Zum Hauptinhalt springen
NIS2Certify
Zurück zur Übersicht

Frankreichs NIS2-Gesetz kommt: Was ANSSIs ReCyF für IT-Lieferanten und MSPs bedeutet

Von NIS2Certify
frankreichnis2-complianceanssimspsit-beraterrecyfeu-richtlinie
Frankreichs NIS2-Gesetz kommt: Was ANSSIs ReCyF für IT-Lieferanten und MSPs bedeutet

Frankreich steht kurz davor, den NIS2-Schalter umzulegen — und der Zeitplan ist eng.

Das französische Parlament wird voraussichtlich im Juli 2026 über das Gesetz zur Widerstandsfähigkeit kritischer Infrastrukturen und zur Stärkung der Cybersicherheit abstimmen. Nach der Verabschiedung bringt das Gesetz rund 15.000 Unternehmen unter formale NIS2-Verpflichtungen — eine Verzehnfachung gegenüber den ~500 Organisationen, die unter dem früheren französischen NIS1-Rahmen reguliert wurden. Für IT-Berater, MSPs und vCISOs, die französische Kunden betreuen oder an französisch regulierte Organisationen liefern, schließt sich das Fenster zum Voraushandeln schnell.

Hier erfahren Sie, was sich geändert hat, was ANSSI veröffentlicht hat und was das für Ihre Arbeit bedeutet.

Frankreich War Spät — Bewegt Sich Jetzt Aber Schnell

Frankreich verpasste die EU-Frist vom Oktober 2024 für die NIS2-Umsetzung und schloss sich 18 anderen Mitgliedstaaten an, die von der Europäischen Kommission formal ermahnt wurden. Der Gesetzgebungsprozess verlief langsamer als erwartet, teils aufgrund politischer Instabilität und teils aufgrund der Komplexität des bestehenden französischen Rahmens für kritische Infrastrukturen, bekannt als SAIV-Regime.

Diese Verzögerung ist kein Grund mehr zum Warten. Im März 2026 veröffentlichte ANSSI — Agence Nationale de la Sécurité des Systèmes d'Information, Frankreichs nationale Cybersicherheitsbehörde — das Référentiel Cyber France (ReCyF v2.5). Dies ist ein Rahmenwerk mit 152 Sicherheitsmaßnahmen, das definiert, wie NIS2-Compliance in der Praxis nach französischem Recht aussieht. Unternehmen müssen das endgültige Gesetz nicht abwarten, um damit zu beginnen. Das ReCyF ist aktiv, ANSSI leitet Organisationen bereits darauf hin und Prüfer werden es als Maßstab verwenden.

NIS2 Umsetzungsstatus nach Land (2025–2026)
Vollständig in Kraft
Belgien
Kroatien
Ungarn
Litauen
Lettland
Italien
6 Länder
Verabschiedet — Ende 2025
Deutschland
Tschechien
Finnland
3 Länder
In Bearbeitung — erwartet 2026
Niederlande
Frankreich
Spanien
Polen
Österreich
Schweden
Irland
7 Länder

Was das ReCyF Tatsächlich Abdeckt

Das ReCyF organisiert 152 Sicherheitsmaßnahmen über 20 Sicherheitsziele. Sowohl Wichtige Einrichtungen (EI) als auch Wesentliche Einrichtungen (EE) unterliegen den Zielen 1 bis 15, die die Grundlagen der Cybersicherheit abdecken:

  • Asset-Inventarisierung und -Klassifizierung
  • Governance, Verantwortlichkeit und Sicherheitsrichtlinien auf Vorstandsebene
  • Zugangskontrolle, Identitätsmanagement und Privilegienverwaltung
  • Technischer Schutz — Patch-Rhythmus, Konfigurationshärtung, Endpunkt-Kontrollen
  • Krisenmanagement, Reaktion auf Vorfälle und Betriebskontinuität

Wesentliche Einrichtungen müssen zusätzlich die Anforderungen der Ziele 16–20 erfüllen. Wenn Sie eine französische Einrichtung zu NIS2-Bereitschaft beraten, ist das ReCyF Ihr Arbeitsdokument.

Artikel 21 — 10 NIS2 Cybersicherheitsmaßnahmen
Artikel 21
10 Cybersicherheitsmaßnahmen
Governance & Strategie
1Risikoanalyse & Informationssicherheitsrichtlinien
6Bewertung der Wirksamkeit von Sicherheitsmaßnahmen
Vorfälle & Kontinuität
2Vorfallsbehandlung & Meldung
3Geschäftskontinuität & Notfallwiederherstellung
Lieferkette & Systeme
4Sicherheit der Lieferkette
5Sicherheit bei der Entwicklung von Netz- und Informationssystemen
Technische Kontrollen
8Kryptografie & Verschlüsselung
10Multi-Faktor-Authentifizierung & sichere Kommunikation
Personal & Ressourcen
7Cyber-Hygiene & Schulung
9Personalsicherheit & Zugangskontrolle

Wer In den Anwendungsbereich Fällt

Frankreichs Gesetz wird Einrichtungen in zwei Stufen einteilen — Wesentliche Einrichtungen (EE) und Wichtige Einrichtungen (EI). Unter Anhang II (Wichtige Einrichtungen) fallen:

  • Managed-Service-Provider und IT-Managed-Security-Dienste
  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Herstellung von Medizinprodukten, Elektronik, Maschinen und Kraftfahrzeugen
  • Digitale Marktplätze und Suchmaschinen

Für MSPs und IT-Berater, die in Frankreich tätig sind oder französisch regulierte Kunden betreuen: Ihre Kunden fallen in den Anwendungsbereich. Das macht Sie zu einem kritischen Knotenpunkt in ihrer Compliance-Kette.

