NIS2-Umsetzungsstatus
Verfolgen Sie den Umsetzungsfortschritt der NIS2-Richtlinie in allen EU-Mitgliedstaaten, einschließlich zuständiger Behörden und Durchsetzungszeitpläne.
Stand: 10. April 2026
NIS2-Umsetzungsstatus-Momentaufnahme
| Mitgliedstaat | Status | Zuständige Behörde | Anmerkungen |
|---|---|---|---|
| Österreich | Angenommen | Federal Chancellery (Bundeskanzleramt) | Nationales Umsetzungsgesetz angenommen (23. Dez. 2025); Inkrafttreten / Sekundärmaßnahmen für 2026 geplant – Vollständigkeit der Meldung wird von der Kommission geprüft. |
| Belgien | Vollständig gemeldet | Centre for Cybersecurity Belgium (CCB) | Nationales Umsetzungsgesetz im April 2024 angenommen und registriert; nicht auf der Liste der begründeten Stellungnahmen der Kommission. |
| Bulgarien | Entwurf | Ministry of Transport, Information Technologies & Communications | Änderungsentwürfe wurden verbreitet, aber die endgültige nationale Umsetzung ist ins Stocken geraten, und Bulgarien wurde in die Liste der begründeten Stellungnahmen der Kommission aufgenommen. |
| Kroatien | Vollständig gemeldet | National Cybersecurity Authority(s) | Umsetzungsgesetzgebung (Cybersicherheitsgesetz / Verordnung) angenommen und in Betrieb; nicht auf der Liste der noch ausstehenden begründeten Stellungnahmen der Kommission. |
| Zypern | Angenommen | Digital Security Authority | Änderung veröffentlicht (Netz- und Informationssicherheit (Änderungs-)Gesetz von 2025 veröffentlicht am 25. April 2025); Kommission forderte weitere Meldungsdetails an. |
| Tschechische Republik | Angenommen | National Cyber and Information Security Agency (NUKIB) | Neues Gesetz über Cybersicherheit (Nr. 264/2025) trat am 1. November 2025 in Kraft – das Gesetz ist in Kraft, während die formale Vollständigkeit der Meldung von der Kommission geprüft wird. |
| Dänemark | Angenommen | Center for Cybersecurity (CFCS) + sector authorities | NIS2-Umsetzungsgesetz seit dem 1. Juli 2025 in Kraft; Frist für die Registrierung von Unternehmen ist abgelaufen. Die Kommission hatte im Mai 2025 vor Inkrafttreten eine begründete Stellungnahme abgegeben; die Vollständigkeit der Meldung wird geprüft. |
| Estland | Entwurf | Estonian Information System Authority (RIA) | Der Entwurfs-/Änderungsprozess schreitet voran (erste Lesungen gemeldet); Estland wurde in die Liste der begründeten Stellungnahmen der Kommission aufgenommen. |
| Finnland | Angenommen | Finnish Transport and Communications Agency (Traficom) / DVV | NIS2-Umsetzungsgesetz in Kraft; Frist für die Registrierung von Unternehmen ist abgelaufen. Die Kommission hat im Mai 2025 eine begründete Stellungnahme abgegeben; die Vollständigkeit der Meldung wird geprüft. Hinweis: Verwaltungsstrafen können bei öffentlichen Verwaltungseinrichtungen nicht verhängt werden. |
| Frankreich | Entwurf | ANSSI (French National Agency for Information Systems Security) | Umsetzung in umfassendere Resilienzgesetze integriert; parlamentarische Aktivitäten laufen und die Kommission hat eine begründete Stellungnahme zur Vervollständigung vorgelegt. |
| Deutschland | Vollständig gemeldet | Bundesamt für Sicherheit in der Informationstechnik (BSI) | NIS2UmsuCG im November 2025 verabschiedet und in Kraft; nicht in den ausstehenden begründeten Stellungnahmen der Kommission enthalten. Frist für die Registrierung von Unternehmen beim BSI ist April 2026. |
| Griechenland | Vollständig gemeldet | Ministry of Digital Governance / National Cybersecurity Authority | Griechenland hat seine Umsetzung in nationales Recht angenommen und ist nicht unter den Ländern aufgeführt, die begründete Stellungnahmen der Kommission erhalten haben. |
| Ungarn | Angenommen | National Cybersecurity Agency & Ministry of Defence | Das Primärrecht ist in Kraft, aber Durchführungsdekrete sind immer noch verzögert; die Kommission gab im Mai 2025 eine begründete Stellungnahme ab. Die Frist für das erste Compliance-Audit wurde von Dez. 2025 auf Juni 2026 verlängert. |
