NIS2 Regulatorische Zeitleiste
Wichtige Meilensteine und aktuelle Entwicklungen zu NIS2-Richtlinie, BSIG, CIR 2024/2690, IT-Grundschutz und ENISA - automatisch aktualisiert.
2026
BSI startet CyberGovSecure — koordinierte NIS-2-Umsetzung in der Bundesverwaltung
BSI, CISO Bund und das Bundesministerium fuer Digitales und Staatsmodernisierung haben am 4. Mai 2026 CyberGovSecure gestartet, ein strukturiertes ressortuebergreifendes Programm zur Umsetzung von Cybersicherheitsmassnahmen in allen Bundesbehoerden. BSI-Praesidentin Claudia Plattner bezeichnet es als zentralen Baustein der NIS-2-Umsetzung in der Bundesverwaltung. Umsetzungsverantwortung liegt bei jeder Behoerde; das BSI begleitet technisch und organisatorisch.
BSI und Brandenburg unterzeichnen Kooperationsvereinbarung zur Cybersicherheit
BSI-Praesidentin Claudia Plattner und der brandenburgische Staatssekretaer Ernst Buerger unterzeichnen eine formale Kooperationsvereinbarung mit zehn Handlungsfeldern: operative Cybersicherheit (Informationsmanagement, Sicherheitstests und -uebungen), gemeinsame Awareness- und Schulungsprogramme sowie wechselseitiger Austausch zum Aufbau von Fachkompetenz. Staerkt die Bund-Laender-Koordination zur Unterstuetzung der NIS2-Umsetzung in betroffenen oeffentlichen Verwaltungseinrichtungen.
BSI veroeffentlicht C3A-Kriterienrahmen fuer Cloud-Souveraenitaet
BSI veroeffentlicht das Rahmenwerk Criteria enabling Cloud Computing Autonomy (C3A), das transparente Souveraenitaetsstandards fuer Cloud-Dienste festlegt. C3A ergaenzt den bestehenden C5-Katalog und adressiert 'Cyber Dominance' — die Faehigkeit von Cloud-Herstellern, dauerhaften Zugang zu Kundensystemen und -daten zu behalten. Cloud-Anbieter muessen C5-Voraussetzungen erfuellen; das Rahmenwerk laesst Flexibilitaet bei der Datenlokalisierung (Deutschland oder EU). Ausgerichtet am European Cloud Sovereignty Framework (EU CSF). Nicht regulatorisch verpflichtend; ergaenzt, ersetzt aber NIS2-Cloud-Zertifizierungswege nicht.
Oeffentliche Feedbackfrist fuer vorgeschlagene NIS2-Richtlinienaenderungen endet
Die oeffentliche Feedbackfrist fuer die von der Europaeischen Kommission vorgeschlagenen NIS2-Aenderungen (veroeffentlicht am 20. Januar 2026) endet heute. Vorschlaege umfassen Seekabel-Infrastruktur im Anwendungsbereich, Kategorie kleine Midcap-Unternehmen, Ransomware-Meldedetails, verstaerkte ENISA-Rolle bei grenzueberschreitender Aufsicht und zertifizierungsbasierte Compliance-Pfade. Es folgt das ordentliche Gesetzgebungsverfahren in Parlament und Rat.
ENISA veroeffentlicht National Capabilities Assessment Framework 2.0
ENISA hat NCAF 2.0 veroeffentlicht, eine aktualisierte Methodik zur Bewertung nationaler Cybersicherheitsfaehigkeiten und Strategiereife. Ausgerichtet auf den NIS2-Artikel-19-Peer-Review-Prozess. Unterstuetzt Mitgliedstaaten bei der Identifizierung von Staerken, Luecken und Prioritaetsbereichen in der Cybersicherheit.
Belgien setzt erste NIS2-Compliance-Frist durch — wesentliche Einrichtungen muessen Cybersicherheitsstatus nachweisen
Belgien wird das erste EU-Land mit Ex-ante-NIS2-Aufsicht. Bis zum 18. April muessen wesentliche Einrichtungen verifizierte Cybersicherheitsdokumentation ueber einen von drei Wegen einreichen: CyberFundamentals (CyFun)-Verifizierung, ISO/IEC 27001-Zertifizierung oder direkten CCB-Inspektionsantrag. Bei Nichteinhaltung drohen Verwaltungsmassnahmen und Bussgelder bis 10 Mio. EUR oder 2% des Umsatzes. Volle Zertifizierung bis 18. April 2027.
