NIS2 Frankreich: ANSSI-Compliance-Anforderungen, Durchsetzungszeitplan und was französische Einrichtungen 2026 tun müssen

Die ANSSI setzt NIS2 in ganz Frankreich mit förmlichen Aufforderungen und Audits durch. Essentielle Einrichtungen drohen Strafen bis zu 10 Mio. Euro. Vollständiger Leitfaden zur französischen NIS2-Umsetzung, den Audit-Erwartungen der ANSSI und Compliance-Schritte für OSE- und OSI-Einrichtungen.

Die ANSSI setzt NIS2 in ganz Frankreich mit förmlichen Aufforderungen und Audits durch. Essentielle Einrichtungen drohen Strafen bis zu 10 Mio. Euro. Vollständiger Leitfaden zur französischen NIS2-Umsetzung, den Audit-Erwartungen der ANSSI und Compliance-Schritte für OSE- und OSI-Einrichtungen.

Die Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) hat sich als eine der aktivsten nationalen Cybersicherheitsaufsichtsbehörden im EU-NIS2-Durchsetzungsrahmen etabliert. Seit Q3 2025 hat die ANSSI förmliche Aufforderungsverfahren an einschlägige Einrichtungen erlassen, Vor-Ort-Aufsichtsbesuche durchgeführt und die Compliance-Architektur etabliert, die französische Organisationen — sowohl essentielle als auch wichtige — nun erfüllen müssen. Für jede Einrichtung, die in Frankreich unter die NIS2-Zuständigkeit fällt, ist die Frage nicht mehr, ob die ANSSI durchsetzen wird, sondern ob Ihre Organisation bereit sein wird, wenn sie es tut.

Dieser Leitfaden behandelt die französische Umsetzung von NIS2, den Durchsetzungsansatz der ANSSI, die spezifischen Pflichten für Opérateurs de Services Essentiels (OSE) und Opérateurs de Services Importants (OSI) sowie die praktischen Schritte, die Ihre Organisation jetzt unternehmen sollte.

Frankreichs NIS2-Umsetzung: Der Rechtsrahmen

Frankreich hat NIS2 durch eine Änderung der Loi de Programmation Militaire (LPM) und die Umsetzung von Dekreten im Rahmen des französischen Cybersicherheitsgesetzes umgesetzt. Die Umsetzung behält die zweistufige Struktur von NIS2 bei und passt gleichzeitig die Terminologie an Frankreichs bestehenden Cybersicherheitswortschatz an:

  • OSE (Opérateurs de Services Essentiels): Entspricht den NIS2-„wesentlichen Einrichtungen” — große Organisationen in kritischen Sektoren einschließlich Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, digitale Infrastruktur, ICT-Dienstleistungsmanagement, öffentliche Verwaltung und Weltraum. Schwellenwert: 250+ Mitarbeiter ODER 50 Mio. Euro Jahresumsatz + 43 Mio. Euro Bilanzsumme.

  • OSI (Opérateurs de Services Importants): Entspricht den NIS2-„wichtigen Einrichtungen” — mittelgroße Organisationen in denselben Sektoren plus Postdienste, Abfallwirtschaft, Chemie, Lebensmittel, Medizinprodukte, verarbeitendes Gewerbe (Computer, Elektronik, Maschinen, Kraftfahrzeuge) und digitale Anbieter. Schwellenwert: 50-249 Mitarbeiter ODER 10-50 Mio. Euro Jahresumsatz.

Ein wesentlicher Unterschied zur bisherigen NIS1-Rahmen ist die Aufhebung des früheren Benennungsverfahrens. Unter NIS1 musste die ANSSI OSEs einzeln benennen. Unter NIS2 gelten Organisationen automatisch als erfasst, basierend auf Größen- und Sektenkriterien — kein Benennungsschreiben erforderlich (ANSSI, 2025; Europäische Kommission, 2026).

