemisches Risiko eine Einbeziehung rechtfertigt.

5. Klassifizierungsrahmen für Einrichtungen in Slowenien

Einrichtungen werden wie folgt kategorisiert:

• Wesentliche Einrichtungen — Unterliegen einer proaktiven Aufsicht, einschließlich Inspektionen und strukturiertem Compliance‑Monitoring.
• Wichtige Einrichtungen — In erster Linie einer reaktiven Aufsicht unterworfen, die durch schwerwiegende Vorfälle oder Compliance‑Bedenken ausgelöst wird.

Die Einstufung richtet sich nach Sektor und Größe. Behörden können Einrichtungen neu einstufen, wenn betriebliche Auswirkungen oder die Risikobelastung eine verstärkte Aufsicht rechtfertigen.

Slowenien folgt der zweistufigen Aufsichtsstruktur der Richtlinie.

6. Anforderungen an das Cybersicherheits-Risikomanagement in Slowenien

Das nationale Regime Sloweniens steht im Einklang mit der Baseline der Richtlinie für das Cybersicherheits-Risikomanagement. In den Anwendungsbereich fallende Einrichtungen müssen verhältnismäßige technische und organisatorische Maßnahmen umsetzen, die Folgendes abdecken:

• Risikoanalyse und Systemschutz
• Vorfallserkennung und -reaktion
• Geschäftskontinuität und Krisenmanagement
• NIS2 Supply-Chain-Risikokontrollen in Slowenien
• Sichere Beschaffung und Entwicklung von IKT-Systemen
• Zugriffskontrolle und Identitätsmanagement
• Verschlüsselung und kryptografische Schutzmaßnahmen
• Prozesse zum Schwachstellenmanagement
• Schulungen zur Cybersicherheit für Beschäftigte

Die Maßnahmen müssen dem Stand der Technik und der Risikobelastung der Organisation entsprechen. Eine Ausrichtung an ISO/IEC 27001 und an slowenischen Leitlinien zur Cybersicherheit wird empfohlen.

7. Managementhaftung und Governance in Slowenien

Leitungsorgane müssen Maßnahmen des Cybersicherheits-Risikomanagements formell genehmigen und deren Umsetzung überwachen.

Im slowenischen Rechtsrahmen:

• Leitungsorgane sind für die Überwachung der Compliance verantwortlich.
• Das obere Management muss für ausreichende Kompetenz in der Cybersicherheit sorgen.
• Verwaltungssanktionen können Governance-Versäumnisse ahnden.
• Eine vorübergehende Aussetzung von Leitungsfunktionen kann im Rahmen von an die Directive ausgerichteten Durchsetzungsmechanismen vorgesehen sein.

Die Erwartungen in Slowenien an die NIS2-Managementhaftung heben die Cybersicherheits-Governance auf eine Verantwortung auf Führungsebene.

8. Meldepflichten für Sicherheitsvorfälle in Slowenien

9. Aufsichtsbehörden und Durchsetzungsmodell in Slowenien

Primär zuständige Behörde: Information Security Administration (URSIV).

Slowenien betreibt ein zentrales Aufsichtsmodell, das von URSIV koordiniert wird, wobei sektorspezifische Regulierungsbehörden bei Bedarf eingebunden werden.

Aufsichtsbefugnisse umfassen:

• Anforderungen von Unterlagen und Informationen
• Sicherheitsaudits
• Vor-Ort-Inspektionen
• Verbindliche Anordnungen zur Einhaltung
• Teilnahme an Koordinierungsmechanismen der EU zur Cybersicherheit

Die Durchsetzungsstruktur entspricht den Kooperationsanforderungen auf Richtlinienebene.

10. NIS2-Bußgelder und Sanktionen in Slowenien

Slowenien wendet richtlinienkonforme verwaltungsrechtliche Sanktionen an.