21. Deutscher IT-Sicherheitskongress abgeschlossen — 8.000 Teilnehmer, NIS2 und KI-Sicherheit im Fokus
Das BSI veranstaltet den 21. IT-Sicherheitskongress in Bonn am 15.-16. April unter dem Motto 'Cybernation Deutschland'. Acht Sessions behandeln NIS-2-Umsetzung, KI-Sicherheit, Post-Quanten-Kryptografie, Zero Trust, sichere Lieferketten und digitale Identitaet. Hybrid-Workshops befassen sich mit Grundschutz++ 'Stand der Technik' und EUDI-Wallet-Themen. Kongressinhalte bleiben bis 15. Mai abrufbar.
Niederlande verabschieden Cyberbeveiligingswet (NIS2-Umsetzung) in der Zweiten Kammer
Die niederlaendische Tweede Kamer hat am 15. April 2026 die Cyberbeveiligingswet und die Wet weerbaarheid kritieke entiteiten (CER-Umsetzung) verabschiedet. Die Cyberbeveiligingswet ersetzt das bestehende Wbni und setzt NIS2-Pflichten um, einschliesslich Sorgfaltspflichten, Meldepflichten und Registrierung. Inkrafttreten voraussichtlich 1. Juli 2026 nach Zustimmung des Senats.
BSI-Kongress zeigt NIS-2-Umsetzung weit hinter Erwartungen — Unternehmen vermeiden bewusst Registrierung
Auf dem 21. IT-Sicherheitskongress enthuellte BSI-Beamter Manuel Bach, dass die NIS-2-Registrierung weit hinter den Erwartungen zurueckbleibt. Fast 50% der deutschen Unternehmen hatten den Begriff 'NIS-2' bis Ende 2025 noch nie gehoert. Manche Unternehmen vermeiden bewusst die Registrierung nach Ruecksprache mit Geschaeftsfuehrung und Rechtsberatung. Bach verglich Nichteinhaltung mit Steuerpflicht: 'Man kann nicht selbst entscheiden, ob es gilt.'
DENIC startet Phase-2-Risikoprüfung fuer .de-Domains unter NIS2
DENIC aktiviert Phase 2 der NIS2-Umsetzung fuer .de-Domain-Registrierungen. Ein automatisiertes Risikobewertungssystem nach Ampelprinzip (Niedrig/Verdaechtig/Hohes Risiko) klassifiziert nun alle Kontakt- und Domain-Auftraege. Auffaelligkeiten in Registrierungsdaten loesen Verifizierungsanfragen an das zustaendige DENIC-Mitglied aus. Nicht verifizierte Domains droht DNS-Quarantaene und Loeschung. Phase 1 (6. Dezember 2025) hatte bereits Inhaberdaten juristischer Personen im WHOIS oeffentlich gemacht. Betrifft alle ~17 Millionen .de-Domains.
BSI veroeffentlicht Kriterienkatalog C5:2026 fuer Cloud-Computing
Das BSI hat den C5:2026 veroeffentlicht, die aktualisierte Version des Kriterienkatalogs fuer sicheres Cloud-Computing als Nachfolger der Fassung von 2020. Die neue Edition deckt Container-Management, Post-Quanten-Kryptographie und Confidential Computing ab, ist am europaeischen EUCS-Zertifizierungsschema ausgerichtet und beruecksichtigte ausdruecklich die NIS2-Richtlinie sowie ISO/IEC 27001:2022 und die CSA Cloud Controls Matrix v4 bei der Entwicklung. Wird erstmals auch in maschinenlesbarem Format bereitgestellt.
Polens novelliertes KSC-Gesetz tritt in Kraft — 42.000 Einrichtungen nun betroffen
Polens novelliertes Gesetz ueber das nationale Cybersicherheitssystem (KSC) tritt am 3. April 2026 in Kraft und erweitert den NIS2-Anwendungsbereich von ~400 auf ~42.000 Organisationen, darunter ~28.000 oeffentliche Einrichtungen. Neue Sektoren: Lebensmittelproduktion, Abfallwirtschaft, Chemie, Postdienste, Fertigung. Einrichtungsregister am 13. April ueber S46-Plattform gestartet. Selbstregistrierungsfrist: 3. Oktober 2026. Volle Compliance bis 3. April 2027.
BSI veroeffentlicht Grundschutz++ Methodikleitfaden — PDCA-basiertes ISMS-Rahmenwerk
BSI veroeffentlicht den ersten Methodikleitfaden fuer Grundschutz++, der ein zukunftsorientiertes Rahmenwerk fuer den systematischen Aufbau eines ISMS auf Basis des PDCA-Zyklus etabliert. Der Leitfaden integriert strategische Verankerung, Anforderungsanalyse, Umsetzung, Ueberwachung und kontinuierliche Verbesserung. Derzeit nur fuer Pilotprojekte vorgesehen — Edition 2023 bleibt bis 2028 die gueltige Audit-Referenz.
