NIS2 Frankreich: ANSSI-Compliance-Anforderungen, Durchsetzungszeitplan und was französische Einrichtungen 2026 tun müssen
Die ANSSI setzt NIS2 in ganz Frankreich mit förmlichen Aufforderungen und Audits durch. Essentielle Einrichtungen drohen Strafen bis zu 10 Mio. Euro. Vollständiger Leitfaden zur französischen NIS2-Umsetzung, den Audit-Erwartungen der ANSSI und Compliance-Schritte für OSE- und OSI-Einrichtungen.
Die Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) hat sich als eine der aktivsten nationalen Cybersicherheitsaufsichtsbehörden im EU-NIS2-Durchsetzungsrahmen etabliert. Seit Q3 2025 hat die ANSSI förmliche Aufforderungsverfahren an einschlägige Einrichtungen erlassen, Vor-Ort-Aufsichtsbesuche durchgeführt und die Compliance-Architektur etabliert, die französische Organisationen — sowohl essentielle als auch wichtige — nun erfüllen müssen. Für jede Einrichtung, die in Frankreich unter die NIS2-Zuständigkeit fällt, ist die Frage nicht mehr, ob die ANSSI durchsetzen wird, sondern ob Ihre Organisation bereit sein wird, wenn sie es tut.
Dieser Leitfaden behandelt die französische Umsetzung von NIS2, den Durchsetzungsansatz der ANSSI, die spezifischen Pflichten für Opérateurs de Services Essentiels (OSE) und Opérateurs de Services Importants (OSI) sowie die praktischen Schritte, die Ihre Organisation jetzt unternehmen sollte.
Frankreichs NIS2-Umsetzung: Der Rechtsrahmen
Frankreich hat NIS2 durch eine Änderung der Loi de Programmation Militaire (LPM) und die Umsetzung von Dekreten im Rahmen des französischen Cybersicherheitsgesetzes umgesetzt. Die Umsetzung behält die zweistufige Struktur von NIS2 bei und passt gleichzeitig die Terminologie an Frankreichs bestehenden Cybersicherheitswortschatz an:
-
OSE (Opérateurs de Services Essentiels): Entspricht den NIS2-„wesentlichen Einrichtungen” — große Organisationen in kritischen Sektoren einschließlich Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, digitale Infrastruktur, ICT-Dienstleistungsmanagement, öffentliche Verwaltung und Weltraum. Schwellenwert: 250+ Mitarbeiter ODER 50 Mio. Euro Jahresumsatz + 43 Mio. Euro Bilanzsumme.
-
OSI (Opérateurs de Services Importants): Entspricht den NIS2-„wichtigen Einrichtungen” — mittelgroße Organisationen in denselben Sektoren plus Postdienste, Abfallwirtschaft, Chemie, Lebensmittel, Medizinprodukte, verarbeitendes Gewerbe (Computer, Elektronik, Maschinen, Kraftfahrzeuge) und digitale Anbieter. Schwellenwert: 50-249 Mitarbeiter ODER 10-50 Mio. Euro Jahresumsatz.
Ein wesentlicher Unterschied zur bisherigen NIS1-Rahmen ist die Aufhebung des früheren Benennungsverfahrens. Unter NIS1 musste die ANSSI OSEs einzeln benennen. Unter NIS2 gelten Organisationen automatisch als erfasst, basierend auf Größen- und Sektenkriterien — kein Benennungsschreiben erforderlich (ANSSI, 2025; Europäische Kommission, 2026).
Der Durchsetzungsansatz der ANSSI
Die Durchsetzungshaltung der ANSSI im Jahr 2026 spiegelt drei Entwicklungen wider:
1. Förmliche Aufforderungsverfahren: Die ANSSI hat im Q3 2025 ihre ersten förmlichen Aufforderungen (mises en demeure) im Rahmen von NIS2 erlassen, die einschlägige Einrichtungen auffordern, innerhalb bestimmter Fristen Compliance nachzuweisen. Diese Aufforderungen richten sich an Organisationen, die sich nicht im ANSSI-Portal registriert oder unvollständige Sicherheitsdokumentation eingereicht haben (ANSSI, 2025).
