NIS2-Umsetzung 2026: Der Stand in jedem EU-Mitgliedstaat — und was er für grenzüberschreitend tätige Unternehmen bedeutet

Auf einen Blick

Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) verpflichtete jeden EU-Mitgliedstaat, das Recht bis zum 17. Oktober 2024 in den nationalen Rechtsrahmen zu überführen. Diese Frist ist verstrichen — und nur Belgien, Kroatien, Italien und Litauen haben sie eingehalten. Mit Stand Mai 2026 haben 22 der 27 Mitgliedstaaten ein Umsetzungsgesetz verabschiedet; fünf — Frankreich, Irland, Luxemburg, die Niederlande und Spanien — befinden sich weiterhin im Gesetzgebungsverfahren. Die Europäische Kommission hat im November 2024 Vertragsverletzungsverfahren gegen 23 Mitgliedstaaten eröffnet und am 7. Mai 2025 gegen 19 von ihnen mit Gründen versehene Stellungnahmen erlassen. Für grenzüberschreitend tätige Unternehmen heißt das: unterschiedliche Inkrafttretenstermine, unterschiedliche zuständige Behörden, unterschiedliche Meldewege und unterschiedliche Bußgeldsystematiken — und das alles auf Basis derselben Richtlinie. Dieser Beitrag bildet den verifizierten Stand in allen 27 Mitgliedstaaten mit Primärquellen ab, identifiziert die grenzüberschreitenden Compliance-Fallen und liefert einen praxistauglichen Rahmen für den Betrieb in diesem Flickenteppich.

Warum die Umsetzungslücke kein juristisches Randthema, sondern ein Geschäftsproblem ist

NIS2 ist eine Richtlinie, keine Verordnung. Anders als die DSGVO — die ab einem einheitlichen Stichtag in der gesamten EU unmittelbar gilt — müssen Richtlinien zunächst in das nationale Recht jedes Mitgliedstaats umgesetzt werden, bevor sie Wirkung entfalten. Jeder Staat entscheidet eigenständig, welche Behörde die Aufsicht ausübt, wie Vorfälle praktisch zu melden sind und welche Einrichtungen über die Mindestvorgaben der Richtlinie hinaus als „wesentlich" oder „wichtig" einzustufen sind (Artikel 2 Absatz 2 erlaubt ausdrücklich eine Erweiterung des Anwendungsbereichs).

In der Theorie ergibt dieses Modell Sinn: Die Mitgliedstaaten kennen ihre Verwaltungsstrukturen am besten. In der Praxis erzeugt es operative Komplexität für jedes Unternehmen, das in mehr als einem Land tätig ist. Ein IT-Dienstleister mit Kunden in Deutschland, Italien und Polen muss heute drei Umsetzungsakte beachten, die zwar alle aus derselben Richtlinie hervorgehen, aber im Verfahrensdetail voneinander abweichen. Eine SaaS-Plattform mit Nutzern in der gesamten EU muss wissen, welche nationale Behörde im Vorfallsfall zu informieren ist — die Antwort hängt nach Artikel 26 davon ab, wo sich ihre Hauptniederlassung befindet, wobei Zweitniederlassungen parallele Pflichten auslösen können.

Die Frist im Oktober 2024 sollte Harmonisierung erzwingen. Sie hat es nicht. Mit Stand Mai 2026 haben fünf Mitgliedstaaten weiterhin Gesetzentwürfe in der Schwebe, und die Europäische Kommission hat gegen 19 Mitgliedstaaten mit Gründen versehene Stellungnahmen erlassen (die zweite Stufe des Vertragsverletzungsverfahrens, unmittelbar vor der Klage beim Gerichtshof der Europäischen Union). Bulgarien wurde Branchenberichten zufolge an den EuGH verwiesen. Unternehmen dürfen aus der Verzögerung nicht auf Milde schließen: Sobald das nationale Gesetz beschlossen ist, haben mehrere Mitgliedstaaten kurze oder gar keine Übergangsfristen vorgesehen.

Die praktische Konsequenz: Den Richtlinientext zu kennen reicht nicht. Sie müssen IHRE nationale Umsetzungsfassung kennen — und die jedes Landes, in dem Sie tätig sind.

