NIS2-Umsetzung in Europa
Die Umsetzungsfrist war der 17. Oktober 2024. Bis Anfang 2026 hatten nur wenige EU-Mitgliedstaaten die NIS2-Richtlinie vollständig in nationales Recht überführt.
Zuletzt aktualisiert: 26. April 2026
17
In Betrieb
1
Vorregistrierung
6
Geplant
3
Noch nicht verfügbar
| Land | Zuständige Behörde | Registrierungsportal | Registrierungsfrist | Nationales Gesetz |
|---|---|---|---|---|
| Deutschland | BSI (Bundesamt für Sicherheit in der Informationstechnik) | BSI NIS-2 Portal | 2026-03-06 | NIS2UmsuCG / BSIG |
| Belgien | CCB (Centre for Cybersecurity Belgium) | Safeonweb@Work | 2025-03-18 | NIS2 Law (Loi NIS2) |
| Italien | ACN (Agenzia per la Cybersicurezza Nazionale) | ACN NIS Portal | 2026-02-28 | D.Lgs. 138/2024 |
| Tschechische Republik | NUKIB (Národní úřad pro kybernetickou a informační bezpečnost) | Portál NUKIB | Noch offen | Zákon o kybernetické bezpečnosti (nZKB) |
| Dänemark | SAMSIK (Styrelsen for Samfundssikkerhed) | Virk | 2025-10-01 | Danish NIS2 Act |
| Polen | Ministry of Digital Affairs / CSIRTs | System S46 | 2026-10-03 | Amended KSC Act (ustawa o KSC) |
| Kroatien | NHCSC-HR (National Cybersecurity Center) | Noch nicht verfügbar | Noch offen | Zakon o kibernetičkoj sigurnosti |
| Litauen | NKSC (National Cybersecurity Center) | Noch nicht verfügbar | Noch offen | Kibernetinio saugumo įstatymas |
| Lettland | CERT.LV / NCSC | Noch nicht verfügbar | 2025-04-01 | Kiberdrošības likums |
| Griechenland | NCSA (National Cyber Security Authority) | Noch nicht verfügbar | 2025-09-30 | Law No. 5160/2024 |
| Slowakei | NBÚ (Národný bezpečnostný úrad) | Noch nicht verfügbar | Noch offen | Zákon o kybernetickej bezpečnosti |
| Rumänien | DNSC (Directoratul Național de Securitate Cibernetică) | Noch nicht verfügbar | 2025-09-19 | Emergency Ordinance No. 155/2024; Laws No. 52/2025 & No. 124/2025 |
| Finnland | Traficom / Sectoral authorities | Noch nicht verfügbar | 2025-05-08 | Kyberturvallisuuslaki |
| Estland | RIA (Riigi Infosüsteemi Amet) | Noch nicht verfügbar | Noch offen | Küberturvalisuse seadus |
| Ungarn | SZTFH (Szabályozott Tevékenységek Felügyeleti Hatósága) | Noch nicht verfügbar | Noch offen | Act XXIII of 2024 |
| Zypern | DSA (Digital Security Authority) | NIS2 Self-Assessment Tool | Noch offen | Law on Security of Networks and Information Systems (Amendment) 2025 |
| Slowenien | URSIV (Information Security Agency) | Noch nicht verfügbar | 2025-12-19 | ZInfV-1 (Information Security Act) |
| Land | Zuständige Behörde | Registrierungsportal | Registrierungsfrist | Nationales Gesetz |
|---|---|---|---|---|
| Frankreich | ANSSI (Agence nationale de la sécurité des systèmes d'information) | MonEspaceNIS2 | Noch offen | Loi Résilience (bundles NIS2 + DORA + CER) |
| Land | Zuständige Behörde | Registrierungsportal | Registrierungsfrist | Nationales Gesetz |
|---|---|---|---|---|
| Österreich | Bundesamt für Cybersicherheit | Unternehmensserviceportal (USP) | 2026-12-31 | NISG 2026 |
| Niederlande | NCSC (Nationaal Cyber Security Centrum) / RDI | Noch nicht verfügbar | Noch offen | Cyberbeveiligingswet |
| Schweden | MSB (Myndigheten för samhällsskydd och beredskap) | Noch nicht verfügbar | Noch offen | Cybersäkerhetslagen |
| Portugal | CNCS (Centro Nacional de Cibersegurança) | Noch nicht verfügbar | Noch offen | Decreto-Lei NIS2 |
| Bulgarien | State e-Governance Agency / Ministry of e-Government | Noch nicht verfügbar | Noch offen | Cybersecurity Act (amended) |
| Malta | CIPD (Critical Infrastructure Protection Department) | Noch nicht verfügbar | Noch offen | Legal Notice 71/2025 (SL 460.41) |
| Land | Zuständige Behörde | Registrierungsportal | Registrierungsfrist | Nationales Gesetz |
|---|---|---|---|---|
| Spanien | CCN-CERT / INCIBE | Noch nicht verfügbar | Noch offen | Noch nicht verabschiedet |
| Irland | NCSC (National Cyber Security Centre) | Noch nicht verfügbar | Noch offen | National Cyber Security Bill (draft) |
| Luxemburg | ILR (Institut Luxembourgeois de Régulation) | Noch nicht verfügbar | Noch offen | Bill 8364 (Projet de loi) |
Verkaufen in einem Land ist nicht dasselbe wie dort tätig sein
Viele Unternehmen vertreiben ihre Produkte oder Dienstleistungen EU-weit über eine einzige juristische Person, die in einem Land eingetragen ist. In diesem Fall reicht die Registrierung bei der Behörde des Heimatlandes, Sie sind nicht in jedem Land "niedergelassen", in das Sie verkaufen.