Neben Geldbußen kann die NIS2-Durchsetzung in Slowenien auch Folgendes umfassen:

• Verbindliche Anordnungen zur Abhilfe
• Öffentliche Bekanntgabe der Identität nicht konformer Einrichtungen
• Aussetzung von Genehmigungen oder Zertifizierungen
• Befugnisse zur Suspendierung von Leitungspersonen

Bis zu 7 Mio. € oder 1,4 % des gesamten weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist)

11. NIS2-Lieferketten- und Lieferantensicherheit in Slowenien

Einrichtungen müssen Cybersicherheitsrisiken durch Dritte mittels folgender Maßnahmen steuern:

• Lieferantenrisikobewertungen
• Vertragliche Flow-down-Klauseln zu Sicherheitsanforderungen
• Kontinuierliche ICT-Lieferantenüberwachung
• Analyse von Konzentrationsrisiken
• Eindämmung der Ausbreitung von Incidents

Der Ansatz Sloweniens entspricht den grundlegenden Erwartungen der Richtlinie hinsichtlich des Lieferantenrisikomanagements.

12. Registrierungs- und Selbstidentifizierungspflichten in Slowenien

Einrichtungen im Anwendungsbereich müssen:

• Sich bei den zuständigen Behörden registrieren
• Angaben zur Unternehmensidentität bereitstellen
• Sektorzugehörigkeit offenlegen
• Aktuelle Kontaktstellen für Meldungen vorhalten

Verfahrensfristen richten sich nach dem Umsetzungsrahmen von Slovenia. Nach dem aktuellen Umsetzungsstand folgt Slovenia dem Basisrahmen der NIS2 Directive. Nationale Umsetzungsdetails können einzelne Pflichten präzisieren.

Selbstidentifizierung ist verpflichtend, wenn Einrichtungen gesetzliche Schwellenwerte erfüllen.

13. Interaktion mit GDPR und anderen Gesetzen in Slovenia

Die General Data Protection Regulation gilt weiterhin parallel.

Überschneidungen umfassen:

• 72-Stunden-Meldung von Verletzungen des Schutzes personenbezogener Daten
• Koordinierung der Aufsichtsbehörden

14. Grenzüberschreitende Anwendbarkeit

Einrichtungen mit ihrer Hauptniederlassung in Slowenien werden für grenzüberschreitende Dienste von den slowenischen Behörden beaufsichtigt.

Ausländische digitale Anbieter, die in Slowenien Dienste erbringen, können je nach Niederlassungsstruktur nationalen Pflichten unterliegen.

Die Vertretungsanforderungen folgen den Richtlinienstandards für Nicht-EU-Anbieter, die den slowenischen Markt bedienen.

15. Umsetzungszeitplan in Slowenien

• Annahme der Richtlinie: 2022
• Nationale Gesetzesänderungen: 2024–2025
• Inkrafttreten: Mit nationaler Veröffentlichung
• Notifizierung an die Kommission: Gemäß EU-Verfahren
• Compliance-Meilenstein: Richtlinienkonforme Fristen

Der Umsetzungszeitplan Sloweniens steht im Einklang mit den EU-Umsetzungsanforderungen.

16. Kernpunkte für KMU in Slowenien

• Mittelgroße Unternehmen in erfassten Sektoren fallen automatisch in den Anwendungsbereich.
• Kleine Unternehmen können benannt werden, wenn sie für die nationale oder wirtschaftliche Stabilität kritisch sind.
• Governance-Aufsicht auf Vorstandsebene ist verpflichtend.
• Die Meldung von Vorfällen folgt Fristen von 24h / 72h / 1 Monat.
• Finanzielle Sanktionen können bis zu 10 Mio. € oder 2% des weltweiten Umsatzes erreichen.
• Lieferantenrisikomanagement ist erforderlich.
• Frühe Compliance-Planung verringert das Durchsetzungsrisiko.

FAQ: NIS2-KMU-Leitfaden für Slowenien