Frankreich wächst von rund 500 regulierten Einrichtungen auf ca. 15.000. Die große Mehrheit sind Wichtige Einrichtungen in Sektoren, die noch nie mit obligatorischen Cybersicherheitsprüfungen konfrontiert waren.

Der Durchsetzungszeitplan

  • Juli 2026: Gesetz verabschiedet, tritt in Kraft
  • Q4 2026: ANSSI beginnt formale Aufsicht und Entitätsregistrierung über die MesServicesCyber-Plattform
  • 2027: Reguläre Prüfzyklen beginnen für wesentliche Einrichtungen; die 24-Stunden-Erstmeldung und 72-Stunden-Vollbewertungsfenster für Vorfälle werden streng durchgesetzt
  • Ab 2027: Bußgelder gelten — bis zu €10 Millionen oder 2% des weltweiten Jahresumsatzes für wesentliche Einrichtungen, €7 Millionen oder 1,4% für wichtige Einrichtungen
NIS2 Zeitplan für die Vorfallmeldung
24h
Frühwarnung
Melden Sie den erheblichen Vorfall innerhalb von 24 Stunden nach Bekanntwerden bei der zuständigen Behörde (CSIRT/NCA).
72h
Vorfallmeldung
Übermitteln Sie innerhalb von 72 Stunden eine detaillierte Meldung mit einer ersten Bewertung von Schwere, Auswirkungen und Kompromittierungsindikatoren.
1mo
Abschlussbericht
Liefern Sie innerhalb eines Monats einen umfassenden Abschlussbericht mit Ursachenanalyse, ergriffenen Maßnahmen und grenzüberschreitenden Auswirkungen.

Was Jetzt Zu Tun Ist

Kartieren Sie Ihren Kundenstamm anhand von NIS2 Anhang I und II. Identifizieren Sie, welche Kunden wahrscheinlich in den Anwendungsbereich fallen.

Laden Sie das ReCyF herunter. Überprüfen Sie die 152 Maßnahmen im Vergleich zu Ihrer aktuellen Dienstleistung und identifizieren Sie Lücken.

Führen Sie jetzt eine Gap-Analyse durch. Das ReCyF ist der operative Rahmen, den ANSSI zur Beurteilung der Compliance verwenden wird. Warten Sie nicht auf das Gesetz. Siehe auch unseren NIS2 Gap-Analyse Schritt-für-Schritt-Leitfaden.

Überprüfen Sie Ihre eigenen Verpflichtungen. Als MSP können Sie direkt als Wichtige Einrichtung unter NIS2 fallen.

Kommen Sie der Vertragssprache zuvor. Französische Kunden, die NIS2 unterliegen, müssen Cybersicherheitsanforderungen an ihre Lieferanten weitergeben.

Für eine schnelle Bewertung der Compliance-Position Ihrer Kunden: nutzen Sie den NIS2 Quick Scan auf NIS2Certify.

Fazit

Frankreichs NIS2-Gesetz ist Wochen von der Verabschiedung entfernt. ANSSI hat bereits sein 152-Maßnahmen-Rahmenwerk veröffentlicht und die Registrierungsinfrastruktur aufgebaut. Für IT-Berater und MSPs ist die Richtung klar: Anwendungsbereich kartieren, Gap-Analysen auf Basis des ReCyF durchführen und Lieferkettenanforderungen vorgreifen, bevor französische Kunden nach Nachweisen fragen.

Auf das endgültige Gesetz zu warten, bevor Sie beginnen, ist die falsche Entscheidung. Das Rahmenwerk ist live. Der Zeitplan steht fest. Die Arbeit beginnt jetzt.

NIS2-Sanktionseskalation — Jenseits der Geldbuße
!
Auslöser
Non-Compliance erkannt oder Vorfall tritt ein
Eine Aufsichtsbehörde identifiziert eine Compliance-Lücke oder eine Organisation erfüllt die NIS2-Anforderungen nicht
Behörden können verhängen
Nicht-finanzielle Sanktionen
1
Anordnungen mit bindenden Fristen
2
Verpflichtende Sicherheitsaudits auf eigene Kosten
3
Öffentliche Bekanntmachung von Verstößen
4
Bindende Anweisungen zu spezifischen Sicherheitsmaßnahmen
Eskaliert zu
Betriebliche und persönliche Konsequenzen
1
Aussetzung von Zertifizierungen oder Betriebsgenehmigungen
2
Vorübergehendes Verbot von Leitungsfunktionen für Personen
3
Öffentliche Benennung verantwortlicher natürlicher Personen
Auslöser
Nicht-finanziell
Betrieblich / persönlich
    Frankreichs NIS2-Gesetz kommt: Was ANSSIs ReCyF für IT-Lieferanten und MSPs bedeutet — NIS2Certify