Frankreich ist nach Deutschland der größte Wirtschaftspartner innerhalb der Europäischen Union und ein zentraler Akteur in der europäischen Cybersicherheitsarchitektur. Mit der NIS-2-Richtlinie ((EU) 2022/2555) hat die EU verbindliche Mindeststandards für Cybersicherheit eingeführt, die alle Mitgliedstaaten bis zum 17. Oktober 2024 in nationales Recht umzusetzen hatten. Frankreich hat diese Frist nicht eingehalten – die Transposition ist noch im Gange. Für deutsche Unternehmen mit Tochtergesellschaften oder Lieferanten in Frankreich ist das Thema dennoch von unmittelbarer strategischer Relevanz. Den Gesamtrahmen der NIS-2-Richtlinie und ihre Kernprinzipien erklärt der Leitfaden zu den NIS2-Grundlagen.
Stand der NIS2-Umsetzung in Frankreich
Frankreich gehörte zu den Mitgliedstaaten, die die Umsetzungsfrist der NIS-2-Richtlinie zum 17. Oktober 2024 versäumt haben. Die Europäische Kommission leitete daraufhin förmliche Vertragsverl etzungsverfahren gegen mehrere Länder ein. In Frankreich erfolgt die Transposition im Wege einer parlamentarischen Ermächtigung: Das Parlament hat die Regierung bevollmächtigt, die Richtlinie per Ordonnance – einem exekutiven Erlass mit Gesetzeskraft – in nationales Recht zu überführen. Diese Methode beschleunigt den Gesetzgebungsprozess erheblich gegenüber dem ordentlichen parlamentarischen Verfahren.
Die zuständige Behörde ANSSI (Agence nationale de la sécurité des systèmes d’information) hat den Prozess durch umfangreiche Konsultationsdokumente und Vorbereitungsleitfäden begleitet, die de facto den künftigen Rechtsrahmen vorwegnehmen. Unternehmen, die von NIS2 erfasst werden, werden von ANSSI ausdrücklich ermutigt, die Compliance-Vorbereitungen jetzt zu starten – unabhängig vom formellen Inkrafttreten der nationalen Transpositionsregeln.
Bis zur vollständigen Umsetzung gilt in Frankreich weiterhin das NIS1-Regime, das durch die Ordonnance n° 2018-1150 vom 12. Dezember 2018 eingeführt wurde. Dieses erfasst derzeit rund 500 Opérateurs de Services Essentiels (OSE) in acht Sektoren. Mit NIS2 wird sich die Zahl der regulierten Einrichtungen nach ANSSI-Schätzungen auf 10.000 bis 15.000 Unternehmen und Organisationen erhöhen – eine Ausweitung um das Zwanzigfache.
ANSSI – die zuständige Cybersicherheitsbehörde Frankreichs
Die Agence nationale de la sécurité des systèmes d’information (ANSSI) ist Frankreichs zentrale Behörde für Informationssicherheit und die zuständige Aufsichtsbehörde für NIS2. Sie wurde 2009 per Regierungsdekret (Décret n° 2009-834) gegründet und ist dem Secrétariat général de la défense et de la sécurité nationale (SGDSN) unterstellt, das dem Premierminister direkt berichtet. Diese institutionelle Ansiedlung außerhalb der Fachministerien verleiht ANSSI ressortübergreifende Autorität und strukturelle Unabhängigkeit.
Im Vergleich zur deutschen Behördenstruktur gibt es für grenzüberschreitend tätige Unternehmen einige relevante Unterschiede:
| Merkmal | ANSSI (Frankreich) | BSI (Deutschland) |
|---|---|---|
| Gründungsjahr | 2009 | 1991 |
| Unterstellung | SGDSN / Premierminister | Bundesinnenministerium (BMI) |
| Operativer CSIRT | CERT-FR (intern) | CERT-Bund (intern) |
| Alleinige NIS2-Behörde | Ja (zentral) | Ja (+ sektorale Behörden je nach Sektor) |
| Risikorahmenwerk | EBIOS Risk Manager | BSI-Grundschutz-Kompendium |
| Bußgeldmaximum (wesentliche Einrichtungen) | 10 Mio. € / 2 % Umsatz | 10 Mio. € / 2 % Umsatz |
Als NIS2-Aufsichtsbehörde ist ANSSI zuständig für die Registrierung von wesentlichen und wichtigen Einrichtungen, die Aufsicht über die Erfüllung der Sicherheitsanforderungen nach Artikel 21 NIS2 sowie die Verhängung von Bußgeldern bei Verstößen. Bereits jetzt führt ANSSI sektorbezogene Gespräche mit künftig regulierten Einrichtungen und veröffentlicht praxisnahe Vorbereitungsleitfäden, die der deutschen BSI-Orientierungshilfe vergleichbar sind.