2. Vor-Ort-Aufsichtsbesuche: Die ANSSI hat Vor-Ort-Inspektionen bei Betreibern kritischer Infrastrukturen durchgeführt, insbesondere in den Sektoren Energie und Verkehr. Diese Besuche prüfen Dokumentation, befragen Sicherheitspersonal und bewerten technische Maßnahmen anhand der Anforderungen von Artikel 21. Im Gegensatz zum milderen Ansatz von NIS1 gewährt NIS2 der ANSSI das Recht auf unangekündigte Inspektionen bei wesentlichen Einrichtungen (Artikel 27 der Richtlinie).
3. Durchsetzungskooperation: Die ANSSI nimmt aktiv am koordinierten Aufsichtsrahmen der EU zusammen mit dem BSI (Deutschland), INCIBE (Spanien) und anderen nationalen Behörden teil. Der Umsetzungsbericht der Europäischen Kommission vom Januar 2026 bestätigte, dass die grenzüberschreitende Durchsetzungskoordination nun in 19 Mitgliedsstaaten operativ ist (Europäische Kommission, 2026). Französische Einrichtungen mit grenzüberschreitenden Tätigkeiten stehen unter koordinierter Prüfung durch mehrere Aufsichtsbehörden gleichzeitig.
Was die ANSSI prüft: Die fünf Domänen
Die Audit-Methodik der ANSSI orientiert sich an Artikel 21 von NIS2, wird aber durch frankreichspezifische Leitlinien und das ANSSI-Referenzdokument operationalisiert. In der Praxis konzentrieren sich die ANSSI-Prüfer auf fünf Domänen:
1. Governance und Vorstandsverantwortung (Artikel 20)
Weitere Informationen zu diesem Thema finden Sie in unserem NIS2-Niederlande-Compliance-Leitfaden: NCSC-NL-Anforderungen.
Die ANSSI erwartet dokumentierte Nachweise, dass Leitungsorgane:
- Cybersicherheits-Risikomanagementmaßnahmen genehmigt haben
- Die Umsetzung durch regelmäßige Überprüfungen beaufsichtigt haben
- Eine Cybersicherheitsschulung absolviert haben (Artikel 20 Absatz 2)
Für französische Einrichtungen bedeutet dies Dokumentation auf Vorstandsebene: Procès-verbaux (PV) von Vorstandssitzungen, in denen Cybersicherheit behandelt wurde, unterzeichnete Sicherheitsrichtlinien und Schulungszertifikate für Direktoren. Die ANSSI betrachtet das Fehlen von Governancedokumentation als Compliance-Versagen, nicht als Dokumentationslücke.
Dies entspricht dem breiteren EU-Trend zur persönlichen Haftung von Leitungsorganen. Siehe unsere Analyse der NIS2-Vorstandshaftung: Persönliche Geldstrafen und Haftungsrisiken für Leitungsorgane für das Gesamtbild der Artikel-20-Durchsetzung in den Mitgliedsstaaten.
2. Risikomanagementmaßnahmen (Artikel 21)
Artikel 21 verlangt die Umsetzung „angemessener und verhältnismäßiger” technischer, operativer und organisatorischer Maßnahmen. Die ANSSI interpretiert dies durch ihre etablierte Sicherheitsbaseline (Référentiel d’Exigences), die folgenden Elementen des Artikels 21 Absatz 2 entspricht:
- Risikoanalyse und Informationssystemsicherheitsrichtlinien
- Vorfallbehandlung (Erkennung, Analyse, Reaktion)
- Geschäftskontinuität, Backup-Management und Notfallwiederherstellung
- Lieferkettensicherheit (Bewertung kritischer ICT-Dienstleister)
- Sicherheit bei Beschaffung und Entwicklung
- Kryptografische Maßnahmen gemäß den kryptografischen Leitlinien der ANSSI (ANSSI Guide d’utilisation des mécanismes cryptographiques)
- Mitarbeiterbewusstsein für Sicherheit und Hygienepraktiken
- Personalsicherheit (Überprüfung, Zugriffsentzug)
Einen tieferen Einblick in die spezifischen technischen Maßnahmen finden Sie in unserem NIS2-Compliance-Leitfaden, der die Maßnahmen nach Artikel 21 im Detail behandelt.
