NIS 2 Richtlinie: Stand Umsetzung Europa Deutschland

In Kürze

Die europäische NIS2-Richtlinie (Network and Information Security 2) zielt darauf ab, die Cybersicherheit und die Resilienz wesentlicher und wichtiger Einrichtungen in der Europäischen Union zu stärken. Sie erhöht die Anforderungen an Risikomanagement und Vorfallmeldungen in vielen Sektoren (Energie, Gesundheit, Verkehr, Telekommunikation, digitale Dienste usw.).
Die Umsetzung verläuft jedoch sehr unterschiedlich in den Mitgliedstaaten.

Die europäische NIS-2-Richtlinie (Netz- und Informationssicherheit) muss von jedem Mitgliedstaat der Europäischen Union in nationales Recht umgesetzt werden.

Als Reaktion auf immer ausgeklügeltere und besser ausgestattete Angreifer, die eine wachsende Zahl oftmals unzureichend geschützter Organisationen ins Visier nehmen, stärkt NIS 2 die Grundlagen der ursprünglichen NIS-Richtlinie, um die allgemeine Cybersicherheit zu verbessern. Die europäische Verordnung erweitert den Anwendungsbereich der verpflichteten Einrichtungen erheblich und umfasst nun Organisationen verschiedenster Größen und Branchen – von KMU bis hin zu großen Unternehmen.

Die Vielfalt dieses Anwendungsbereichs stellt zweifellos eine große Herausforderung für die nationalen Behörden dar. Bei der Umsetzung von NIS 2 müssen sie zahlreiche Aspekte definieren und konkretisieren, darunter die Abstimmung mit lokalen Vorschriften, Zeitpläne für die Einhaltung, geltende Sicherheitsanforderungen, Registrierungsverfahren für betroffene Organisationen sowie Meldewege für Cybersicherheitsvorfälle. Um diese Elemente festzulegen, haben die Behörden unterschiedliche Ansätze für den Umsetzungsprozess gewählt: von öffentlichen Konsultationen bis hin zu geschlossenen Abstimmungen, von der Entwicklung neuer Cybersicherheitsstandards bis hin zur Nutzung bestehender Marktstandards sowie von variierenden Kommunikationsmaßnahmen einschließlich Online-Unterstützungstools für betroffene Einrichtungen.

Die Mehrheit der EU-Mitgliedstaaten hat die von der Europäischen Kommission festgelegte Umsetzungsfrist zum 17. Oktober 2024 verpasst. Infolgedessen leitete die Kommission Vertragsverletzungsverfahren ein. Nach der ersten Welle förmlicher Aufforderungen im November 2024 erhielten 19 Mitgliedstaaten im Mai 2025 begründete Stellungnahmen, die sie dazu verpflichten, die Umsetzung abzuschließen. Andernfalls drohen Sanktionen.

Aktuell haben 20 der 27 Mitgliedstaaten die Umsetzung von NIS 2 in nationales Recht offiziell abgeschlossen.

Darüber hinaus haben auch das Vereinigte Königreich und Norwegen, die keine EU-Mitglieder sind, entsprechende Arbeiten zu diesem Thema aufgenommen.

Dieser Artikel gibt einen Überblick über den Stand der Umsetzung von NIS 2 in den verschiedenen EU-Mitgliedstaaten, aktualisiert zum 1. Januar 2026.

Die in diesem Beitrag verwendete Fortschrittsskala wurde im Vergleich zu früheren Veröffentlichungen überarbeitet.

Finden Sie außerdem eine Bestandsaufnahme zur Umsetzung der CER-Richtlinie.

NIS-2-Umsetzungen in Europa

Dieser Artikel, aktualisiert am 1. Januar 2026, stellt die unterschiedlichen Reifegrade aller europäischen Länder im Hinblick auf die NIS-2-Richtlinie dar.

Reifegrad 1:
Erste Schritte zur Umsetzung eingeleitet. Betroffene Länder: Irland, Norwegen.
Reifegrad 2:
Gesetzesentwurf zur Vorlage bei den Gesetzgebungsbehörden. Betroffene Länder: Vereinigtes Königreich, Luxemburg, Frankreich, Spanien, Niederlande, Polen, Bulgarien.
Reifegrad 3:
Verabschiedeter Gesetzesentwurf und Cybersicherheits-Framework noch nicht verfügbar (oder nur in einer vorläufigen Version). Betroffene Länder: Schweden, Dänemark, Österreich, Portugal, Malta, Finnland, Estland, Rumänien, Zypern.
Reifegrad 4:
Verabschiedeter Gesetzesentwurf mit finalisiertem Cybersicherheitsrahmen. Betroffene Länder: Belgien, Deutschland, Italien, Ungarn, Griechenland, Tschechien, Slowakei, Slowenien, Lettland, Litauen, Kroatien.

NIS2 Directive - Maturity levels [DE] - Jan2026

Länder mit Reifegrad 4

NIS2 Directive - Maturity level 4 countries p1 [DE] - jan26 — Diese Karte, aktualisiert am 1. Januar 2026, zeigt die Länder mit **Reifegrad 4, die einen genehmigten Gesetzesentwurf und ein endgültiges Cybersicherheits-Framework vorliegen haben**. Die betroffenen Länder sind: Belgien, Deutschland, Italien, Ungarn, Griechenland, Tschechien, Slowakei, Slowenien, Lettland, Litauen, Kroatien.