Wenn Ihr Unternehmen jedoch in einem Land vollständig operativ tätig ist, das heißt, Sie haben dort eine eingetragene Niederlassung, Mitarbeitende vor Ort und zahlen dort Körperschaftsteuer, dann gilt das NIS2-Recht dieses Landes für Sie als dort ansässige juristische Person.
NIS2 Artikel 26 schafft eine wichtige Ausnahme für bestimmte digitale Dienstleistungstypen: Cloud-Computing-Anbieter, Managed-Service-Provider, Managed-Security-Service-Provider, Rechenzentrumsbetreiber, Content-Delivery-Networks, DNS-Dienstleister, Online-Marktplätze, Online-Suchmaschinen und Social-Networking-Plattformen. Diese Einrichtungen registrieren sich in einem einzigen EU-Mitgliedstaat, dem, in dem Entscheidungen zum Cybersicherheitsrisikomanagement überwiegend getroffen werden. Wenn Sie einen dieser Dienste betreiben, müssen Sie sich nicht in jedem Land registrieren, in dem Sie niedergelassen sind. Alle anderen Einrichtungstypen (Hersteller, Lebensmittelunternehmen, Energieversorger, Verkehrsbetreiber, Krankenhäuser usw.) fallen unter die allgemeine Regel und müssen sich in jedem Land mit rechtlicher Niederlassung registrieren.
Häufig gestellte Fragen
Ich habe ein Vertriebsbüro in Deutschland, mein Hauptsitz ist aber in Frankreich, muss ich mich beim BSI registrieren?▾
Das hängt von der rechtlichen Struktur des deutschen Büros ab. Wenn es sich um eine eingetragene GmbH oder Zweigniederlassung handelt, die in Deutschland eine eigene Steuererklärung einreicht, müssen Sie sich voraussichtlich sowohl beim BSI als auch bei der ANSSI in Frankreich registrieren. Handelt es sich lediglich um eine Kostenstelle der französischen Muttergesellschaft ohne eigene Rechtspersönlichkeit in Deutschland, kann die Registrierung in Frankreich ausreichen. Konsultieren Sie einen mit NIS2 in beiden Ländern vertrauten Rechtsanwalt.
Muss ich in jedem Land unterschiedliche Sicherheitsanforderungen erfüllen?▾
NIS2 legt einen harmonisierten Mindeststandard fest, aber jede nationale Umsetzung kann strengere sektorspezifische Anforderungen hinzufügen. In der Praxis gilt: Wer den NIS2-Basisstandard umsetzt Risikomanagement, Incident-Reporting, Zugangskontrolle, Lieferkettensicherheit, erfüllt die Anforderungen in den meisten EU-Ländern. Prüfen Sie das nationale Recht jedes Landes auf etwaige zusätzliche Verpflichtungen.
Was ist, wenn ein Land NIS2 noch nicht abschließend umgesetzt hat?▾
Einige EU-Länder haben die Richtlinie verspätet umgesetzt (die Frist war Oktober 2024). Bis das nationale Recht in Kraft tritt, ist eine Registrierung möglicherweise noch nicht möglich. Verfolgen Sie die Website der zuständigen nationalen Behörde und registrieren Sie sich, sobald der Prozess eröffnet wird. Die verspätete Umsetzung durch den Gesetzgeber mindert Ihre letztendliche rechtliche Verpflichtung nicht.
Kann ich mich einmal auf EU-Ebene registrieren, um alle Länder abzudecken?▾
Nein. Es gibt kein einheitliches EU-weites NIS2-Register. Jedes Land betreibt sein eigenes Registrierungssystem. Dies ist eine der bekannten Komplexitäten der dezentralen Umsetzung der Richtlinie und erzeugt erheblichen Compliance-Aufwand für paneuropäisch tätige Unternehmen.
- Europäische Kommission - NIS2-Umsetzungsstand und Vertragsverletzungsverfahren (2025/2026)
- ENISA - NIS2 Transposition Tracker (enisa.europa.eu)
- BMI - NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)
- Centre for Cybersecurity Belgium (CCB) - Loi NIS2 (2024)
- Agence nationale de la sécurité des systèmes d'information (ANSSI) - Projet de loi NIS2
- Agenzia per la Cybersicurezza Nazionale (ACN) - D.Lgs. 138/2024