3. Vorfallmeldung (Artikel 23)
Die ANSSI betreibt das staatliche Vorfallmeldeportal (SIGNALEMENT), über das Einrichtungen dreiphasige Vorfallberichte einreichen müssen:
- Frühwarnung (innerhalb von 24 Stunden): Erstmalige Meldung eines bedeutenden Vorfalls über SIGNALEMENT. Muss angeben, ob der Vorfall vermutlich durch unrechtmäßige oder böswillige Handlungen verursacht wurde oder grenzüberschreitende Auswirkungen hat.
- Vorfallbenachrichtigung (innerhalb von 72 Stunden): Aktualisierte Bewertung einschließlich erster Kompromittierungsindikatoren, Schweregradeinschätzung und grenzüberschreitender Relevanz.
- Abschlussbericht (innerhalb von 1 Monat): Vollständige Vorfallanalyse, Ursache, Auswirkungsbewertung und ergriffene oder geplante Behebungsmaßnahmen.
Die Nichteinhaltung von Meldefristen wird als separate Compliance-Verletzung behandelt. Die Durchsetzungsmaßnahmen der ANSSI aus dem Jahr 2025 umfassten förmliche Aufforderungen speziell wegen verspäteter Meldungen, unabhängig von der Schwere des zugrunde liegenden Vorfalls (ANSSI, 2025).
4. Lieferkettensicherheit (Artikel 21 Absatz 2 Buchstabe d)
Die Überprüfung der Lieferkette durch die ANSSI ist für OSEs besonders streng. Einrichtungen müssen:
- Ein vollständiges Verzeichnis der ICT-Drittparteibeziehungen pflegen
- Kritische Lieferanten identifizieren und deren Sicherheitslage bewerten
- Vertraglich Sicherheitsstandards von Lieferanten fordern
- Periodische Lieferketten-Sicherheitsüberprüfungen durchführen
Für Einrichtungen mit komplexen Lieferantenökosystemen erwartet die ANSSI Nachweise über einen strukturierten Lieferketten-Risikomanagementprozess — nicht nur eine Tabelle mit Lieferantennamen.
5. Registrierungs- und Meldepflichten
Nach der französischen Umsetzung müssen alle erfassten Einrichtungen:
- Sich über das dafür vorgesehene Portal bei der ANSSI registrieren
- Vollständige Einrichtungsidentifikation, Sektorklassifizierung und Kontaktinformationen angeben
- Die ANSSI über wesentliche Änderungen ihrer Sicherheitslage, Organisationsstruktur oder Kontaktdaten innerhalb von 30 Tagen informieren
Die Nichtregistrierung selbst ist ein eigenständiger Verstoß. Die erste Durchsetzungswelle der ANSSI im Jahr 2025 richtete sich gezielt gegen Einrichtungen, die die Registrierung nicht abgeschlossen hatten (ANSSI, 2025).
Sanktionen: Was französische Einrichtungen erwarten
Der französische Sanktionsrahmen entspricht den Höchstwerten von NIS2:
| Einrichtungsart | Höchststrafe | Berechnungsgrundlage |
|---|---|---|
| OSE (Wesentlich) | 10.000.000 Euro oder 2% des weltweiten Jahresumsatzes | Je nachdem, welcher Betrag höher ist |
| OSI (Wichtig) | 7.000.000 Euro oder 1,4% des weltweiten Jahresumsatzes | Je nachdem, welcher Betrag höher ist |
Über Geldstrafen hinaus kann die ANSSI verhängen:
- Temporäre Verbote für Führungskräfte, Vorstandspositionen einzunehmen (Artikel 20-Haftung)
- Verbindliche Sicherheitsbehebungsanordnungen mit bindenden Fristen
- Öffentliche Bekanntgabe von Durchsetzungsmaßnahmen
Einen umfassenden Überblick über Sanktionen nach Einrichtungsart finden Sie in unserem NIS2-Strafen- und Bußgelder-Leitfaden.