**Belgien:**

Die Umsetzung trat am 18. Oktober 2024 in Kraft.

Die betroffenen Einrichtungen mussten sich bis zum 18. März 2025 beim CCB registrieren.

Sie müssen die Anforderungen des CyFun®‑Frameworks oder der ISO‑27001‑Norm innerhalb von 18 bis 30 Monaten nach Bestätigung ihrer Betroffenheit erfüllen.

Im Oktober 2025 veröffentlichte das CCB eine aktualisierte Version des CyFun®‑Frameworks.

**Deutschland:**

Ein Gesetzesentwurf trat am 6. Dezember 2025 in Kraft.

Hinsichtlich des anzuwendenden Sicherheits‑Frameworks hat das BSI kein eigenes, speziell für NIS 2 vorgesehenes Framework veröffentlicht, sondern verweist stattdessen auf bestehende sektorale Vorgaben. Für nicht abgedeckte Sektoren können die betroffenen Einrichtungen frei wählen, welches Cybersecurity‑Framework sie anwenden.

**Italien:**

Das Gesetzgebungsdekret Nr. 138, das NIS 2 umsetzt, trat am 16. Oktober 2024 in Kraft.

Die betroffenen Einrichtungen hatten bis zum 28. Februar 2025 Zeit, sich im ACN‑Serviceportal zu registrieren.

Die ACN veröffentlichte das Cybersecurity‑Framework im April 2025, das innerhalb von 18 Monaten umgesetzt werden muss.

Im Dezember 2025 erließ Italien Verwaltungsentscheidungen, die die Verfahren zur Registrierung der Einrichtungen und zur Meldung von Sicherheitsvorfällen näher festlegen.

**Ungarn:**

Der Cybersecurity Act XXII, der seit Mai 2023 in Kraft ist, wurde nach einer förmlichen Aufforderung der Europäischen Kommission wegen unvollständiger Umsetzung durch zusätzliche Regelungen ergänzt. Der Act LXIX trat daher im Januar 2025 in Kraft und wurde im Juli durch das Law XXXII ergänzt.

Nach dieser Aktualisierung wurde eine Verschiebung der Compliance‑Fristen bekanntgegeben. Die Einrichtungen haben nun bis August 2025 Zeit, eine Prüfstelle auszuwählen, und bis Juni 2026, die Prüfung durchführen zu lassen.

Das Cybersecurity‑Framework basiert auf dem NIST‑SP‑800‑53‑Framework. Die Einrichtungen müssen diese Anforderungen bis Januar 2027 erfüllen.

**Griechenland:**

Das Gesetz Nr. 5160/2024, das die NIS‑2‑Richtlinie umsetzt, trat am 27. November 2024 in Kraft.

Die Registrierung der Einrichtungen wurde bis zum 30. September 2025 verlängert und muss über die digitale NCSA‑Plattform erfolgen.

Am 6. Mai 2025 wurde ein Cybersecurity‑Framework mit 22 Themenbereichen im Amtsblatt veröffentlicht.

NIS2 Directive - Maturity level 4 countries p2 [DE] - Jan26 — Diese Karte, aktualisiert am 1. Januar 2026, zeigt die Länder mit Reifegrad 4, die einen genehmigten Gesetzesentwurf und ein endgültiges Cybersicherheits-Framework vorliegen haben. Die betroffenen Länder sind: Belgien, Deutschland, Italien, Ungarn, Griechenland, Tschechien, Slowakei, Slowenien, Lettland, Litauen, Kroatien.

**Tschechische Republik:**

Das Gesetz Nr. 759 zur Umsetzung von NIS 2 wurde im August 2025 in der Gesetzessammlung veröffentlicht. Der Text trat am 1. November 2025 in Kraft.

Die betroffenen Einrichtungen müssen ihren Registrierungsantrag innerhalb von 60 Tagen nach Inkrafttreten des Gesetzes bei NÚKIB einreichen.

Zwei im Oktober 2025 veröffentlichte Durchführungsverordnungen legen jeweils die Cybersicherheitsmaßnahmen für wesentliche Einrichtungen(Essential Entities, EE) und wichtige Einrichtungen (Important Entities, IE) fest.

**Slowakei:**

Die Änderung des Cybersicherheitsgesetzes Nr. 69/2018, die die NIS‑2‑Richtlinie umsetzt, trat am 1. Januar 2025 in Kraft.

Die betroffenen Einrichtungen müssen sich über ein digitales Portal bei der Nationalen Sicherheitsbehörde (NBU) melden.

Am 1. September traten die Verordnungen Nr. 226/2025 und Nr. 227/2025 in Kraft, die die Mindestanforderungen an die Cybersicherheit festlegen.

**Slowenien:**

Nach einer förmlichen Aufforderung der Europäischen Kommission leitete Slowenien ein Notfallverfahren ein, das im Mai 2025 zur Verabschiedung des Information Security Act ZInfV‑1 führte. Dieses Gesetz, das NIS 2 umsetzt, trat am 19. Juni 2025 in Kraft.

Die Unternehmen müssen sich registrieren, indem sie eine E‑Mail an das Government Office senden – bis zur Einführung einer offiziellen Plattform.