CERT-FR – Anlaufstelle für Cyberfälle und Meldepflichten
CERT-FR (Computer Emergency Response Team – France) ist das nationale CSIRT Frankreichs und operiert als integraler Teil von ANSSI. Es fungiert gleichzeitig als nationale CSIRT-Stelle im Sinne von Artikel 10 NIS2 und als zentraler Ansprechpartner für Cybervorfallsmeldungen aus dem regulierten Bereich. CERT-FR ist Gründungsmitglied des europäischen CSIRT-Netzwerks und Mitglied von FIRST, dem internationalen Forum der Incident-Response-Teams.
Die Kernfunktionen von CERT-FR umfassen:
- Entgegennahme und Bearbeitung von Vorfallsmeldungen aus dem regulierten Sektor
- Technische Unterstützung bei der Analyse und Bewältigung von Cybersicherheitsvorfällen
- Warnmeldungen und Lageberichte über aktuelle Bedrohungen (Bulletins de sécurité)
- Koordination mit dem europäischen CSIRT-Netzwerk (Artikel 15 NIS2) und EU-CyCLONe
- Schwachstellenkoordination für französische Softwareprodukte und kritische Infrastrukturen
Für die Meldepflichten nach dem künftigen französischen NIS2-Gesetz wird CERT-FR die Erstanlaufstelle sein. Das dreistufige Meldeformat – Frühwarnung innerhalb von 24 Stunden, Erstmeldung innerhalb von 72 Stunden, Abschlussbericht nach einem Monat – entspricht dem europäischen Standard aus Artikel 23 NIS2. Meldungen erfolgen über das ANSSI-Portal oder die dedizierte Meldeadresse von CERT-FR.
Ein wichtiger praktischer Unterschied zu Deutschland: Während hierzulande Meldepflichten nach §§ 32, 33 BSIG über das BSI-Meldeportal (MELDP) erfüllt werden, laufen die Meldepflichten von in Frankreich ansässigen Einrichtungen über CERT-FR. Ist eine deutsche Muttergesellschaft durch einen Vorfall bei der französischen Tochter mitbetroffen, ist zu prüfen, ob eine parallele Meldepflicht gegenüber dem BSI ausgelöst wird. Klären Sie diesen Punkt in Ihrer Incident-Response-Planung frühzeitig, um keine Fristen zu versäumen.
Von NIS1 zu NIS2 – Ausweitung des Anwendungsbereichs in Frankreich
Frankreichs Erfahrung mit NIS1 hat den Boden für die NIS2-Transposition bereitet – der Vergleich verdeutlicht jedoch, wie dramatisch sich der Anwendungsbereich erweitern wird:
| Merkmal | NIS1 (Ordonnance 2018-1150) | NIS2 (erwartet) |
|---|---|---|
| Regulierte Einrichtungen | ~500 OSE | 10.000–15.000 |
| Sektoren | 8 | 18 |
| Größenkriterien | Sektorale Einzelbestimmung, keine einheitlichen EU-Schwellenwerte | ≥50 MA oder ≥10 Mio. € Umsatz (wichtige EE); ≥250 MA oder ≥50 Mio. € (wesentliche EE) |
| Aufsichtsmodell | Reaktiv + proaktiv je Sektor | Proaktiv (wesentliche EE) / reaktiv (wichtige EE) |
| Bußgeldrahmen | Bis 100.000 € | Bis 10 Mio. € / 2 % Umsatz (wesentliche EE); bis 7 Mio. € / 1,4 % (wichtige EE) |
| Neue Sektoren gegenüber NIS1 | – | Hersteller, Raumfahrt, Post- und Kurierdienste, Abfallwirtschaft, öffentliche Verwaltung |
Besonders relevant für deutsche Unternehmen ist die Einbeziehung neuer Sektoren: NIS2 erfasst in Anhang II nun auch Hersteller (manufacturing), digitale Anbieter, die Raumfahrtbranche sowie Post- und Kurierdienste. Französische Tochtergesellschaften oder Lieferanten in diesen Branchen werden künftig erstmals Cybersicherheitspflichten unterliegen, die dem deutschen NIS2UmsuCG-Standard entsprechen. Welche Einrichtungen konkret in den Anwendungsbereich fallen, beschreibt der Leitfaden zum NIS2-Anwendungsbereich detailliert.