Sektorspezifische Besonderheiten für Frankreich
Energiesektor
Frankreichs starke Abhängigkeit von Kernenergie (ca. 70% der Stromerzeugung) stellt EDF und verbundene Betreiber unter erhöhte ANSSI-Aufsicht. Der Energiesektor gehörte zu den ersten, der förmliche Aufforderungen erhielt, und die Audits der ANSSI bei Energie-OSEs gehören zu den technisch anspruchsvollsten — sie prüfen SCADA-Systeme, industrielle Steuerungssysteme (ICS) und OT/IT-Konvergenzsicherheit.
Finanzdienstleistungen
Die ACPR (Autorité de Contrôle Prudentiel et de Résolution) koordiniert sich mit der ANSSI für Finanzsektor-Einrichtungen und schafft einen dualen Aufsichtsrahmen. Banken und Betreiber von Finanzmarktinfrastrukturen müssen gleichzeitig ACPR-Aufsichtsanforderungen und ANSSI-Cybersicherheitsanforderungen erfüllen. Einrichtungen sollten gemeinsame Aufsichtsaktivitäten erwarten.
Gesundheitswesen
Französische Gesundheitseinrichtungen — insbesondere Krankenhäuser und Gesundheitsdatenverarbeiter — unterliegen der ANSSI-Aufsicht sowohl nach NIS2 als auch nach dem bestehenden HDS-Zertifizierungsrahmen (Hébergeur de Données de Santé). Die Compliance erfordert die Erfüllung sowohl der NIS2-Artikel-21-Anforderungen als auch der HDS-spezifischen Datenschutzstandards.
Digitale Infrastruktur
Frankreichs bedeutende Rechenzentrums- und Cloud-Hosting-Branche fällt direkt unter den Sektor digitale Infrastruktur von NIS2. Die ANSSI war besonders aktiv bei der Beaufsichtigung dieser Einrichtungen, da sie als vorgelagerte Abhängigkeiten für Tausende nachgelagerte Organisationen dienen. Wer digitale Infrastruktur in Frankreich betreibt, sollte eine frühzeitige und detaillierte ANSSI-Betreuung erwarten.
Praktische Compliance-Schritte für französische Einrichtungen
Basierend auf den Durchsetzungsmaßnahmen und veröffentlichten Leitlinien der ANSSI ist dies eine priorisierte Compliance-Roadmap:
Schritt 1: Registrierung (Sofort) Registrieren Sie sich im ANSSI-Portal, falls noch nicht geschehen. Nichtregistrierung ist ein eigenständiger Verstoß, der die erste Durchsetzungswelle auslöste.
Schritt 2: Governancedokumentation (Woche 1-2)
- Genehmigung der Cybersicherheits-Risikomanagementrichtlinie durch den Vorstand einholen
- Cybersicherheits-Briefing für den Vorstand einplanen
- Cybersicherheitsschulung der Leitungsorgane dokumentieren
- Einen verantwortlichen Sicherheitsbeauftragten mit direkter Berichtslinie an die Leitungsorgane benennen
Schritt 3: Risikobewertung (Woche 2-6)
- Umfassende Risikobewertung durchführen oder aktualisieren, die alle Elemente des Artikels 21 Absatz 2 abdeckt
- Risikoentscheidungen dokumentieren
- Risikobewertung mit dem Anlageninventar verknüpfen
Schritt 4: Vorfallreaktion (Woche 2-4)
- Vorfallreaktionsverfahren dokumentieren, die den Anforderungen des ANSSI-SIGNALEMENT-Portals entsprechen
- Interne Eskalationswege für 24-Stunden-Frühwarnung definieren
- Tabletop-Übung durchführen und Ergebnisse dokumentieren
- Vorfallreaktionsteam im SIGNALEMENT-Melde-Workflow schulen
Schritt 5: Lieferkettenverzeichnis (Woche 3-6)
- ICT-Drittparteiverzeichnis vervollständigen
- Kritische Lieferanten identifizieren und klassifizieren
- Sicherheitsbewertungen für Top-Lieferanten initiieren
- Lieferantenverträge auf Sicherheitsklauseln prüfen und aktualisieren