Ein Framework, das dem Gesetz ZInfV‑1 als Anhang beigefügt ist, definiert die für die Einrichtungen geltenden Cybersicherheitsanforderungen.

**Lettland:**

Das nationale Cybersicherheitsgesetz trat am 1. September 2024 in Kraft.

Die betroffenen Einrichtungen mussten sich bis zum 1. April 2025 beim NCSC registrieren.

Am 2. Juli 2025 trat die Verordnung zur Festlegung der Mindestanforderungen an die Cybersicherheit in Kraft

**Litauen:**

Das Cybersicherheitsgesetz Nr. XII‑1428 trat am 17. Oktober 2024 in Kraft.

Die betroffenen Einrichtungen wurden direkt vom National Cybersecurity Center (NKSC) identifiziert.

Das Cybersecurity‑Framework, das durch die Regierungsresolution vom 12. November 2024 festgelegt wurde, umfasst 12 Themenbereiche. Ab ihrer Eintragung in das offizielle Register haben die Einrichtungen 12 Monate zur Umsetzung der allgemeinen Anforderungen und 24 Monate zur Umsetzung der technischen Anforderungen.

**Kroatien:**

Der Croatian Cyber Security Act (CSA, oder Zakon o kibernetičkoj sigurnosti No. 14/2024) trat am 15. Februar 2024 in Kraft.

Eine ergänzende Verordnung (NN135/2024) hat die Umsetzung weiter konkretisiert, indem sie Vorgaben zu Meldeverfahren für Sicherheitsvorfälle und zu Cybersicherheitsanforderungen definiert.

Von NIS 2 erfasste Organisationen wurden im Frühjahr 2025 direkt von den zuständigen sektoralen Behörden informiert.

Am 3. März 2025 veröffentlichte das National Cybersecurity Center (NHCSC‑HR) mehrere Leitlinien, die den sektoralen Behörden und betroffenen Organisationen helfen sollen, die Umsetzung der Regulation zu erleichtern.

Länder mit Reifegrad 3

NIS2 Directive - Maturity level 3 countries [DE] - Jan26 — Diese Karte, aktualisiert am 1. Januar 2026, zeigt die **Länder mit** **Reifegrad 3, die einen genehmigten Gesetzesentwurf haben, deren Cybersicherheits-Framework jedoch nicht verfügbar ist**. Die betroffenen Länder sind: Schweden, Dänemark, Österreich, Portugal, Malta, Finnland, Estland, Rumänien, Zypern.

**Schweden:**

Am 10. Dezember 2025 hat das Parlament das neue Cybersicherheitsgesetz verabschiedet, das auf die Umsetzung von NIS 2 abzielt.

Sein Inkrafttreten ist für den 15. Januar 2026 vorgesehen.

**Dänemark:**

La directive NIS 2 a été transposée par une loi principale intersectorielle, complétée par des lois sectorielles pour la finance, l’énergie et les télécommunications. Ces textes sont entrés en vigueur progressivement jusqu’au 1er juillet 2025.

Les entités concernées devaient s’enregistrer au plus tard le 1er octobre 2025 sur la plateforme nationale Virk.

Le CFCS a publié divers guides pour appuyer les entités dans leur mise en conformité.

**Österreich:**

Am 23. Dezember 2025 hat die österreichische Regierung das NIS‑2‑Umsetzungsgesetz, genannt NISG 2026, offiziell veröffentlicht.

Dieses Gesetz tritt 9 Monate nach seiner Veröffentlichung am 1. Oktober 2026 in Kraft.

**Portugal:**

Am 4. Dezember 2025 hat die Regierung das Dekret‑Gesetz Nr. 125/2025 offiziell veröffentlicht, das NIS 2 in portugiesisches Recht überführt.

**Malta:**

Am 8. April 2025 wurde die NIS‑2‑Verordnung (Legal Notice 71 of 2025) im Amtsblatt veröffentlicht, womit ihr Inkrafttreten markiert wurde.

Ihre praktische Umsetzung hängt von den noch ausstehenden Entscheidungen der Direktion für den Schutz kritischer Infrastrukturen zu Registrierungsverfahren und Anforderungen an die Cybersicherheit ab. Allerdings wurde das von Belgien entwickelte CyFun® Framework von Malta anerkannt.

**Finnland:**

Das Cybersicherheitsgesetz trat am 8. April 2025 in Kraft.

Von NIS 2 erfasste Organisationen mussten sich vor dem 8. Mai 2025 bei ihrer zuständigen sektoralen Behörde registrieren.

Am 8. April 2025 wurde ein erstes Cybersicherheits-Framework veröffentlicht, das für Aufsichtsbehörden bestimmt ist. Diese Behörden müssen es an die spezifischen Anforderungen ihres jeweiligen Sektors anpassen.

**Estland:**

Am 18. Dezember 2025 wurde der Gesetzentwurf zur Änderung des Cybersicherheitsgesetzes von 2018 nach der parlamentarischen Bestätigung vom Präsidenten genehmigt.

Es trat am 1. Januar 2026 in Kraft.

**Rumänien:**

NIS 2 wurde über die Eilverordnung Nr. 155/2024 umgesetzt, die im Januar 2025 in Kraft trat, sowie über die Gesetze Nr. 52/2025 und Nr. 124/2025, die im Juli 2025 in Kraft traten.