Relevanz für deutsche Unternehmen mit französischen Töchtern
Für deutsche Unternehmensgruppen mit Tochtergesellschaften in Frankreich entstehen aus NIS2 spezifische Compliance-Herausforderungen, die über das rein nationale BSIG-Regime hinausgehen.
Jurisdiktionsregel nach Artikel 26 NIS2: Eine NIS2-regulierte Einrichtung unterliegt dem Mitgliedstaat, in dem sie ihre „Hauptniederlassung“ hat. Als Hauptniederlassung gilt der Ort, an dem die Entscheidungen über Cybersicherheitsmaßnahmen primär getroffen werden – in der Regel der Sitz der Geschäftsführung. Eine französische Tochtergesellschaft, deren Management- und IT-Entscheidungen in Frankreich getroffen werden, unterliegt dem französischen NIS2-Recht und damit ANSSI als Aufsichtsbehörde – auch wenn die deutsche Muttergesellschaft unter das BSIG fällt.
Duale Regulierung bei konzerninterner Kritikalität: Wenn sowohl Mutter- als auch Tochtergesellschaft jeweils eigenständig als wesentliche oder wichtige Einrichtung einzustufen sind, entstehen parallele Compliance-Pflichten – getrennte Registrierungen, getrennte Aufsichtsgespräche, potenziell abweichende nationale Anforderungen über den NIS2-Mindeststandard hinaus. Artikel 26 Absatz 3 NIS2 sieht vor, dass BSI und ANSSI für solche grenzüberschreitenden Konstellationen eng zusammenarbeiten. In der Praxis bedeutet dies: Getrennte Registrierungs- und Meldeprozesse, aber eine einheitliche Sicherheitsarchitektur, die beide Anforderungen erfüllt.
Einheitliches Sicherheitsniveau in der Gruppe: Viele deutsche Konzerne streben ein gruppenweites ISMS nach ISO 27001 an, das sowohl den deutschen als auch den französischen NIS2-Anforderungen genügt. ISO 27001 ist sowohl beim BSI als auch bei ANSSI als anerkannter Referenzrahmen akzeptiert. Entscheidend ist, dass das ISMS die spezifischen nationalen Umsetzungsdetails beider Länder abdeckt – insbesondere unterschiedliche Registrierungsanforderungen und behördliche Ansprechpartner. Einen Überblick über die deutsche Umsetzung bietet der Leitfaden zur NIS2-Umsetzung in Deutschland.
Lieferkettensicherheit im deutsch-französischen Kontext
Artikel 21 Absatz 2 Buchstabe d NIS2 verpflichtet regulierte Einrichtungen, Sicherheitsmaßnahmen für die Lieferkette – einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern und Diensteanbietern – zu ergreifen. Für deutsche NIS2-regulierte Unternehmen mit französischen Lieferanten hat dies folgende praktische Konsequenzen:
Vor der französischen NIS2-Transposition: Solange Frankreich NIS2 noch nicht vollständig umgesetzt hat, können sich deutsche Abnehmer nicht auf einen gleichwertigen regulatorischen Mindeststandard bei französischen Lieferanten verlassen. Die Sorgfaltspflicht nach Artikel 21 Absatz 2 Buchstabe d verlangt, die Cybersicherheitspraktiken des Lieferanten aktiv zu überprüfen – unabhängig davon, ob dieser selbst reguliert ist oder nicht.
