NIS2-Umsetzung in Europa
Die Umsetzungsfrist war der 17. Oktober 2024. Bis Anfang 2026 hatten nur wenige EU-Mitgliedstaaten die NIS2-Richtlinie vollständig in nationales Recht überführt.
Überblick
Die NIS2-Richtlinie (EU) 2022/2555 verpflichtete alle 27 EU-Mitgliedstaaten, die Richtlinie bis zum 17. Oktober 2024 in nationales Recht umzusetzen. Diese Frist wurde von der großen Mehrheit der Mitgliedstaaten verfehlt – ein Muster, das bei EU-Cybersicherheitsregulierung nicht neu ist, aber in seiner Dimension beispiellos.
Bis März 2026 hat etwa die Hälfte der 27 Mitgliedstaaten die NIS2-Richtlinie vollständig in nationales Recht umgesetzt. Die Europäische Kommission hat gegen säumige Mitgliedstaaten Vertragsverletzungsverfahren eingeleitet. Für Unternehmen, die in mehreren EU-Ländern tätig sind, erzeugt diese ungleichmäßige Umsetzung erhebliche Rechtsunsicherheit.
Diese Übersicht dokumentiert den Umsetzungsstand der wichtigsten EU-Mitgliedstaaten, analysiert die Ursachen der Verzögerungen und erläutert die praktischen Konsequenzen für betroffene Einrichtungen – insbesondere für deutsche Unternehmen mit europäischen Geschäftsbeziehungen.
~7
Vollständig umgesetzt (Stand Anfang 2026)
~20
Umsetzungsfrist verfehlt
17. Okt. 2024
Umsetzungsfrist der Richtlinie
| Land | Status | Nationales Gesetz | Anmerkungen |
|---|---|---|---|
| Deutschland | Umgesetzt | NIS2UmsuCG / BSIG | In Kraft seit 6. Dezember 2025. Registrierungsfrist 6. März 2026. BSI-Portal seit Januar 2026 aktiv. |
| Österreich | Umgesetzt | NISG 2024 | Novelle des Netz- und Informationssystemsicherheitsgesetzes. In Kraft seit 2025. |
| Belgien | Umgesetzt | Loi NIS2 | Erstes EU-Land mit vollständiger Umsetzung (April 2024). CCB als zuständige Behörde. |
| Kroatien | Umgesetzt | Zakon o kibernetičkoj sigurnosti | Cybersicherheitsgesetz verabschiedet und in Kraft. |
| Ungarn | Umgesetzt | Kiberbiztonsági törvény | Frühzeitige Umsetzung, Cybersicherheitsgesetz in Kraft. |
| Italien | Umgesetzt | D.Lgs. 138/2024 | Legislativdekret Nr. 138/2024. ACN als zuständige Behörde. |
| Lettland | Umgesetzt | Kiberdrošības likums | Cybersicherheitsgesetz verabschiedet und in Kraft. |
| Litauen | Umgesetzt | Kibernetinio saugumo įstatymas | Novelle des bestehenden Cybersicherheitsgesetzes. |
| Frankreich | In Bearbeitung | Projet de loi NIS2 | Gesetzentwurf im parlamentarischen Verfahren. ANSSI als zuständige Behörde vorgesehen. |
| Niederlande | In Bearbeitung | Cyberbeveiligingswet | Gesetzentwurf veröffentlicht, parlamentarisches Verfahren läuft. |
| Polen | In Bearbeitung | Ustawa o KSC (Novelle) | Novelle des Gesetzes über das nationale Cybersicherheitssystem in Vorbereitung. |
| Spanien | Ausstehend | Noch nicht veröffentlicht | Entwurf in Vorbereitung. CCN-CERT und INCIBE als zuständige Behörden vorgesehen. |
| Schweden | In Bearbeitung | Cybersäkerhetslagen | Regierungsentwurf vorgelegt, parlamentarische Beratung läuft. |
Deutschland hat die NIS2-Richtlinie über das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) umgesetzt, das am 6. Dezember 2025 in Kraft trat. Kernstück ist die Novellierung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), das nun die vollständigen NIS2-Anforderungen in deutsches Recht überträgt.
Das BSI schätzt rund 30.000 betroffene Einrichtungen in Deutschland – davon circa 4.700 besonders wichtige Einrichtungen (bwE) und rund 25.300 wichtige Einrichtungen (wE). Die Registrierungsfrist nach §33 BSIG endete am 6. März 2026 (3 Monate nach Inkrafttreten). Das BSI-Registrierungsportal ist seit dem 6. Januar 2026 aktiv.
Die Besonderheit der deutschen Umsetzung: §38 BSIG begründet die persönliche Haftung der Geschäftsleitung – eine in dieser Form einzigartige Regelung im europäischen Vergleich. Zudem erkennt §44 Abs. 2 BSIG die Implementierung von IT-Grundschutz als Nachweis der NIS2-Compliance an.
Herausforderungen der europäischen Umsetzung
Die ungleichmäßige Umsetzung erzeugt vier zentrale Probleme für betroffene Einrichtungen.
Regulatorische Fragmentierung
Trotz des Harmonisierungsziels der NIS2-Richtlinie führen unterschiedliche nationale Umsetzungen zu abweichenden Anforderungen. Schwellenwerte, Sektordefinitionen und Meldepflichten können sich zwischen Mitgliedstaaten unterscheiden. Für Unternehmen mit Niederlassungen in mehreren EU-Ländern bedeutet dies multiple Compliance-Anforderungen.
Abweichende Definitionen
Die Klassifizierung als wesentliche oder wichtige Einrichtung kann zwischen Mitgliedstaaten variieren, da die Richtlinie den Mitgliedstaaten bei der Umsetzung Spielraum lässt. Ein Unternehmen kann in einem Land als wesentlich, in einem anderen als wichtig gelten – mit unterschiedlichen Aufsichtsregimen.
Unterschiedliche Meldewege
Während die Meldefristen (24h/72h/1 Monat) EU-weit einheitlich sind, unterscheiden sich die Meldewege und zuständigen Behörden. In Deutschland meldet man an das BSI, in Frankreich an die ANSSI, in Italien an die ACN. Für grenzüberschreitende Vorfälle müssen ggf. mehrere Behörden informiert werden.
Ungleiche Durchsetzung
Solange nicht alle Mitgliedstaaten umgesetzt haben, entstehen Durchsetzungslücken. Unternehmen in Ländern mit verzögerter Umsetzung unterliegen faktisch einem anderen Regulierungsregime als Unternehmen in Ländern mit abgeschlossener Umsetzung – ein Wettbewerbsproblem.
- Europäische Kommission – NIS2-Umsetzungsstand und Vertragsverletzungsverfahren (2025/2026)
- ENISA – NIS2 Transposition Tracker (enisa.europa.eu)
- BMI – NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)
- Centre for Cybersecurity Belgium (CCB) – Loi NIS2 (2024)
- Agence nationale de la sécurité des systèmes d'information (ANSSI) – Projet de loi NIS2
- Agenzia per la Cybersicurezza Nazionale (ACN) – D.Lgs. 138/2024