EDPB und EDSB verabschieden gemeinsame Stellungnahme 4/2026 zu NIS2-Änderungen und Cybersecurity Act 2
EU-Datenschutzbehörden befürworten formell die Stärkung der Cybersicherheit und fordern zugleich Datenschutz-Leitplanken: Begrüßung von Digital-Identity-Wallet-Anbietern als wesentliche Einrichtungen, Forderung nach ENISA-EDPB-Konsultation vor Verabschiedung von Zertifizierungsschemata mit Personendatenbezug, Empfehlung einer zentralen Meldestelle für Datenpannen zur Reduktion des Verwaltungsaufwands und Klarstellung der Überschneidung von DSGVO- und Cybersicherheitszertifizierung.
BSI und Govdigital kündigen 'Cyberdome' an — automatisierte Cyberabwehr für 10 Bundesländer
BSI und der öffentliche IT-Dienstleisterverbund Govdigital kündigen Cyberdome an: sensorbasierte automatisierte Cyberabwehr-Infrastruktur in 10 Bundesländern und Kommunen mit BSI-vernetzter Echtzeitüberwachung.
KRITIS-Dachgesetz tritt in Kraft — physische Sicherheit zusätzlich zu NIS2-Cyberanforderungen
Deutschlands CER-Richtlinien-Umsetzung (KRITIS-Dachgesetz) tritt in Kraft und ergänzt NIS2-Cybersicherheit um physische Sicherheits- und Resilienzanforderungen. Erfordert BCMS neben ISMS, physische Sicherheitskontrollen und dreijährige Audits. Bußgelder bis 1 Mio. €.
Cyber Security Report 2026: 92% der kleinen deutschen Unternehmen unterschatzen NIS2-Betroffenheit
Der Cyber Security Report 2026 von Schwarz Digits befragt 1.001 deutsche Unternehmen und stellt fest, dass 48% irrtümlich annehmen, nicht von NIS2 betroffen zu sein. Bei kleinen Unternehmen (10-49 Mitarbeiter, >10 Mio. € Umsatz) erreicht die Fehleinschätzung 92%, obwohl sie die regulatorische Schwelle erfüllen.
BSI veröffentlicht NIS2-FAQ speziell für die öffentliche Verwaltung
BSI veröffentlicht eine spezielle FAQ zu NIS2-Anwendbarkeit und Compliance-Anforderungen für Bundes-, Landes- und Kommunalverwaltungen.
ENISA veröffentlicht technischen Leitfaden zur sicheren Nutzung von Paketmanagern
Neuer Leitfaden zum sicheren Software-Entwicklungszyklus mit Fokus auf Paketmanager-Sicherheit — direkt relevant für NIS2-Lieferkettensicherheitsanforderungen (Art. 21(2)(d)).
22 von 27 EU-Mitgliedstaaten haben NIS2-Umsetzung abgeschlossen
Cullen International meldet: 22 EU-Staaten haben NIS2 umgesetzt. Funf fehlen noch: Frankreich, Irland, Luxemburg, Niederlande (Gesetzgebung im Parlament) und Spanien (kein Entwurf eingereicht). Spanien ist am weitesten zuruckgeblieben.
BSI-Registrierungsfrist läuft ab — Bußgelder für Nicht-Registrierung jetzt möglich
Drei Monate nach Inkrafttreten des BSIG läuft die Pflicht-Registrierungsfrist am BSI-Portal ab. Verspätete Registrierung wird noch angenommen, aber Bußgelder bis 10 Mio. € oder 2% des Jahresumsatzes sind nun rechtlich durchsetzbar.
Nur ~11.500 von ~29.500 betroffenen Einrichtungen haben sich bis zur Frist registriert
Bis zur Frist am 6. März haben sich rund 11.500 Behörden, Unternehmen und kritische Einrichtungen unter NIS2 beim BSI registriert — etwa 18.000 der 29.500 verpflichteten Einrichtungen fehlen noch. Laut BSI-Sprecher bleibt unklar, ob die ursprüngliche Schätzung zu hoch war oder ob viele Betroffene ihrer Meldepflicht nicht nachgekommen sind.
BOS-Digitalfunk-Betreiber erhält ISO 27001/IT-Grundschutz-Zertifizierung
Der Betreiber des deutschen BOS-Digitalfunknetzes für Behörden und Organisationen mit Sicherheitsaufgaben erreicht ISO 27001-Zertifizierung auf IT-Grundschutz-Basis.