Der Durchsetzungsansatz der ANSSI

Die Durchsetzungshaltung der ANSSI im Jahr 2026 spiegelt drei Entwicklungen wider:

1. Förmliche Aufforderungsverfahren: Die ANSSI hat im Q3 2025 ihre ersten förmlichen Aufforderungen (mises en demeure) im Rahmen von NIS2 erlassen, die einschlägige Einrichtungen auffordern, innerhalb bestimmter Fristen Compliance nachzuweisen. Diese Aufforderungen richten sich an Organisationen, die sich nicht im ANSSI-Portal registriert oder unvollständige Sicherheitsdokumentation eingereicht haben (ANSSI, 2025).

2. Vor-Ort-Aufsichtsbesuche: Die ANSSI hat Vor-Ort-Inspektionen bei Betreibern kritischer Infrastrukturen durchgeführt, insbesondere in den Sektoren Energie und Verkehr. Diese Besuche prüfen Dokumentation, befragen Sicherheitspersonal und bewerten technische Maßnahmen anhand der Anforderungen von Artikel 21. Im Gegensatz zum milderen Ansatz von NIS1 gewährt NIS2 der ANSSI das Recht auf unangekündigte Inspektionen bei wesentlichen Einrichtungen (Artikel 27 der Richtlinie).

3. Durchsetzungskooperation: Die ANSSI nimmt aktiv am koordinierten Aufsichtsrahmen der EU zusammen mit dem BSI (Deutschland), INCIBE (Spanien) und anderen nationalen Behörden teil. Der Umsetzungsbericht der Europäischen Kommission vom Januar 2026 bestätigte, dass die grenzüberschreitende Durchsetzungskoordination nun in 19 Mitgliedsstaaten operativ ist (Europäische Kommission, 2026). Französische Einrichtungen mit grenzüberschreitenden Tätigkeiten stehen unter koordinierter Prüfung durch mehrere Aufsichtsbehörden gleichzeitig.

Was die ANSSI prüft: Die fünf Domänen

Die Audit-Methodik der ANSSI orientiert sich an Artikel 21 von NIS2, wird aber durch frankreichspezifische Leitlinien und das ANSSI-Referenzdokument operationalisiert. In der Praxis konzentrieren sich die ANSSI-Prüfer auf fünf Domänen:

1. Governance und Vorstandsverantwortung (Artikel 20)

Weitere Informationen zu diesem Thema finden Sie in unserem NIS2-Niederlande-Compliance-Leitfaden: NCSC-NL-Anforderungen.

Die ANSSI erwartet dokumentierte Nachweise, dass Leitungsorgane:

  • Cybersicherheits-Risikomanagementmaßnahmen genehmigt haben
  • Die Umsetzung durch regelmäßige Überprüfungen beaufsichtigt haben
  • Eine Cybersicherheitsschulung absolviert haben (Artikel 20 Absatz 2)

Für französische Einrichtungen bedeutet dies Dokumentation auf Vorstandsebene: Procès-verbaux (PV) von Vorstandssitzungen, in denen Cybersicherheit behandelt wurde, unterzeichnete Sicherheitsrichtlinien und Schulungszertifikate für Direktoren. Die ANSSI betrachtet das Fehlen von Governancedokumentation als Compliance-Versagen, nicht als Dokumentationslücke.

Dies entspricht dem breiteren EU-Trend zur persönlichen Haftung von Leitungsorganen. Siehe unsere Analyse der NIS2-Vorstandshaftung: Persönliche Geldstrafen und Haftungsrisiken für Leitungsorgane für das Gesamtbild der Artikel-20-Durchsetzung in den Mitgliedsstaaten.

2. Risikomanagementmaßnahmen (Artikel 21)

Artikel 21 verlangt die Umsetzung „angemessener und verhältnismäßiger” technischer, operativer und organisatorischer Maßnahmen. Die ANSSI interpretiert dies durch ihre etablierte Sicherheitsbaseline (Référentiel d’Exigences), die folgenden Elementen des Artikels 21 Absatz 2 entspricht:

  • Risikoanalyse und Informationssystemsicherheitsrichtlinien
  • Vorfallbehandlung (Erkennung, Analyse, Reaktion)
  • Geschäftskontinuität, Backup-Management und Notfallwiederherstellung
  • Lieferkettensicherheit (Bewertung kritischer ICT-Dienstleister)
  • Sicherheit bei Beschaffung und Entwicklung
  • Kryptografische Maßnahmen gemäß den kryptografischen Leitlinien der ANSSI (ANSSI Guide d’utilisation des mécanismes cryptographiques)
  • Mitarbeiterbewusstsein für Sicherheit und Hygienepraktiken
  • Personalsicherheit (Überprüfung, Zugriffsentzug)

Einen tieferen Einblick in die spezifischen technischen Maßnahmen finden Sie in unserem NIS2-Compliance-Leitfaden, der die Maßnahmen nach Artikel 21 im Detail behandelt.

3. Vorfallmeldung (Artikel 23)

Die ANSSI betreibt das staatliche Vorfallmeldeportal (SIGNALEMENT), über das Einrichtungen dreiphasige Vorfallberichte einreichen müssen:

  • Frühwarnung (innerhalb von 24 Stunden): Erstmalige Meldung eines bedeutenden Vorfalls über SIGNALEMENT. Muss angeben, ob der Vorfall vermutlich durch unrechtmäßige oder böswillige Handlungen verursacht wurde oder grenzüberschreitende Auswirkungen hat.
  • Vorfallbenachrichtigung (innerhalb von 72 Stunden): Aktualisierte Bewertung einschließlich erster Kompromittierungsindikatoren, Schweregradeinschätzung und grenzüberschreitender Relevanz.
  • Abschlussbericht (innerhalb von 1 Monat): Vollständige Vorfallanalyse, Ursache, Auswirkungsbewertung und ergriffene oder geplante Behebungsmaßnahmen.

Die Nichteinhaltung von Meldefristen wird als separate Compliance-Verletzung behandelt. Die Durchsetzungsmaßnahmen der ANSSI aus dem Jahr 2025 umfassten förmliche Aufforderungen speziell wegen verspäteter Meldungen, unabhängig von der Schwere des zugrunde liegenden Vorfalls (ANSSI, 2025).

4. Lieferkettensicherheit (Artikel 21 Absatz 2 Buchstabe d)

Die Überprüfung der Lieferkette durch die ANSSI ist für OSEs besonders streng. Einrichtungen müssen:

  • Ein vollständiges Verzeichnis der ICT-Drittparteibeziehungen pflegen
  • Kritische Lieferanten identifizieren und deren Sicherheitslage bewerten
  • Vertraglich Sicherheitsstandards von Lieferanten fordern
  • Periodische Lieferketten-Sicherheitsüberprüfungen durchführen

Für Einrichtungen mit komplexen Lieferantenökosystemen erwartet die ANSSI Nachweise über einen strukturierten Lieferketten-Risikomanagementprozess — nicht nur eine Tabelle mit Lieferantennamen.

5. Registrierungs- und Meldepflichten

Nach der französischen Umsetzung müssen alle erfassten Einrichtungen:

  • Sich über das dafür vorgesehene Portal bei der ANSSI registrieren
  • Vollständige Einrichtungsidentifikation, Sektorklassifizierung und Kontaktinformationen angeben
  • Die ANSSI über wesentliche Änderungen ihrer Sicherheitslage, Organisationsstruktur oder Kontaktdaten innerhalb von 30 Tagen informieren

Die Nichtregistrierung selbst ist ein eigenständiger Verstoß. Die erste Durchsetzungswelle der ANSSI im Jahr 2025 richtete sich gezielt gegen Einrichtungen, die die Registrierung nicht abgeschlossen hatten (ANSSI, 2025).