Die betroffenen Organisationen mussten ihre Registrierungsmitteilung vor dem 19. September 2025 an die DNSC übermitteln.

Es wurde kein spezifisches NIS‑2‑Cyber‑Framework für Rumänien veröffentlicht. Allerdings wurde das von Belgien entwickelte CyFun® Framework von Rumänien anerkannt.

**Zypern:**

Das Gesetz zur Änderung des bestehenden Cybersicherheits‑Frameworks, um NIS 2 zu integrieren, trat am 25. April 2025 in Kraft.

Die Registrierungsverfahren für die betroffenen Organisationen werden von der Digital Security Authority (DSA) festgelegt, die ein Self‑Assessment‑Tool bereitgestellt hat, mit dem Organisationen ihre Einstufung überprüfen können.

Länder mit Reifegrad 2

NIS2 Directive - Maturity level 2 countries [DE] - Jan26 — Diese Karte, aktualisiert am 1. Januar 2026, zeigt die **Länder mit Reifegrad 2, deren Gesetzesentwurf sich im Gesetzgebungsverfahren befindet**. Die betroffenen Länder sind: Vereinigtes Königreich, Luxemburg, Frankreich, Spanien, Niederlande, Polen, Bulgarien.

**Vereinigtes Königreich:**

Als ehemaliges EU‑Mitglied hat das Vereinigte Königreich die NIS‑1‑Richtlinie im Jahr 2018 in nationales Recht überführt. Obwohl das Land nicht unter NIS 2 fällt, hat die britische Regierung angekündigt, ihr eigenes NIS‑Framework zu aktualisieren.

Im November 2025 wurde der Cyber Security and Resilience Bill in erster Lesung im Parlament angenommen.

**Luxemburg :**

Der Gesetzentwurf zur Umsetzung von NIS 2 wartet derzeit auf die Zustimmung in der Abgeordnetenkammer, nachdem die Regierung ihre Änderungsvorschläge auf Grundlage mehrerer institutioneller Stellungnahmen eingebracht hat.

Es wird erwartet, dass er Anfang 2026 umgesetzt wird.

**Frankreich:**

Im März 2025 hat der Senat den Gesetzentwurf zur Resilienz kritischer Infrastrukturen und zur Stärkung der Cybersicherheit verabschiedet, der die Umsetzung von NIS 2, REC und DORA umfasst.

Die Regierung beabsichtigt, den Gesetzentwurf ab Januar 2026 in einer Plenarsitzung der Nationalversammlung vorzulegen.

ANSSI teilte einen Entwurf des Cybersicherheits‑Frameworks mit bestimmten Stakeholdern sowie während der Konsultationsphasen.

Zudem wurde im November 2025 eine Vorregistrierungsplattform gestartet.

**Spanien:**

Im Januar 2025 hat der Ministerrat den Gesetzentwurf zur Umsetzung von NIS 2 im Rahmen eines dringlichen Verwaltungsverfahrens angenommen.

Der Text erfordert jedoch noch mehrere Überprüfungen, bevor er dem Parlament vorgelegt werden kann.

**Niederlande:**

Im Juni 2025 wurde der Cybersicherheits‑Gesetzentwurf an das Repräsentantenhaus übermittelt und wird dort weiterhin diskutiert; sein Inkrafttreten wird im zweiten Quartal 2026 erwartet.

Das Dutch National Cyber Security Center hat ein cybersecurity control Framework (CBw NIS2 Control Framework) veröffentlicht, das für die unter die Richtlinie fallenden Organisationen entwickelt wurde.

**Polen:**

Der UC32‑Gesetzentwurf wurde im Oktober 2025 von der Regierung angenommen und hat am 5. Dezember 2025 seine erste Lesung in der Nationalversammlung bestanden.

**Bulgarien:**

Der Gesetzentwurf zur Umsetzung von NIS 2 wurde in erster Lesung im Februar 2025 angenommen.

Länder mit Reifegrad 1

NIS2 Directive - Maturity level 1 countries [DE] - Jan26 — Diese Karte, aktualisiert am 1. Januar 2026, zeigt die **Länder mit Reifegrad 1, in denen erste Umsetzungsschritte eingeleitet wurden**. Die betroffenen Länder sind: Irland, Norwegen.

**Irland:**

Der Transpositionsprozess hat sich verzögert, hauptsächlich aufgrund der Wahlen 2024, die den Gesetzgebungskalender beeinträchtigt haben.

Der Gesetzentwurf gehört weiterhin zu den gesetzgeberischen Prioritäten der Regierung, während die benannten Betreiber weiterhin dem NIS‑1‑Framework folgen.

Irland ist dem CyFun®, ursprünglich in Belgien entwickelt, als Mitinhaber des Schemas beigetreten. Es empfiehlt den Organisationen, dieses Framework zu verwenden.

**Norwegen:**

Obwohl Norwegen kein EU‑Mitgliedstaat ist, hat es bestimmte EU‑Richtlinien umgesetzt.

Ende 2023 verabschiedete das Land ein Gesetz, das auf dem NIS‑1‑Framework basiert.