Öffentliche Kommentierungsphase für technische CRA-Compliance-Richtlinie eröffnet
BSI eröffnet öffentliche Kommentierungsphase für die technische Compliance-Richtlinie zum Cyber Resilience Act (CRA), die Produktsicherheitsanforderungen mit NIS2-Lieferkettenplichten verbindet.
BMI veröffentlicht Entwurf des Cybersicherheitsstärkungsgesetzes — neue Pflichten für NIS2-regulierte Unternehmen
Bundesinnenministerium stellt den Entwurf des Gesetzes zur Stärkung der Cybersicherheit vor. BKA, Bundespolizei und BSI erhalten aktive Cyberabwehr-Befugnisse einschließlich Störung von Angreifer-Infrastruktur. Neue Pflichten für NIS2-regulierte Unternehmen: Kooperationspflicht bei staatlichen Cyberoperationen, BSI-vernetzte Angriffserkennung und DNS-basierter Kundenschutz. Bußgelder bis 20 Mio. € oder 2% des weltweiten Jahresumsatzes. ~375 neue Stellen bis 2030 nötig.
Polen unterzeichnet NIS2-Umsetzung — tritt am 2. April 2026 in Kraft
Präsident Nawrocki unterzeichnet die Novelle des polnischen Gesetzes über das nationale Cybersicherheitssystem (UKSC) zur NIS2-Umsetzung. Inkrafttreten am 2. April nach einmonatiger Vacatio legis. Registrierungsfrist: 3. Oktober 2026. Volle Compliance-Frist: 3. April 2027. Der Präsident verweist gleichzeitig Regelungen zu Hochrisiko-Anbietern und Sanktionen an das Verfassungsgericht.
ENISA veröffentlicht Methodik-Rahmenwerk für Cybersicherheitsübungen
Neue Methodik für Planung, Durchführung und Auswertung von Cybersicherheitsübungen — relevant für NIS2-Einrichtungen, die Incident-Response-Fähigkeiten nach Art. 21 testen müssen.
NIS-Kooperationsgruppe verabschiedet ICT-Lieferketten-Sicherheits-Toolbox
Die NIS-Kooperationsgruppe veroeffentlicht ein gemeinsames Rahmenwerk zur Identifikation, Bewertung und Minderung von Cybersicherheitsrisiken in IKT-Lieferketten. Die Toolbox umfasst Risikoszenarien, Minderungsmassnahmen und Leitlinien zur Reduzierung von Abhaengigkeiten von Hochrisiko-Lieferanten. Begleitet von sektorspezifischen Risikobewertungen fuer vernetzte Fahrzeuge und Detektionsgeraete.
ENISA veröffentlicht internationale Strategie für Cybersicherheitskooperation
ENISA veröffentlicht ihre internationale Kooperationsstrategie, die beschreibt, wie die Agentur mit Nicht-EU-Partnern bei Cybersicherheitsstandards und Bedrohungsinformationsaustausch zusammenarbeitet.
Südwestfalen-IT erhält ISO 27001-Zertifizierung auf Basis von IT-Grundschutz
Nach dem verheerenden Ransomware-Angriff 2023 erreicht der kommunale IT-Dienstleister Südwestfalen-IT die ISO 27001-Zertifizierung auf Basis von IT-Grundschutz als Nachweis der Wiederherstellung und Sicherheitsreife.
EU schlägt NIS2-Änderungen vor — neue Einrichtungstypen, Harmonisierungsgrenze, PQC-Migration
Europäische Kommission stellt Cybersicherheitspaket mit gezielten NIS2-Änderungen vor: Seekabel-Infrastruktur und Digital-Wallet-Anbieter aufgenommen, neue Kategorie 'kleine Midcap' (~22.500 Unternehmen), verpflichtende Ransomware-Meldedetails und Post-Quanten-Kryptografie-Migrationsfristen (2030/2035).
Erstes EUCC-Cybersicherheitszertifikat unter EU-Rahmenwerk ausgestellt
Das erste europäische Cybersicherheitszertifikat (EUCC) wird ausgestellt und etabliert ein gemeinsames EU-weites Zertifizierungsschema, mit dem NIS2-Einrichtungen Compliance nachweisen können.
BSI-NIS2-Registrierungsportal geht online
BSI startet portal.bsi.bund.de für NIS2-Registrierung und Vorfallsmeldung. Registrierung erfordert ein ELSTER-Organisationszertifikat (5-10 Werktage Bearbeitungszeit).