Schritt 6: Technische Maßnahmen überprüfen (Woche 4-8)
- Kryptografische Maßnahmen gemäß ANSSI-Leitlinien prüfen
- Geschäftskontinuitäts- und Backup-Verfahren bestätigen und testen
- Zugriffssteuerungs- und Identitätsmanagementrichtlinien validieren
- Netzwerksegmentierung und Überwachungsfähigkeiten testen
Schritt 7: Dokumentationspaket (Woche 6-10) Stellen Sie das vollständige Nachweispaket zusammen, das die ANSSI bei einem Aufsichtsbesuch anfordern wird:
- Governancedokumentation des Vorstands (PV, Richtlinien, Schulungsnachweise)
- Risikobewertung und Maßnahmenplan
- Anlageninventar mit Aktualisierungsdaten
- Vorfallreaktionsplan mit Testhistorie
- Lieferkettenverzeichnis mit Lieferantenbewertungen
- Prüfberichte technischer Maßnahmen
Für einen strukturierten Ansatz laden Sie unsere NIS2-Compliance-Checkliste als PDF herunter, die alle 15 Compliance-Domänen mit konkreten Maßnahmen abdeckt.
Auswirkungen auf die Cyberversicherung in Frankreich
Die Durchsetzung durch die ANSSI hat unmittelbare Implikationen für das Cyber-Underwriting im französischen Markt:
-
Compliance als Versicherbarkeit: Französische Einrichtungen, die der ANSSI keine NIS2-Compliance nachweisen können, werden zunehmend Schwierigkeiten haben, Cyber-Deckung zu erhalten oder zu erneuern. Versicherer fordern bei der Verlängerung bereits Nachweise über die ANSSI-Registrierung und den Compliance-Status.
-
Fragen zur Strafdeckung: Während NIS2-Verwaltungsgelder nach französischem Recht grundsätzlich nicht versicherbar sind (Strafausschluss), sind die Geschäftsausfall- und Behebungskosten nach einem Compliance-Versagen gedeckt. Diese Unterscheidung ist für die Policenformulierung entscheidend.
-
Steigende Nachfrage: Da die ANSSI die Durchsetzung verschärft, beschleunigt sich die Nachfrage nach Cyberversicherung bei französischen Mittelstandsunternehmen. Makler, die die NIS2-ANSSI-Compliance-Landschaft verstehen, können Deckung effektiver positionieren.
Für Makler, die französische Cyberrisiken platzieren, siehe unser Cyber-Versicherungs-Kaufratgeber 2026 und NIS2-Underwriting-Fragen für Makler für den vollständigen Fragenkatalog für französische Kunden.
Vergleich: ANSSI vs. BSI-Durchsetzung
Frankreich, Spanien und Italien sind die drei größten NIS2-Durchsetzungszuständigkeiten in der EU. Für die spanische Perspektive siehe unseren NIS2-Spanien-INCIBE-Compliance-Leitfaden. Für die italienische Perspektive siehe unseren NIS2-Italien-ACN-Compliance-Leitfaden. Während sowohl ANSSI als auch BSI den Anforderungen von Artikel 21 folgen, unterscheiden sich ihre Durchsetzungsstile:
| Aspekt | ANSSI (Frankreich) | BSI (Deutschland) |
|---|---|---|
| Erste Durchsetzung | Q3 2025 förmliche Aufforderungen | Ende 2025 Audit-Kriterien |
| Ansatz | Förmliche Aufforderungen + Aufsichtsbesuche | Risiko-basiertes Audit-Programm |
| Vorfallportal | SIGNALEMENT | BSI Meldestelle |
| Lieferkettenfokus | Hoch — erfordert strukturiertes Lieferantenverzeichnis | Hoch — erfordert ICT-Lieferantenbewertungen |
| Sektorschwerpunkt | Energie, digitale Infrastruktur, Gesundheit | Energie, Verkehr, Bankwesen |
| Grenzüberschreitende Koordination | Aktiv im EU-Koordinierungsrahmen | Aktiv im EU-Koordinierungsrahmen |
Für die deutsche Perspektive siehe unseren BSI-NIS2-Durchsetzungsleitfaden.