| Irland | Entwurf | National Cyber Security Centre (NCSC-IE) | Irland hat einen aktiven Gesetzentwurf (National Cyber Security Bill), aber die Kommission hat eine begründete Stellungnahme wegen unvollständiger Meldung abgegeben. |
| Italien | Vollständig gemeldet | Italian National Cybersecurity Authority (ACN) + sector regulators | Italien hat die Umsetzungsgesetzgebung angenommen und gemeldet und ist nicht auf der Liste der begründeten Stellungnahmen der Kommission. |
| Lettland | Angenommen | Latvian National Cyber Security Authority | Lettland hat ein nationales Cybersicherheitsgesetz (Mitte 2024) angenommen und sekundäre Vorschriften stehen noch aus; die Kommission hat im Mai 2025 die Vollständigkeit der Meldung angemahnt. |
| Litauen | Vollständig gemeldet | Lithuanian National Cyber Security Centre | Litauen hat NIS2 im Jahr 2024 umgesetzt und wichtige Bestimmungen am 18. Oktober 2024 in Kraft gesetzt; es wird unter den Staaten aufgeführt, die die Umsetzung abgeschlossen haben. |
| Luxemburg | Entwurf | Institut Luxembourgeois de Regulation (ILR) | Luxemburg wurde in die Liste der begründeten Stellungnahmen der Kommission aufgenommen und befindet sich weiterhin in der Entwurfs-/Gesetzgebungsphase. |
| Malta | Vollständig gemeldet | Malta Information Technology Agency (MITA) | Malta hat NIS2 über Rechtsvorschriften im Jahr 2025 umgesetzt und den Rahmen in Kraft gesetzt (Rechtsvorschriften wirksam ab Jan. 2026); es ist nicht in der Liste der begründeten Stellungnahmen der Kommission vom Mai 2025 enthalten. |
| Niederlande | Entwurf | Minister of Digital Affairs + NCSC units | Die Niederlande erscheinen unter den Mitgliedstaaten, die von der Kommission wegen unvollständiger Meldung genannt wurden; die Umsetzungsarbeiten liefen auf nationaler Ebene. |
| Polen | Entwurf | Ministry of Digital Affairs (Cybersecurity Dept) | Polen wurde in die Liste der begründeten Stellungnahmen der Kommission aufgenommen und nationale Änderungen waren noch in Entwicklung. |
| Portugal | Vollständig gemeldet | National Cyber Security Directorate (DNSC) | Dekretgesetz Nr. 125/2025 (veröffentlicht am 4. Dez. 2025) trat im April 2026 in Kraft; Portugal war nicht in der Liste der begründeten Stellungnahmen der Kommission vom Mai 2025 enthalten, die die Vollständigkeit der Meldung bestätigte. |
| Rumänien | Vollständig gemeldet | National Cybersecurity Directorate (DNSC) | Rumänien soll seine nationale Umsetzung abgeschlossen haben und ist nicht unter den ausstehenden begründeten Stellungnahmen der Kommission aufgeführt. |
| Slowakei | Vollständig gemeldet | National Cybersecurity Authority (Prime Minister's Office) | Die Slowakei hat die Umsetzungsgesetzgebung angenommen und ist nicht in der Liste der begründeten Stellungnahmen der Kommission enthalten. |
| Slowenien | Vollständig gemeldet | Information Security Administration (ASIM-SI) | Slowenien hat sein NIS2-Umsetzungsgesetz erlassen und wird unter den Ländern mit Reifegrad 4 mit einem genehmigten Gesetz und einem abgeschlossenen Cybersicherheitsrahmen aufgeführt; es gehört nicht zu den Ländern, die Anfang 2026 noch ausstehen. |
| Spanien | Entwurf | National Cybersecurity Institute (INCIBE) / Security Council | Spanien wurde von der Kommission wegen unvollständiger Meldung gerügt; legislative und sekundäre Maßnahmen sind noch in Bearbeitung. |
| Schweden | Angenommen | Swedish Civil Contingencies Agency (MSB) | Das schwedische NIS2-Gesetz trat am 15. Januar 2026 in Kraft; die Vollständigkeit der Meldung der Kommission wird geprüft. Unternehmen müssen sich umgehend registrieren. Vertrauensdiensteanbieter haben eine strengere 24-Stunden-Frist für die Folgemeldung von Vorfällen als die NIS2-Grundlinie. |
Viele dieser Mitgliedstaaten haben primäre Gesetze verabschiedet, benötigen aber noch die vollständige sekundäre Gesetzgebung und die Benachrichtigung der Kommission, bevor die Durchsetzung als abgeschlossen gilt.