Sanktionen: Was französische Einrichtungen erwarten

Der französische Sanktionsrahmen entspricht den Höchstwerten von NIS2:

EinrichtungsartHöchststrafeBerechnungsgrundlage
OSE (Wesentlich)10.000.000 Euro oder 2% des weltweiten JahresumsatzesJe nachdem, welcher Betrag höher ist
OSI (Wichtig)7.000.000 Euro oder 1,4% des weltweiten JahresumsatzesJe nachdem, welcher Betrag höher ist

Über Geldstrafen hinaus kann die ANSSI verhängen:

  • Temporäre Verbote für Führungskräfte, Vorstandspositionen einzunehmen (Artikel 20-Haftung)
  • Verbindliche Sicherheitsbehebungsanordnungen mit bindenden Fristen
  • Öffentliche Bekanntgabe von Durchsetzungsmaßnahmen

Einen umfassenden Überblick über Sanktionen nach Einrichtungsart finden Sie in unserem NIS2-Strafen- und Bußgelder-Leitfaden.

Sektorspezifische Besonderheiten für Frankreich

Energiesektor

Frankreichs starke Abhängigkeit von Kernenergie (ca. 70% der Stromerzeugung) stellt EDF und verbundene Betreiber unter erhöhte ANSSI-Aufsicht. Der Energiesektor gehörte zu den ersten, der förmliche Aufforderungen erhielt, und die Audits der ANSSI bei Energie-OSEs gehören zu den technisch anspruchsvollsten — sie prüfen SCADA-Systeme, industrielle Steuerungssysteme (ICS) und OT/IT-Konvergenzsicherheit.

Finanzdienstleistungen

Die ACPR (Autorité de Contrôle Prudentiel et de Résolution) koordiniert sich mit der ANSSI für Finanzsektor-Einrichtungen und schafft einen dualen Aufsichtsrahmen. Banken und Betreiber von Finanzmarktinfrastrukturen müssen gleichzeitig ACPR-Aufsichtsanforderungen und ANSSI-Cybersicherheitsanforderungen erfüllen. Einrichtungen sollten gemeinsame Aufsichtsaktivitäten erwarten.

Gesundheitswesen

Französische Gesundheitseinrichtungen — insbesondere Krankenhäuser und Gesundheitsdatenverarbeiter — unterliegen der ANSSI-Aufsicht sowohl nach NIS2 als auch nach dem bestehenden HDS-Zertifizierungsrahmen (Hébergeur de Données de Santé). Die Compliance erfordert die Erfüllung sowohl der NIS2-Artikel-21-Anforderungen als auch der HDS-spezifischen Datenschutzstandards.

Digitale Infrastruktur

Frankreichs bedeutende Rechenzentrums- und Cloud-Hosting-Branche fällt direkt unter den Sektor digitale Infrastruktur von NIS2. Die ANSSI war besonders aktiv bei der Beaufsichtigung dieser Einrichtungen, da sie als vorgelagerte Abhängigkeiten für Tausende nachgelagerte Organisationen dienen. Wer digitale Infrastruktur in Frankreich betreibt, sollte eine frühzeitige und detaillierte ANSSI-Betreuung erwarten.

Praktische Compliance-Schritte für französische Einrichtungen

Basierend auf den Durchsetzungsmaßnahmen und veröffentlichten Leitlinien der ANSSI ist dies eine priorisierte Compliance-Roadmap:

Schritt 1: Registrierung (Sofort) Registrieren Sie sich im ANSSI-Portal, falls noch nicht geschehen. Nichtregistrierung ist ein eigenständiger Verstoß, der die erste Durchsetzungswelle auslöste.

Schritt 2: Governancedokumentation (Woche 1-2)

  • Genehmigung der Cybersicherheits-Risikomanagementrichtlinie durch den Vorstand einholen
  • Cybersicherheits-Briefing für den Vorstand einplanen
  • Cybersicherheitsschulung der Leitungsorgane dokumentieren
  • Einen verantwortlichen Sicherheitsbeauftragten mit direkter Berichtslinie an die Leitungsorgane benennen

Schritt 3: Risikobewertung (Woche 2-6)

  • Umfassende Risikobewertung durchführen oder aktualisieren, die alle Elemente des Artikels 21 Absatz 2 abdeckt
  • Risikoentscheidungen dokumentieren
  • Risikobewertung mit dem Anlageninventar verknüpfen

Schritt 4: Vorfallreaktion (Woche 2-4)