Grundschutz++ Übergangsphase beginnt — Parallelbetrieb bis 2029
BSI startet offiziell die Modernisierungs-Übergangsphase für Grundschutz++. Maschinenlesbares OSCAL/JSON-Format ersetzt PDF/Excel. Edition 2023 bleibt während der Übergangsphase bis 2029 für Audits gültig.
2025
BSIG tritt in Kraft — NIS2 ist Gesetz in Deutschland
Das novellierte BSIG tritt am Nikolaustag in Kraft, über ein Jahr nach der EU-Umsetzungsfrist. Keine Übergangszeit — alle Pflichten gelten sofort für ~29.500 betroffene Einrichtungen.
NIS2UmsuCG im Bundesgesetzblatt veröffentlicht (BGBl. 2025 I Nr. 301)
Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz wird im Bundesgesetzblatt veröffentlicht und tritt am Folgetag in Kraft.
Bundestag verabschiedet NIS2UmsuCG — Deutschlands NIS2-Umsetzungsgesetz
Der Bundestag verabschiedet das NIS2UmsuCG in 2. und 3. Lesung. Stimmen: CDU/CSU + SPD + AfD dafür, Grüne dagegen, Die Linke enthält sich. Rund 29.500 Einrichtungen fallen nun unter BSI-Aufsicht.
Koalition einigt sich auf NIS2UmsuCG-Kompromisse — Ex-post-Modell für kritische Komponenten
CDU/CSU-SPD-Koalition einigt sich: Regulierung kritischer Komponenten wechselt von Ex-ante-Genehmigung zu Ex-post-Meldung. CISO-Rolle des Bundes an BSI in Bonn übertragen.
BSI veröffentlicht Grundschutz++ Vorschau auf GitHub (OSCAL/JSON)
BSI veröffentlicht die Stand-der-Technik-Bibliothek auf GitHub mit Vorschau abstrakter Anforderungen im OSCAL/JSON-Format. Nicht produktionsreif — nur erster Entwurf, konkrete Maßnahmen werden noch ergänzt.
Bundeskabinett beschließt NIS2UmsuCG-Gesetzentwurf
Das Bundeskabinett beschließt den Entwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes und leitet ihn an das Parlament weiter. Das Gesetz wurde wegen der verpassten EU-Frist im Eilverfahren behandelt.
ENISA veröffentlicht NIS2-Leitfaden zur technischen Umsetzung v1.0
170-seitiges Dokument, das CIR 2024/2690 in praktische Maßnahmen in 13 Themenbereichen mit Nachweisbeispielen und Standards-Zuordnungen übersetzt. Primäre Referenz für die NIS2-Compliance-Umsetzung.
EK sendet mit Gründen versehene Stellungnahmen an 19 Mitgliedstaaten wegen verspäteter NIS2-Umsetzung
Die Europäische Kommission verschärft Vertragsverletzungsverfahren gegen 19 Mitgliedstaaten, die die NIS2-Richtlinie nicht fristgerecht bis Oktober 2024 umgesetzt haben.
2024
CIR 2024/2690 tritt in Kraft
Die Durchführungsverordnung wird 20 Tage nach Veröffentlichung in allen EU-Mitgliedstaaten verbindlich und legt die technische Grundlage für NIS2-Compliance fest.
CIR 2024/2690 veröffentlicht — Durchführungsverordnung zu technischen NIS2-Anforderungen
Durchführungsverordnung (EU) 2024/2690 veröffentlicht. Sie legt technische und methodische Anforderungen an NIS2-Cybersicherheits-Risikomanagementmaßnahmen für digitale Infrastruktur- und Dienstleister fest.
NIS2-Umsetzungsfrist läuft ab — die meisten Mitgliedstaaten verpassen sie
Mitgliedstaaten mussten NIS2 bis zu diesem Datum in nationales Recht umsetzen. Die meisten, einschließlich Deutschland, verpassen die Frist. Nur Belgien hat vollständig umgesetzt und mit der Durchsetzung begonnen.
2023
IT-Grundschutz-Kompendium Edition 2023 veröffentlicht
BSI veröffentlicht das IT-Grundschutz-Kompendium Edition 2023 — der aktuelle Produktionsstandard für Informationssicherheitsmanagement in Deutschland. Bleibt die gültige Audit-Referenz während der Grundschutz++-Übergangsphase.
NIS2-Richtlinie tritt in Kraft
Die NIS2-Richtlinie tritt 20 Tage nach Veröffentlichung in Kraft. Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit zur Umsetzung in nationales Recht.
2022
NIS2-Richtlinie im Amtsblatt veröffentlicht
Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union im Amtsblatt der EU veröffentlicht.
Quellen
Diese Seite wird regelmäßig aus den folgenden offiziellen und journalistischen Quellen aktualisiert.