NIS2 Regulatorische Zeitleiste
Wichtige Meilensteine und aktuelle Entwicklungen zu NIS2-Richtlinie, BSIG, CIR 2024/2690, IT-Grundschutz und ENISA — automatisch aktualisiert.
2026
EDPB und EDSB verabschieden gemeinsame Stellungnahme 4/2026 zu NIS2-Änderungen und Cybersecurity Act 2
EU-Datenschutzbehörden befürworten formell die Stärkung der Cybersicherheit und fordern zugleich Datenschutz-Leitplanken: Begrüßung von Digital-Identity-Wallet-Anbietern als wesentliche Einrichtungen, Forderung nach ENISA-EDPB-Konsultation vor Verabschiedung von Zertifizierungsschemata mit Personendatenbezug, Empfehlung einer zentralen Meldestelle für Datenpannen zur Reduktion des Verwaltungsaufwands und Klarstellung der Überschneidung von DSGVO- und Cybersicherheitszertifizierung.
BSI und Govdigital kündigen 'Cyberdome' an — automatisierte Cyberabwehr für 10 Bundesländer
BSI und der öffentliche IT-Dienstleisterverbund Govdigital kündigen Cyberdome an: sensorbasierte automatisierte Cyberabwehr-Infrastruktur in 10 Bundesländern und Kommunen mit BSI-vernetzter Echtzeitüberwachung.
KRITIS-Dachgesetz tritt in Kraft — physische Sicherheit zusätzlich zu NIS2-Cyberanforderungen
Deutschlands CER-Richtlinien-Umsetzung (KRITIS-Dachgesetz) tritt in Kraft und ergänzt NIS2-Cybersicherheit um physische Sicherheits- und Resilienzanforderungen. Erfordert BCMS neben ISMS, physische Sicherheitskontrollen und dreijährige Audits. Bußgelder bis 1 Mio. €.
BSI veröffentlicht NIS2-FAQ speziell für die öffentliche Verwaltung
BSI veröffentlicht eine spezielle FAQ zu NIS2-Anwendbarkeit und Compliance-Anforderungen für Bundes-, Landes- und Kommunalverwaltungen.
ENISA veröffentlicht technischen Leitfaden zur sicheren Nutzung von Paketmanagern
Neuer Leitfaden zum sicheren Software-Entwicklungszyklus mit Fokus auf Paketmanager-Sicherheit — direkt relevant für NIS2-Lieferkettensicherheitsanforderungen (Art. 21(2)(d)).
BSI-Registrierungsfrist läuft ab — Bußgelder für Nicht-Registrierung jetzt möglich
Drei Monate nach Inkrafttreten des BSIG läuft die Pflicht-Registrierungsfrist am BSI-Portal ab. Verspätete Registrierung wird noch angenommen, aber Bußgelder bis 10 Mio. € oder 2% des Jahresumsatzes sind nun rechtlich durchsetzbar.
Nur 38,5% der betroffenen Unternehmen registriert — über 18.000 verpassen die Frist
Nur ~11.500 von ~29.500 betroffenen Einrichtungen haben sich bis zur Frist am 6. März registriert. Über 4.000 registrierten sich in der letzten Woche. Haupthindernisse: Unsicherheit über Betroffenheit, komplexe ELSTER-Zertifikatsanforderung und mangelndes Bewusstsein bei Mittelständlern.
BOS-Digitalfunk-Betreiber erhält ISO 27001/IT-Grundschutz-Zertifizierung
Der Betreiber des deutschen BOS-Digitalfunknetzes für Behörden und Organisationen mit Sicherheitsaufgaben erreicht ISO 27001-Zertifizierung auf IT-Grundschutz-Basis.
Öffentliche Kommentierungsphase für technische CRA-Compliance-Richtlinie eröffnet
BSI eröffnet öffentliche Kommentierungsphase für die technische Compliance-Richtlinie zum Cyber Resilience Act (CRA), die Produktsicherheitsanforderungen mit NIS2-Lieferkettenplichten verbindet.