  • Vorfallreaktionsverfahren dokumentieren, die den Anforderungen des ANSSI-SIGNALEMENT-Portals entsprechen
  • Interne Eskalationswege für 24-Stunden-Frühwarnung definieren
  • Tabletop-Übung durchführen und Ergebnisse dokumentieren
  • Vorfallreaktionsteam im SIGNALEMENT-Melde-Workflow schulen

Schritt 5: Lieferkettenverzeichnis (Woche 3-6)

  • ICT-Drittparteiverzeichnis vervollständigen
  • Kritische Lieferanten identifizieren und klassifizieren
  • Sicherheitsbewertungen für Top-Lieferanten initiieren
  • Lieferantenverträge auf Sicherheitsklauseln prüfen und aktualisieren

Schritt 6: Technische Maßnahmen überprüfen (Woche 4-8)

  • Kryptografische Maßnahmen gemäß ANSSI-Leitlinien prüfen
  • Geschäftskontinuitäts- und Backup-Verfahren bestätigen und testen
  • Zugriffssteuerungs- und Identitätsmanagementrichtlinien validieren
  • Netzwerksegmentierung und Überwachungsfähigkeiten testen

Schritt 7: Dokumentationspaket (Woche 6-10) Stellen Sie das vollständige Nachweispaket zusammen, das die ANSSI bei einem Aufsichtsbesuch anfordern wird:

  • Governancedokumentation des Vorstands (PV, Richtlinien, Schulungsnachweise)
  • Risikobewertung und Maßnahmenplan
  • Anlageninventar mit Aktualisierungsdaten
  • Vorfallreaktionsplan mit Testhistorie
  • Lieferkettenverzeichnis mit Lieferantenbewertungen
  • Prüfberichte technischer Maßnahmen

Für einen strukturierten Ansatz laden Sie unsere NIS2-Compliance-Checkliste als PDF herunter, die alle 15 Compliance-Domänen mit konkreten Maßnahmen abdeckt.

Auswirkungen auf die Cyberversicherung in Frankreich

Die Durchsetzung durch die ANSSI hat unmittelbare Implikationen für das Cyber-Underwriting im französischen Markt:

  1. Compliance als Versicherbarkeit: Französische Einrichtungen, die der ANSSI keine NIS2-Compliance nachweisen können, werden zunehmend Schwierigkeiten haben, Cyber-Deckung zu erhalten oder zu erneuern. Versicherer fordern bei der Verlängerung bereits Nachweise über die ANSSI-Registrierung und den Compliance-Status.

  2. Fragen zur Strafdeckung: Während NIS2-Verwaltungsgelder nach französischem Recht grundsätzlich nicht versicherbar sind (Strafausschluss), sind die Geschäftsausfall- und Behebungskosten nach einem Compliance-Versagen gedeckt. Diese Unterscheidung ist für die Policenformulierung entscheidend.

  3. Steigende Nachfrage: Da die ANSSI die Durchsetzung verschärft, beschleunigt sich die Nachfrage nach Cyberversicherung bei französischen Mittelstandsunternehmen. Makler, die die NIS2-ANSSI-Compliance-Landschaft verstehen, können Deckung effektiver positionieren.

Für Makler, die französische Cyberrisiken platzieren, siehe unser Cyber-Versicherungs-Kaufratgeber 2026 und NIS2-Underwriting-Fragen für Makler für den vollständigen Fragenkatalog für französische Kunden.

Vergleich: ANSSI vs. BSI-Durchsetzung

Frankreich, Spanien und Italien sind die drei größten NIS2-Durchsetzungszuständigkeiten in der EU. Für die spanische Perspektive siehe unseren NIS2-Spanien-INCIBE-Compliance-Leitfaden. Für die italienische Perspektive siehe unseren NIS2-Italien-ACN-Compliance-Leitfaden. Während sowohl ANSSI als auch BSI den Anforderungen von Artikel 21 folgen, unterscheiden sich ihre Durchsetzungsstile:

AspektANSSI (Frankreich)BSI (Deutschland)
Erste DurchsetzungQ3 2025 förmliche AufforderungenEnde 2025 Audit-Kriterien
AnsatzFörmliche Aufforderungen + AufsichtsbesucheRisiko-basiertes Audit-Programm
VorfallportalSIGNALEMENTBSI Meldestelle
LieferkettenfokusHoch — erfordert strukturiertes LieferantenverzeichnisHoch — erfordert ICT-Lieferantenbewertungen
SektorschwerpunktEnergie, digitale Infrastruktur, GesundheitEnergie, Verkehr, Bankwesen
Grenzüberschreitende KoordinationAktiv im EU-KoordinierungsrahmenAktiv im EU-Koordinierungsrahmen

Für die deutsche Perspektive siehe unseren BSI-NIS2-Durchsetzungsleitfaden.

Fazit

Die ANSSI wartet nicht darauf, dass Organisationen aufholen. Die förmlichen Aufforderungen werden bereits erlassen, Aufsichtsbesuche sind im Gange, und der Sanktionsrahmen ist durchsetzbar. Französische Einrichtungen, die NIS2 als zukünftige Verpflichtung behandeln, sind bereits im Rückstand.

Der Mindeststandard ist klar: bei der ANSSI registriert, Governance dokumentiert, Risikobewertung aktuell, Vorfallreaktion getestet, Lieferkarte abgebildet. Wenn hieran etwas fehlt, tickt die Uhr nicht nur — sie ist für einige bereits abgelaufen.

Nächste Schritte:

Verwandte NIS2-Länderleitfäden:


Quellen:

  • ANSSI (2025). Mise en œuvre de la directive NIS2 en France — Guide à destination des entités essentielles et importantes. Paris: ANSSI.
  • Europäische Kommission (2026). Bericht über die Umsetzung der NIS2-Richtlinie in den Mitgliedsstaaten. Brüssel: EK.
  • ENISA (2024). ICT Supply Chain Security — Leitlinien zur NIS2-Compliance. Athen: ENISA.

Michael Guiao Michael Guiao gründete Resiliently AI und schreibt Resiliently. Er hat CISM, CCSP, CISA und DPO-Zertifizierungen — aber sie verfallen lassen, denn im Zeitalter von KI ist Wissen billig. Worauf es ankommt, ist Urteilskraft — und die kommt aus acht Jahren Praxis bei Zurich, Sompo, AXA und PwC.

Get the full picture with premium access

In-depth reports, assessment tools, and weekly risk intelligence for cyber professionals.

Starter

€199 /month

Unlimited scans, submission packets, PDF downloads, NIS2/DORA

View Plans →
Best Value

Professional

€490 /month

Full platform — continuous monitoring, API access, white-label reports

Everything in Starter plus professional tools

Upgrade Now →
30-day money-back
Secure via Stripe
Cancel anytime

Free NIS2 Compliance Checklist

Get the free 15-point PDF checklist + NIS2 compliance tips in your inbox.

No spam. Unsubscribe anytime. Privacy Policy

blog.featured

WordPress Plugin Flaw CVE-2023-4213 Exposes 10K+ Sites to Cyber Claims

Cyber Risk ·

6 min read

WordPress Plugin XSS Vulnerability Exposes Cyber Insurance Portfolios to Persistent Web Risks

Cyber Risk ·

5 min read

WordPress Security Plugin Flaw Exposes Organizations to Cyber Claims

Cyber Risk ·

6 min read

WordPress Plugin Flaw Exposes Cyber Insurance Portfolios to SQL Injection Risks

Cyber Risk ·

6 min read

Premium Report

2026 Cyber Risk Landscape Report

24 pages of threat analysis, claims data, and underwriting implications for European cyber insurance.

View Reports →

Verwandte Artikel

DeepMind Mapped Every Way the Web Can Hijack Your AI Agent — Here Is What Underwriters Need to Ask
AI Agents · · 20 min read

DeepMind Mapped Every Way the Web Can Hijack Your AI Agent — Here Is What Underwriters Need to Ask

Google DeepMind researchers classified six categories of AI agent attacks — from invisible web content that hijacks perception to cascading multi-agent failures. Coverage gaps emerge at every layer. Here is the underwriting playbook.