Fazit
Die ANSSI wartet nicht darauf, dass Organisationen aufholen. Die förmlichen Aufforderungen werden bereits erlassen, Aufsichtsbesuche sind im Gange, und der Sanktionsrahmen ist durchsetzbar. Französische Einrichtungen, die NIS2 als zukünftige Verpflichtung behandeln, sind bereits im Rückstand.
Der Mindeststandard ist klar: bei der ANSSI registriert, Governance dokumentiert, Risikobewertung aktuell, Vorfallreaktion getestet, Lieferkarte abgebildet. Wenn hieran etwas fehlt, tickt die Uhr nicht nur — sie ist für einige bereits abgelaufen.
Nächste Schritte:
- Prüfen Sie Ihren NIS2-Compliance-Status mit unserer kostenlosen NIS2-Bereitstellungsprüfung
- Laden Sie die NIS2-Compliance-Checkliste als PDF herunter — 15-Punkte-Leitfaden für alle Artikel-21-Anforderungen
- Berechnen Sie Ihre Cyberrisikoexposition für Versicherungszwecke
Verwandte NIS2-Länderleitfäden:
- NIS2 Deutschland (BSI) | NIS2 Italien (ACN) | NIS2 Spanien (INCIBE) | NIS2 Niederlande (NCSC-NL) | NIS2 Polen (NCSA) | NIS2 Belgien (CCB) | NIS2 Österreich (NISG 2026) | NIS2 Schweden (MSB) | NIS2 Dänemark (CFCS) | NIS2 Tschechien (NÚKIB) | NIS2 Portugal (CNCS) | NIS2 Irland (NCSC) | NIS2 Finnland (Traficom) | NIS2 Rumänien (ANSI)
Quellen:
- ANSSI (2025). Mise en œuvre de la directive NIS2 en France — Guide à destination des entités essentielles et importantes. Paris: ANSSI.
- Europäische Kommission (2026). Bericht über die Umsetzung der NIS2-Richtlinie in den Mitgliedsstaaten. Brüssel: EK.
- ENISA (2024). ICT Supply Chain Security — Leitlinien zur NIS2-Compliance. Athen: ENISA.
Michael Guiao Michael Guiao gründete Resiliently AI und schreibt Resiliently. Er hat CISM, CCSP, CISA und DPO-Zertifizierungen — aber sie verfallen lassen, denn im Zeitalter von KI ist Wissen billig. Worauf es ankommt, ist Urteilskraft — und die kommt aus acht Jahren Praxis bei Zurich, Sompo, AXA und PwC.
Get the full picture with premium access
In-depth reports, assessment tools, and weekly risk intelligence for cyber professionals.
Professional
Full platform — continuous monitoring, API access, white-label reports
Everything in Starter plus professional tools
Upgrade Now →Free NIS2 Compliance Checklist
Get the free 15-point PDF checklist + NIS2 compliance tips in your inbox.
No spam. Unsubscribe anytime. Privacy Policy
blog.featured
WordPress Plugin Flaw CVE-2023-4213 Exposes 10K+ Sites to Cyber Claims
6 min read
WordPress Plugin XSS Vulnerability Exposes Cyber Insurance Portfolios to Persistent Web Risks
5 min read
WordPress Security Plugin Flaw Exposes Organizations to Cyber Claims
6 min read
WordPress Plugin Flaw Exposes Cyber Insurance Portfolios to SQL Injection Risks
6 min read
Premium Report
2026 Cyber Risk Landscape Report
24 pages of threat analysis, claims data, and underwriting implications for European cyber insurance.
View Reports →Verwandte Artikel
DeepMind Mapped Every Way the Web Can Hijack Your AI Agent — Here Is What Underwriters Need to Ask
Google DeepMind researchers classified six categories of AI agent attacks — from invisible web content that hijacks perception to cascading multi-agent failures. Coverage gaps emerge at every layer. Here is the underwriting playbook.