BMI veröffentlicht Entwurf des Cybersicherheitsstärkungsgesetzes — neue Pflichten für NIS2-regulierte Unternehmen
Bundesinnenministerium stellt den Entwurf des Gesetzes zur Stärkung der Cybersicherheit vor. BKA, Bundespolizei und BSI erhalten aktive Cyberabwehr-Befugnisse einschließlich Störung von Angreifer-Infrastruktur. Neue Pflichten für NIS2-regulierte Unternehmen: Kooperationspflicht bei staatlichen Cyberoperationen, BSI-vernetzte Angriffserkennung und DNS-basierter Kundenschutz. Bußgelder bis 20 Mio. € oder 2% des weltweiten Jahresumsatzes. ~375 neue Stellen bis 2030 nötig.
Polen unterzeichnet NIS2-Umsetzung — tritt am 2. April 2026 in Kraft
Präsident Nawrocki unterzeichnet die Novelle des polnischen Gesetzes über das nationale Cybersicherheitssystem (UKSC) zur NIS2-Umsetzung. Inkrafttreten am 2. April nach einmonatiger Vacatio legis. Registrierungsfrist: 3. Oktober 2026. Volle Compliance-Frist: 3. April 2027. Der Präsident verweist gleichzeitig Regelungen zu Hochrisiko-Anbietern und Sanktionen an das Verfassungsgericht.
ENISA veröffentlicht Methodik-Rahmenwerk für Cybersicherheitsübungen
Neue Methodik für Planung, Durchführung und Auswertung von Cybersicherheitsübungen — relevant für NIS2-Einrichtungen, die Incident-Response-Fähigkeiten nach Art. 21 testen müssen.
Hybridity sammelt 2 Mio. € für KI-gestützte NIS2/DORA-Compliance-Automatisierung
Das Stockholmer Unternehmen Hybridity sammelt 2 Mio. € (insgesamt 5 Mio. €) für seine KI-Plattform 'Hy5' zur Automatisierung von DORA-, NIS2- und DSGVO-Compliance. Plattform prüft Verträge automatisch und erstellt Compliance-Maßnahmenlisten.
ENISA veröffentlicht internationale Strategie für Cybersicherheitskooperation
ENISA veröffentlicht ihre internationale Kooperationsstrategie, die beschreibt, wie die Agentur mit Nicht-EU-Partnern bei Cybersicherheitsstandards und Bedrohungsinformationsaustausch zusammenarbeitet.
Südwestfalen-IT erhält ISO 27001-Zertifizierung auf Basis von IT-Grundschutz
Nach dem verheerenden Ransomware-Angriff 2023 erreicht der kommunale IT-Dienstleister Südwestfalen-IT die ISO 27001-Zertifizierung auf Basis von IT-Grundschutz als Nachweis der Wiederherstellung und Sicherheitsreife.
EU schlägt NIS2-Änderungen vor — neue Einrichtungstypen, Harmonisierungsgrenze, PQC-Migration
Europäische Kommission stellt Cybersicherheitspaket mit gezielten NIS2-Änderungen vor: Seekabel-Infrastruktur und Digital-Wallet-Anbieter aufgenommen, neue Kategorie 'kleine Midcap' (~22.500 Unternehmen), verpflichtende Ransomware-Meldedetails und Post-Quanten-Kryptografie-Migrationsfristen (2030/2035).
Erstes EUCC-Cybersicherheitszertifikat unter EU-Rahmenwerk ausgestellt
Das erste europäische Cybersicherheitszertifikat (EUCC) wird ausgestellt und etabliert ein gemeinsames EU-weites Zertifizierungsschema, mit dem NIS2-Einrichtungen Compliance nachweisen können.
BSI-NIS2-Registrierungsportal geht online
BSI startet portal.bsi.bund.de für NIS2-Registrierung und Vorfallsmeldung. Registrierung erfordert ein ELSTER-Organisationszertifikat (5-10 Werktage Bearbeitungszeit).
Grundschutz++ Übergangsphase beginnt — Parallelbetrieb bis 2029
BSI startet offiziell die Modernisierungs-Übergangsphase für Grundschutz++. Maschinenlesbares OSCAL/JSON-Format ersetzt PDF/Excel. Edition 2023 bleibt während der Übergangsphase bis 2029 für Audits gültig.
2025
BSIG tritt in Kraft — NIS2 ist Gesetz in Deutschland
Das novellierte BSIG tritt am Nikolaustag in Kraft, über ein Jahr nach der EU-Umsetzungsfrist. Keine Übergangszeit — alle Pflichten gelten sofort für ~29.500 betroffene Einrichtungen.