Das Justiz‑ und Sicherheitsministerium hat bestätigt, dass die NIS‑2‑Richtlinie in nationales Recht überführt werden soll.

Fokus auf ausgewählte europäische Länder

Deutschland

Reifegrad: 4

Der NIS-2-Gesetzentwurf wurde am 24. Juli 2024 erstmals von der Bundesregierung verabschiedet. Aufgrund vorgezogener Neuwahlen konnte das parlamentarische Verfahren jedoch nicht abgeschlossen werden. Nach der Regierungsbildung im Mai 2025 wurde eine überarbeitete Version des Textes veröffentlicht. Dieser aktualisierte Entwurf wurde im November 2025 sowohl vom Bundestag als auch vom Bundesrat angenommen und ist am 5. Dezember 2025 in Kraft getreten.Bezüglich des anzuwendenden Cybersicherheits-Frameworks hat das BSI keine spezifische Referenz veröffentlicht, sondern verweist auf bestehende sektorspezifische Regularien. Für nicht abgedeckte Sektoren können Unternehmen frei wählen, welches Cybersicherheits-Framework sie anwenden.

Wichtige Schritte:

13. November 2025: Verabschiedung des Gesetzentwurfs durch den Bundestag.
November 2025: Verabschiedung des Gesetzentwurfs durch den Bundesrat.
Dezember 2025: Veröffentlichung des Gesetzes im Bundesgesetzblatt.
Dezember 2025: Inkrafttreten des Gesetzes.

Nationale Besonderheiten:

Das BSI‑Gesetz von 1991 verleiht dem BSI den Auftrag, die Sicherheit der Informationssysteme zu gewährleisten.
Das IT‑Sicherheitsgesetz von 2015, erweitert durch das IT‑Sicherheitsgesetz 2.0 (2021), stärkt die Aufgaben des BSI und verpflichtet Betreiber kritischer Infrastrukturen zu Sicherheitsmaßnahmen. Parallel dazu definiert die KRITIS‑Verordnung eine Liste kritischer Sektoren (Energie, Wasser, Ernährung, Gesundheit usw.) und verschärft die von diesen Einrichtungen anzuwendenden Sicherheitsmaßnahmen.
Das BSI hat keinen einzelnen Standard speziell für NIS 2 veröffentlicht, sondern verweist auf bereits bestehende Regularien und Standards:
- Wenn eine Organisation sektorspezifischen Regularien unterliegt, muss sie das damit verbundene Framework anwenden.
- Organisationen ohne sektorspezifische Regulierung können ein passendes Framework frei wählen. Das BSI empfiehlt hierbei Frameworks wie ISO 27001, BSI‑400 oder die sektoralen B3S‑Frameworks.

Zuständige Behörde:
BSI (Bundesamt für Sicherheit in der Informationstechnik)

Belgien

Reifegrad: 4

Das Umsetzungsgesetz zu NIS 2 ist im Oktober 2024 in Kraft getreten. Die betroffenen Organisationen waren verpflichtet, sich bis zum 18. März 2025 bei der CCB zu registrieren. Ab dem Zeitpunkt der Benachrichtigung über ihre Einstufung durch die CCB haben die Organisationen einen Zeitraum von 18 bis 30 Monaten, um die Anforderungen an die Cybersicherheit zu erfüllen – entweder durch die Anwendung des Cyfun® Frameworks oder durch den Einsatz der ISO/IEC 27001‑Standards.Darüber hinaus wurde im Oktober 2025 eine aktualisierte Version des Cyfun® Frameworks veröffentlicht. Ab dem 18. April 2027 ersetzt sie die bisherige Version aus dem Jahr 2023.

Wichtige Schritte:

10. November 2023: Der belgische Ministerrat hat den Entwurf zur europäischen Richtlinie in erster Lesung verabschiedet.
November – 21. Dezember 2023: Die CCB führte eine öffentliche Konsultation zu diesem ersten Entwurf durch.
März 2024: Der Gesetzentwurf wurde vom Innenausschuss der Abgeordnetenkammer genehmigt.
April 2024: Das NIS‑2‑Gesetz wurde in einer Plenarsitzung der Abgeordnetenkammer verabschiedet und am 17. Mai 2024 im Belgischen Staatsblatt veröffentlicht. Offizieller Titel des Gesetzes: „Law establishing a framework for the cybersecurity of networks and information systems of general interest for public security“
Juni 2024: Ein königlicher Erlass zur Umsetzung des Gesetzes wurde veröffentlicht. Dieser Erlass legt die praktischen Modalitäten der Anwendung des Gesetzes fest, einschließlich der Verfahren für regelmäßige Bewertungen von Organisationen (verpflichtend für Essential Entities und freiwillig für Important Entities) sowie der Bedingungen für die Akkreditierung von Aufsichtsstellen.
Oktober 2024: Inkrafttreten des Gesetzes.
März 2025: Frist für die Registrierung von Organisationen: 1.500 Essential Entities und 2.500 Important Entities wurden registriert.
Oktober 2025: Unter dem Namen Cyfun® 2025 wurde eine aktualisierte Version des Cyfun® Frameworks veröffentlicht. Diese Version integriert das NIST CSF 2.0 und baut die governancebezogenen Maßnahmen weiter aus. Insgesamt wurden 23 neue Anforderungen aufgenommen und 24 im Vergleich zur vorherigen Version gestrichen. Ab dem 18. April 2027 werden für Selbstbewertungen und Compliance-Prüfungen ausschließlich die neue Version akzeptiert.