Statuslegende
- Vollständig gemeldet = nationale Umsetzung angenommen und keine offene begründete Stellungnahme der Kommission bezüglich unvollständiger Meldung.
- Angenommen = nationales Umsetzungsgesetz angenommen (oder veröffentlicht), aber die Kommission hat weitere Informationen / die Vollständigkeit der Meldung angefordert (oder die Meldung muss noch bestätigt werden). Wenn das Gesetz bereits in Kraft ist, die Meldung aber noch zur Überprüfung ansteht, wird dies angegeben.
- Entwurf = Gesetzgebungsverfahren läuft / kein endgültiges nationales Gesetz veröffentlicht.
Wichtige Umsetzungshinweise
Frist & Maßnahmen der Kommission
Alle Mitgliedstaaten mussten NIS2 bis zum 17. Oktober 2024 umsetzen; die meisten haben diese Frist verpasst. Am 7. Mai 2025 hat die Europäische Kommission an 19 Mitgliedstaaten begründete Stellungnahmen gerichtet, weil sie die vollständige Umsetzung nicht mitgeteilt haben.
„Angenommen“ vs. „Vollständig gemeldet“
Einige Mitgliedstaaten haben nationale Gesetze erlassen, aber noch nicht alle Durchführungsmaßnahmen vollständig an die Kommission gemeldet. Andere Mitgliedstaaten befinden sich noch im Entwurfs- oder Gesetzgebungs-/Parlamentsprüfungsverfahren.
Durchsetzung & Regulatorische Bereitschaft
Sofern nationales Recht in Kraft ist, werden die Registrierung von Unternehmen, die Meldung von Vorfällen, Aufsichtsbefugnisse und Sanktionen (bis zu 10 Millionen Euro oder 2 % des Umsatzes für wesentliche Einrichtungen) durch sekundäre Vorschriften schrittweise eingeführt.
Anstehende Durchsetzung
In Mitgliedstaaten mit dem Status „Angenommen“ oder „Entwurf“ sind Registrierungs- und Meldepflichten noch nicht durchsetzbar, bevor nationales Recht in Kraft ist und Behörden Rechtsinstrumente und Portale veröffentlicht haben. Dies hindert fleißige KMU nicht daran, schon jetzt mit ihren NIS2-Compliance-Bemühungen zu beginnen.
Erläuterungen zu den zuständigen Behörden
In der gesamten EU benennen die Mitgliedstaaten eine oder mehrere zuständige Behörden, die für die NIS2-Umsetzung und -Durchsetzung verantwortlich sind.
Überwachung der Einhaltung
Überwachung der Einhaltung der NIS2-Verpflichtungen bei wesentlichen und wichtigen Einrichtungen
Entgegennahme von Vorfallsmeldungen
Bearbeitung und Koordinierung von Reaktionen auf Meldungen von Cybersicherheitsvorfällen
Führung von Unternehmenslisten
Führung von Registern über wesentliche und wichtige Einrichtungen in ihrem Zuständigkeitsbereich
Durchsetzung von Anforderungen
Umsetzung von Risikomanagement- und Governance-Anforderungen durch regulatorische Maßnahmen
Typische Behördentypen
- Nationale Cybersicherheitsbehörden/-agenturen oder spezialisierte Cybersicherheitsregulatoren (z. B. CCB, ACN, NUKIB, ANSSI)
- Sektorale Regulierungsbehörden für Finanzen, Telekommunikation, Energie, sofern Verantwortlichkeiten delegiert sind
- CSIRTs übernehmen Koordinierungs- und Meldefunktionen nach nationalem Recht
Bleiben Sie über NIS2 informiert
Erhalten Sie die neuesten Hinweise, Fristenerinnerungen und Compliance-Tipps direkt in Ihren Posteingang.
Kein Spam. Jederzeit abbestellbar.