NIS2UmsuCG im Bundesgesetzblatt veröffentlicht (BGBl. 2025 I Nr. 301)
Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz wird im Bundesgesetzblatt veröffentlicht und tritt am Folgetag in Kraft.
Bundestag verabschiedet NIS2UmsuCG — Deutschlands NIS2-Umsetzungsgesetz
Der Bundestag verabschiedet das NIS2UmsuCG in 2. und 3. Lesung. Stimmen: CDU/CSU + SPD + AfD dafür, Grüne dagegen, Die Linke enthält sich. Rund 29.500 Einrichtungen fallen nun unter BSI-Aufsicht.
Koalition einigt sich auf NIS2UmsuCG-Kompromisse — Ex-post-Modell für kritische Komponenten
CDU/CSU-SPD-Koalition einigt sich: Regulierung kritischer Komponenten wechselt von Ex-ante-Genehmigung zu Ex-post-Meldung. CISO-Rolle des Bundes an BSI in Bonn übertragen.
BSI veröffentlicht Grundschutz++ Vorschau auf GitHub (OSCAL/JSON)
BSI veröffentlicht die Stand-der-Technik-Bibliothek auf GitHub mit Vorschau abstrakter Anforderungen im OSCAL/JSON-Format. Nicht produktionsreif — nur erster Entwurf, konkrete Maßnahmen werden noch ergänzt.
Bundeskabinett beschließt NIS2UmsuCG-Gesetzentwurf
Das Bundeskabinett beschließt den Entwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes und leitet ihn an das Parlament weiter. Das Gesetz wurde wegen der verpassten EU-Frist im Eilverfahren behandelt.
ENISA veröffentlicht NIS2-Leitfaden zur technischen Umsetzung v1.0
170-seitiges Dokument, das CIR 2024/2690 in praktische Maßnahmen in 13 Themenbereichen mit Nachweisbeispielen und Standards-Zuordnungen übersetzt. Primäre Referenz für die NIS2-Compliance-Umsetzung.
EK sendet mit Gründen versehene Stellungnahmen an 19 Mitgliedstaaten wegen verspäteter NIS2-Umsetzung
Die Europäische Kommission verschärft Vertragsverletzungsverfahren gegen 19 Mitgliedstaaten, die die NIS2-Richtlinie nicht fristgerecht bis Oktober 2024 umgesetzt haben.
2024
CIR 2024/2690 tritt in Kraft
Die Durchführungsverordnung wird 20 Tage nach Veröffentlichung in allen EU-Mitgliedstaaten verbindlich und legt die technische Grundlage für NIS2-Compliance fest.
CIR 2024/2690 veröffentlicht — Durchführungsverordnung zu technischen NIS2-Anforderungen
Durchführungsverordnung (EU) 2024/2690 veröffentlicht. Sie legt technische und methodische Anforderungen an NIS2-Cybersicherheits-Risikomanagementmaßnahmen für digitale Infrastruktur- und Dienstleister fest.
NIS2-Umsetzungsfrist läuft ab — die meisten Mitgliedstaaten verpassen sie
Mitgliedstaaten mussten NIS2 bis zu diesem Datum in nationales Recht umsetzen. Die meisten, einschließlich Deutschland, verpassen die Frist. Nur Belgien hat vollständig umgesetzt und mit der Durchsetzung begonnen.
2023
IT-Grundschutz-Kompendium Edition 2023 veröffentlicht
BSI veröffentlicht das IT-Grundschutz-Kompendium Edition 2023 — der aktuelle Produktionsstandard für Informationssicherheitsmanagement in Deutschland. Bleibt die gültige Audit-Referenz während der Grundschutz++-Übergangsphase.
NIS2-Richtlinie tritt in Kraft
Die NIS2-Richtlinie tritt 20 Tage nach Veröffentlichung in Kraft. Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit zur Umsetzung in nationales Recht.
2022
NIS2-Richtlinie im Amtsblatt veröffentlicht
Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union im Amtsblatt der EU veröffentlicht.
Quellen
Diese Seite wird regelmäßig aus den folgenden offiziellen und journalistischen Quellen aktualisiert.