Nationale Besonderheiten:

Das CyFun®-Framework bietet vier Assurance-Level (Small, Basic, Important, Essential) und wird durch vier Tools ergänzt:
- Self‑Assessment Tool: Ein Fragebogen auf Basis der CyFun®‑Mapping‑Struktur, um zu prüfen, ob eine Organisation das angestrebte Sicherheitsniveau erfüllt.CyFun®
- Selection Tool: Unterstützt die Bewertung sektorspezifischer Risiken und hilft dabei, das erforderliche Compliance‑Level zu bestimmen (Risikobewertungstool).Security
- Policy Templates: Dienen als Ausgangspunkt für Organisationen mit begrenzter Erfahrung im Bereich Cybersicherheit.
- CyberFundamentals Framework Mapping: Bietet einen Überblick über die Anforderungen und zeigt, wie diese mit anderen Branchen‑Frameworks übereinstimmen.
Das CyFun®-Framework wurde von mehreren europäischen Ländern anerkannt (Rumänien, Malta, Irland).
Organisationen, die sich für den Standard ISO/IEC 27001 entscheiden, müssen ihren Geltungsbereich und ihr Statement of Applicability (SoA) bis April 2026 bei der CCB einreichen und die Zertifizierung bis April 2027 abschließen. Direkte Inspektionen durch die CCB sind weiterhin möglich.
In Belgien haben sich 1.500 Essential Entities und 2.500 Important Entities registriert.

Zuständige Behörde:

CCB (Centre pour la Cybersécurité Belgique)

Frankreich

Reifegrad: 2

Der Gesetzentwurf zur Resilienz kritischer Infrastrukturen und zur Stärkung der Cybersicherheit, der die Umsetzung von NIS 2, REC und DORA beinhaltet, wurde am 15. Oktober 2024 dem Ministerrat vorgelegt. Der Senat hat ihn am 12. März 2025 angenommen und er wird derzeit von der Nationalversammlung geprüft.Im Rahmen von Konsultationen hat die ANSSI ausgewählten Stakeholdern ein vorläufiges Framework für Cybersicherheitsmaßnahmen zur Verfügung gestellt. Im November 2025 wurde außerdem eine Plattform zur Vorregistrierung gestartet.

Wichtige Schritte:

Die ANSSI hat sich für einen partizipativen Ansatz entschieden und zentrale Akteure des Sektors eingebunden, darunter Branchenverbände wie die UFE (Union Française de l’Électricité), Cybersecurity‑Verbände (CLUSIF, CESIN) sowie qualifizierte Dienstleister (PASSI, PRIS, PDIS usw.).
Die Konsultationsphase behandelte drei Themenbereiche:
- Den Geltungsbereich der vom Gesetz erfassten Organisationen
- Die Modalitäten der Zusammenarbeit zwischen der ANSSI und den vom Gesetz betroffenen Organisationen
- Die Anforderungen an die Cybersicherheit
Oktober 2024: Ein Gesetzesentwurf zur „Resilienz kritischer Infrastrukturen und zur Stärkung der Cybersicherheit“ wird dem Ministerrat vorgelegt. Der Entwurf ist in drei Teile gegliedert, die jeweils eine der Regulierungen behandeln (NIS 2, REC, DORA).
März 2025: Der Senat verabschiedet den Gesetzesentwurf nach den öffentlichen Sitzungen vom 11. und 12. März.
April 2025: Die Nationalversammlung benennt Berichterstatter, die den Resilience Bill prüfen sollen – jeweils einen pro Teil des Gesetzes (NIS 2, REC, DORA).
Mai – Juli 2025: Ein Sonderausschuss der Nationalversammlung führt Anhörungen mit verschiedenen Stakeholdern durch (ANSSI, SGDSN, CNIL usw.). Die Anhörungen enden am 15. Juli 2025 mit der Stellungnahme des Generaldirektors der ANSSI, Vincent Strubel.
9. – 11. September 2025: Der Sonderausschuss der Nationalversammlung prüft den Gesetzesentwurf und verabschiedet 245 Änderungsanträge.
November 2025: Die ANSSI startet ihre Vorregistrierungsplattform für NIS‑2‑betroffene Organisationen, um den zukünftigen verpflichtenden Registrierungsprozess zu vereinfachen.

Nächste Schritte:

Der Gesetzentwurf soll ab Januar 2026 in einer Plenarsitzung der Nationalversammlung behandelt werden, auch wenn der genaue Zeitplan derzeit noch unklar ist.