Nach der französischen NIS2-Transposition: Sobald ein französischer Zulieferer selbst als wichtige oder wesentliche Einrichtung eingestuft ist und der ANSSI-Aufsicht unterliegt, erhöht sich das Vertrauen in dessen Sicherheitsstandards. Dennoch entbindet dies den deutschen Abnehmer nicht von der eigenen Sorgfaltspflicht – er muss vertraglich und technisch sicherstellen, dass die Schnittstellen zwischen beiden Unternehmen angemessen abgesichert sind.
Empfohlene Maßnahmen im Beschaffungsprozess mit französischen Lieferanten:
- Aufnahme von NIS2-Compliance-Klauseln in Lieferantenverträge
- Einholung von Sicherheitsfragebögen oder ISO-27001-Zertifizierungsnachweisen
- Klärung der Vorfallsmeldeverfahren des Lieferanten (Meldestelle: CERT-FR)
- Prüfung, welche Daten und Systeme des deutschen Unternehmens beim französischen Lieferanten verarbeitet werden
- Berücksichtigung der ANSSI-Leitlinien zur Lieferkettensicherheit als vertragliche Referenz
Compliance-Fahrplan für Unternehmen mit Frankreich-Bezug
Schritt 1: Betroffenheitsanalyse für französische Einheiten. Prüfen Sie anhand der einheitlichen EU-Schwellenwerte (≥ 50 Mitarbeiter oder ≥ 10 Mio. € Umsatz für wichtige Einrichtungen; ≥ 250 Mitarbeiter oder ≥ 50 Mio. € Umsatz für wesentliche Einrichtungen), ob Ihre französischen Tochtergesellschaften von NIS2 erfasst werden. Berücksichtigen Sie dabei die Sektorzugehörigkeit nach Anhängen I und II der NIS2-Richtlinie.
Schritt 2: Zuständige Behörde und Meldestelle bestimmen. Stellen Sie für jede Einrichtung fest, welchem Mitgliedstaat sie nach der Jurisdiktionsregel des Artikels 26 NIS2 zugeordnet ist. Für in Frankreich ansässige Einheiten ist ANSSI die zuständige Behörde, CERT-FR die Meldestelle für Sicherheitsvorfälle. Benennen Sie frühzeitig eine ANSSI-Kontaktperson in Ihrer Organisation.
Schritt 3: Sicherheitsanforderungen nach Artikel 21 NIS2 abstimmen. Die zehn Sicherheitsmaßnahmenkategorien des Artikels 21 NIS2 gelten in allen EU-Mitgliedstaaten einheitlich. Prüfen Sie, ob Ihr bestehendes ISMS (z. B. nach ISO 27001) beide Länderanforderungen abdeckt. ANSSI empfiehlt als Risikorahmenwerk die französische Methode EBIOS Risk Manager, die mit dem BSI-Grundschutz-Ansatz kompatibel ist.
Schritt 4: Incident-Response-Prozesse dual ausrichten. Richten Sie Incident-Response-Prozesse ein, die sowohl den deutschen Meldepflichten (BSI/MELDP) als auch den französischen Meldepflichten (CERT-FR) entsprechen. Die Meldefristen sind EU-weit einheitlich: Frühwarnung 24 Stunden, Erstmeldung 72 Stunden, Abschlussbericht 1 Monat. Definieren Sie intern, wer bei einem Vorfall bei der französischen Tochter zuständig ist und über welchen Kanal die Meldung erfolgt.
Schritt 5: Französische Lieferanten in die Sorgfaltspflicht einbeziehen. Integrieren Sie NIS2-Cybersicherheitsanforderungen in Ihre Lieferantenqualifizierung für französische Anbieter. Fordern Sie bereits jetzt Sicherheitsnachweise an – auch wenn das französische NIS2-Gesetz noch aussteht. Die ANSSI-Guidance zur Lieferkettensicherheit eignet sich als vertragliche Referenz.
Schritt 6: ANSSI-Publikationen kontinuierlich monitoren. Die französische Transposition kann jederzeit in Kraft treten. Registrieren Sie sich für ANSSI-Newsletter und CERT-FR-Warnmeldungen (Bulletins de sécurité). Sobald die Ordonnance veröffentlicht wird, starten die Registrierungsfristen für französische Einrichtungen – wer jetzt vorbereitet ist, vermeidet Fristdruck.