Nationale Besonderheiten:

Die ANSSI plant die Einführung mehrerer Online‑Hilfstools, von denen einige bereits als Beta‑Version verfügbar sind:
- Ein Tool zur Bewertung der NIS‑2‑Eignung einer Organisation
- Ein Unterstützungsservice zur Einführung eines Sicherheitsansatzes
- Ein Tool zum Management von Sicherheitsmaßnahmen
- Eine Vorregistrierungsplattform

Zuständige Behörde:

ANSSI (Agence nationale de la sécurité des systèmes d’information)

Vereinigtes Königreich

Reifegrad: 2

Obwohl das Vereinigte Königreich nach dem Brexit nicht mehr unter die NIS-2-Richtlinie fällt, plant es eine Aktualisierung seiner Cybersicherheitsvorschriften, die derzeit noch auf der britischen Umsetzung von NIS 1 basieren. Ein neuer Gesetzentwurf namens „Cyber Security and Resilience Bill” befindet sich in Entwicklung und wurde im November 2025 zur ersten Lesung ins Parlament eingebracht.Ziel des Gesetzentwurfs ist es, den bestehenden regulatorischen Rahmen zu modernisieren und zu erweitern, um heutigen Cybersicherheitsherausforderungen besser begegnen zu können. Er ist zwar von der NIS-2-Richtlinie inspiriert, bewahrt jedoch eine gewisse Unabhängigkeit des Vereinigten Königreichs. Die schrittweise Einführung des Gesetzes soll im Laufe des Jahres 2026 erfolgen.

Wichtige Schritte:

2018: Während seiner Zugehörigkeit zur EU setzte das Vereinigte Königreich die NIS-1-Richtlinie in nationales Recht um. Für jeden relevanten Sektor wurde eine zuständige Behörde (NIS-Regulator) benannt und es wurden sektorspezifische Sicherheitsleitlinien veröffentlicht.
2022: Nach einer öffentlichen Konsultation zur Stärkung der britischen Cyberresilienz kündigte die Regierung an, die NIS-Regulierungen zu aktualisieren, um die nationale Cybersicherheit zu erhöhen.
Juli 2024: Die Regierung bekräftigt ihr Vorhaben, die bestehenden, aus der EU übernommenen Cybersicherheitsregelungen (einschließlich NIS 1) mittels eines neuen Gesetzentwurfs zur Cybersicherheit und Resilienz zu modernisieren.
April 2025: Die britische Regierung kündigt an, dass der Cyber Security and Resilience Bill im Jahr 2025 ins Parlament eingebracht wird.
November 2025: Das Parlament führt die erste Lesung des Cyber Security and Resilience Bill durch.
Januar 2026: Der Gesetzentwurf hat die zweite Lesung erfolgreich durchlaufen und wird nun in die Ausschussphase des Parlaments übergehen.

Nächste Schritte:

Nach Abschluss der zweiten Lesung geht der Gesetzentwurf in die Ausschussphase über. Ein mögliches Inkrafttreten wird für das Jahr 2026 erwartet.

Nationale Besonderheiten:

Der Cyber Security and Resilience Bill führt mehrere zentrale Änderungen ein, darunter:
- Erweiterung des Geltungsbereichs: Er umfasst künftig digitale Dienste wie Cloud‑Anbieter, Online‑Marktplätze und Suchmaschinen. Zudem werden zwei neue essenzielle Dienste hinzugefügt – Rechenzentren und Lastregelungsdienste. Darüber hinaus erhält die Regierung die Befugnis, bestimmte Akteure – einschließlich kleiner und mittlerer Unternehmen (KMU) – als essenzielle Anbieter einzustufen, wenn deren potenzielle Auswirkungen auf ihren Sektor dies rechtfertigen
- Stärkung der Befugnisse der Aufsichtsbehörden und mehr regulatorische Flexibilität für Anbieter, damit diese schneller auf neue Bedrohungen und technologische Entwicklungen reagieren können.
- Verbesserung der Meldung von Cybersicherheitsvorfällen an die Behörden, um eine bessere und schnellere Lagebewertung zu ermöglichen.

Zuständige Behörde(n):

DSIT (Department for Science, Innovation and Technology)
Ein sektorspezifischer Regulator je Branche

Luxemburg

Reifegrad: 2

Der Gesetzentwurf 8364 zur Umsetzung der Richtlinie wurde am 13. März 2024 bei der Abgeordnetenkammer eingereicht. Im Oktober 2024 veröffentlichte der Staatsrat seine Stellungnahme, die mehrere Empfehlungen enthielt. Das Luxembourg Regulatory Institute (ILR) hat mehrere Informationsveranstaltungen organisiert und die Umsetzung wird für Anfang 2026 erwartet.

Wichtige Schritte:

März 2024: Ein Gesetzentwurf wurde bei der Abgeordnetenkammer eingereicht.
April 2024: Das ILR organisierte eine öffentliche Informationsveranstaltung, gefolgt von einer zweiten Sitzung im September 2024.
Juli 2024: Die Handelskammer veröffentlichte ihre Stellungnahme zum Gesetzentwurf, in der sie die Ausnahme von Handwerksbetrieben empfahl und auf die Notwendigkeit finanzieller Unterstützung für betroffene Organisationen hinwies.
Oktober 2024: Der Staatsrat gab seine Stellungnahme ab und formulierte 25 Empfehlungen, darunter den Aufruf zur Koordinierung mit der Richtlinie über die Resilienz kritischer Einrichtungen (REC). Zudem warnte er vor möglichen Abweichungen zwischen ILR und CSSF (Finanzsektoraufsicht) und betonte die Notwendigkeit klarer Abläufe für die Einstufung von Organisationen.
Dezember 2024: Die Handwerkskammer veröffentlichte ihre Stellungnahme zum Gesetzentwurf.
Mai 2025: Die Regierung legte einen Änderungsantrag zum Gesetzentwurf vor.
Dezember 2025: Der Staatsrat veröffentlichte eine ergänzende Stellungnahme, in der er die Änderungen zum NIS‑2‑Gesetz (PL 8364) teilweise validierte, jedoch weitere Anpassungen forderte.

Nächste Schritte:

Der Gesetzentwurf wartet auf die Verabschiedung durch die Abgeordnetenkammer. Nach der Annahme wird das Gesetz verkündet und im Amtsblatt veröffentlicht.

Nationale Besonderheiten:

Während der 4. NISDUC‑Konferenz am 6.–7. Mai 2025, organisiert durch das ILR, wurde angekündigt, dass die Umsetzung Anfang 2026 erwartet wird – ohne wesentliche Änderungen gegenüber dem bisherigen Entwurf.

Zuständige Behörde:

ILR (Institut Luxembourgeois de Régulation)

Italien

Reifegrad: 4

Das Dekretgesetz zur Umsetzung der NIS-2-Richtlinie ist am 16. Oktober 2024 in Kraft getreten. Seit April 2025 befindet sich Italien in der zweiten Phase der NIS-2-Umsetzung. Diese ist durch die Veröffentlichung verschiedener Verwaltungsentscheidungen und ergänzender Leitlinien gekennzeichnet. Diese Dokumente konkretisieren praktische Umsetzungsschritte für Organisationen, darunter Registrierungspflichten, Cybersecurity-Frameworks sowie Verfahren zur Meldung von Cybersicherheitsvorfällen.

Wichtige Schritte:

10. Juni 2024: Der Ministerrat hat den Entwurf des gesetzgeberischen Erlasses zur Umsetzung von NIS 2 genehmigt.
August 2024: Die Regierung hat den Entwurf endgültig verabschiedet, der am 1. Oktober 2024 im Amtsblatt veröffentlicht wurde.
Oktober 2024: Inkrafttreten des Gesetzes.
November 2024: Die ACN hat ihr Portal für die Registrierung der Organisationen freigeschaltet.
April 2025: Die ACN hat Verwaltungsentscheidungen zur Konkretisierung der Anforderungen aus dem NIS‑2‑Gesetz veröffentlicht:
- Decision No. 164179: Definiert die Mindestanforderungen an die Cybersicherheit für Essential und Important Entities und legt die Kriterien zur Einstufung eines „signifikanten Vorfalls“ fest.
- Decision No. 136117: Regelt die Zugangsbedingungen für das ACN‑Portal, die Benennung der Kontaktstelle sowie die jährliche Aktualisierung der eingereichten Daten.
  Dezember 2025: Zwei weitere Verwaltungsentscheidungen wurden verabschiedet, die bestehende Entscheidungen ergänzen oder aktualisieren.

Nächste Schritte:

1. Januar – 28. Februar 2026: Alle betroffenen Organisationen müssen sich über das ACN‑Portal registrieren.
Ab 1. Januar 2026: Organisationen müssen ihre schwerwiegenden Sicherheitsvorfälle an CSIRT Italia melden.
April – 31. Mai 2026: Jährliche Aktualisierung der eingereichten Informationen.

Nationale Besonderheiten:

Über die wesentlichen (Anhang 1) und wichtigen (Anhang 2) Sektoren hinaus definiert der Erlass zwei zusätzliche Kategorien:
- Öffentliche Verwaltungen auf zentraler, regionaler und lokaler Ebene sowie weitere öffentliche Einrichtungen (Anhang 3).
- Weitere Einrichtungen, darunter Anbieter lokaler öffentlicher Verkehrsdienste und Bildungseinrichtungen mit Forschungstätigkeit (Anhang 4).

Zuständige Behörde:

ACN (Agenzia per la Cybersicurezza Nazionale)

Möchten Sie sicherstellen, dass Ihre Organisation NIS2-ready ist?

Lassen Sie uns Ihre nächsten Schritte planen und Ihre Bereitschaft bewerten

NIS 2 Richtlinie: Wo steht die Umsetzung in Europa und Deutschland? [stand: Januar 2026]

In Kürze

NIS-2-Umsetzungen in Europa

Länder mit Reifegrad 4

Länder mit Reifegrad 3

Länder mit Reifegrad 2

Länder mit Reifegrad 1

Fokus auf ausgewählte europäische Länder

Deutschland

Belgien

Frankreich

Vereinigtes Königreich

Luxemburg

Italien

Möchten Sie sicherstellen, dass Ihre Organisation NIS2-ready ist?

Kontaktieren Sie uns

Möchten Sie uns kontaktieren?

NIS 2 Richtlinie: Wo steht die Umsetzung in Europa und Deutschland? [stand: Januar 2026]

In Kürze

NIS-2-Umsetzungen in Europa

Länder mit Reifegrad 4

Länder mit Reifegrad 3

Länder mit Reifegrad 2

Länder mit Reifegrad 1

Fokus auf ausgewählte europäische Länder

Deutschland

Belgien

Frankreich

Vereinigtes Königreich

Luxemburg

Italien

Möchten Sie sicherstellen, dass Ihre Organisation NIS2-ready ist?

Kontaktieren Sie uns

Möchten Sie uns kontaktieren?

Länder mit Reifegrad 4