Häufig gestellte Fragen
Ist die NIS-2-Richtlinie in Frankreich bereits geltendes Recht?
Noch nicht vollständig. Frankreich hat die Umsetzungsfrist zum 17. Oktober 2024 versäumt und wird die Richtlinie per Ordonnance (Erlass mit Gesetzeskraft) umsetzen. Bis zur Veröffentlichung dieser Ordonnance gilt weiterhin das NIS1-Regime (Ordonnance n° 2018-1150). ANSSI empfiehlt Unternehmen ausdrücklich, die Compliance-Vorbereitungen nicht auf das Inkrafttreten zu verschieben. Die Europäische Kommission hat gegen Frankreich ein Vertragsverletzungsverfahren eingeleitet.
Welche Behörde ist in Frankreich für NIS2 zuständig?
ANSSI (Agence nationale de la sécurité des systèmes d’information) ist die zuständige Aufsichtsbehörde für NIS2 in Frankreich. CERT-FR – als operativer Arm von ANSSI – nimmt Meldungen über Cybersicherheitsvorfälle entgegen und koordiniert die Incident-Response. ANSSI entspricht in ihrer Funktion dem deutschen BSI, ist jedoch dem Premierminister über das SGDSN zugeordnet statt dem Innenministerium.
Was gilt, wenn unsere Unternehmensgruppe sowohl in Deutschland als auch in Frankreich Einrichtungen betreibt?
Jede Einrichtung unterliegt dem Mitgliedstaat ihrer Hauptniederlassung (Artikel 26 NIS2). Eine in Deutschland ansässige Muttergesellschaft fällt unter das BSIG / BSI-Aufsicht; eine in Frankreich ansässige Tochter fällt unter das künftige französische NIS2-Gesetz / ANSSI-Aufsicht. Beide können parallel als wesentliche oder wichtige Einrichtungen reguliert sein. BSI und ANSSI sind nach Artikel 26 Absatz 3 NIS2 zur Kooperation verpflichtet. Empfehlung: ein gruppenweites ISMS nach ISO 27001, das beide nationalen Anforderungen abbildet.
Wie läuft die Cybervorfallmeldung in Frankreich ab?
Basis ist der dreistufige Meldeprozess aus Artikel 23 NIS2: Frühwarnung innerhalb von 24 Stunden nach Kenntnisnahme, Erstmeldung innerhalb von 72 Stunden, Abschlussbericht nach spätestens einem Monat. Zuständige Meldestelle ist CERT-FR (operativer Arm von ANSSI). Die Meldung erfolgt über das ANSSI-Portal oder die CERT-FR-Meldeadresse. Im Unterschied zum deutschen BSI-Meldeportal (MELDP) ist in Frankreich noch kein dediziertes NIS2-Onlineportal im Betrieb – dieses wird mit der Transpositionsordonnance eingeführt.
Dieser Artikel stellt allgemeine Informationen bereit und stellt keine Rechts- oder Regulierungsberatung dar. Die konkreten Anforderungen können je nach Unternehmenstyp, Branche und dem endgültigen Inhalt der französischen Transpositionsordonnance variieren. Für eine auf Ihr Unternehmen zugeschnittene Einschätzung empfehlen wir die Hinzuziehung eines qualifizierten Rechtsanwalts oder NIS2-Compliance-Spezialisten.
Quellen
- Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau (NIS-2-Richtlinie) — EUR-Lex, insbesondere Artikel 2, 3, 10, 23 und 26 sowie Anhänge I und II
- NIS2 – Présentation de la Directive et transposition en droit français — ANSSI (Agence nationale de la sécurité des systèmes d’information), offizielle Informationsseite zur NIS2-Umsetzung in Frankreich
- CERT-FR – Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques — Computer Emergency Response Team Frankreich, nationale CSIRT-Stelle und Meldestelle für Cybervorfälle
- Ordonnance n° 2018-1150 du 12 décembre 2018 portant transposition de la directive (UE) 2016/1148 — Légifrance, aktuell geltendes NIS1-Umsetzungsgesetz in Frankreich