Verifizierter Umsetzungsstand nach Mitgliedstaat (Mai 2026)

Der nachfolgende Tracker erfasst für jeden der 27 Mitgliedstaaten das Umsetzungsgesetz, das Datum der Veröffentlichung im amtlichen Gesetzblatt, das Inkrafttreten und die benannte zuständige Behörde. Jeder Eintrag wurde gegen das nationale Gesetzblatt oder die offizielle Seite der zuständigen Behörde verifiziert (vgl. Quellen am Ende). Es handelt sich um eine sich laufend verändernde Lage — verifizieren Sie die jeweilige Position vor jeder Compliance-Entscheidung.

Umgesetzt und in Kraft (19 Mitgliedstaaten)

• Belgien — Loi/Wet vom 26. April 2024 zur Umsetzung von NIS2, veröffentlicht im Moniteur belge / Belgisch Staatsblad am 17. Mai 2024; in Kraft am 18. Oktober 2024. Zuständige Behörde: Centre for Cybersecurity Belgium (CCB). Belgien begann als erstes Land mit der Meldung über das Portal und verweist auf das CyFun®-Rahmenwerk als Compliance-Pfad.
• Bulgarien — Закон за изменение и допълнение на Закона за киберсигурност, Staatsanzeiger Nr. 17 vom 13. Februar 2026; in Kraft am 13. Februar 2026. Koordinator: National Cybersecurity Coordinator. Bulgarien wurde laut mehreren Branchenquellen vor der Verabschiedung des Gesetzes im Mai 2025 von der Kommission an den EuGH verwiesen.
• Kroatien — Zakon o kibernetičkoj sigurnosti, Narodne novine Nr. 14/2024 vom 14. Februar 2024; in Kraft am 15. Februar 2024. Erster Mitgliedstaat, der die Umsetzung abschloss — acht Monate vor Fristablauf. Zuständige Behörde: Nacionalni centar za kibernetičku sigurnost (NCSC-HR), angesiedelt bei der SOA.
• Zypern — Network and Information Systems Security (Amendment) Law L. 60(I)/2025, veröffentlicht am 25. April 2025. Zuständige Behörde: Digital Security Authority (DSA). Gegenstand einer mit Gründen versehenen Stellungnahme der Kommission vom 7. Mai 2025 (vor Abschluss der Notifizierungsmitteilung erlassen).
• Tschechien — Zákon č. 264/2025 Sb. o kybernetické bezpečnosti, Sbírka zákonů vom 4. August 2025; in Kraft am 1. November 2025. Neues eigenständiges Gesetz (keine Novelle des bisherigen Gesetzes 181/2014). Zuständige Behörde: Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Vorfallsmeldung binnen 24 Stunden; Registrierungsfrist Ende Dezember 2025.
• Dänemark — Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau (LOV nr. 434 vom 6. Mai 2025), Lovtidende vom 7. Mai 2025; in Kraft am 1. Juli 2025. Zuständige Behörde: Center for Cybersikkerhed (CFCS) bei der Forsvarets Efterretningstjeneste, mit sektoralen Behörden für spezifische Bereiche. Registrierungsfrist 1. Oktober 2025 über Virk mit MitID.
• Estland — Küberturvalisuse seaduse ja teiste seaduste muutmise seadus, Riigi Teataja Dezember 2025; in Kraft am 1. Januar 2026. Zuständige Behörde: Riigi Infosüsteemi Amet (RIA). Anwendungsbereich von rund 3.500 auf 5.500 bis 7.000 Einrichtungen erweitert. Dreijährige Übergangsfrist bis zur vollständigen Konformität.
• Finnland — Kyberturvallisuuslaki (Säädöskokoelma 124/2025), beschlossen am 13. März 2025; in Kraft am 8. April 2025. Dezentrales Modell: sektorspezifische Aufsichtsbehörden, mit Liikenne- ja viestintävirasto Traficom als Träger des nationalen Cybersicherheitszentrums und einheitlicher Anlaufstelle. Registrierungsfrist 8. Mai 2025; Frist für das Risikomanagement-Betriebsmodell 8. Juli 2025.
• Deutschland — NIS-2-Umsetzungsgesetz (NIS2UmsuCG), BGBl. 2025 I Nr. 301, veröffentlicht am 5. Dezember 2025; in Kraft am 6. Dezember 2025. Beschluss des Bundestages am 13. November 2025; des Bundesrates am 21. November 2025. Zuständige Behörde: Bundesamt für Sicherheit in der Informationstechnik (BSI). Rund 29.500 Einrichtungen in 18 Sektoren. Die 14-monatige Verzögerung über die Frist hinaus ist auf den Bruch der Ampelkoalition Ende 2024 zurückzuführen.
• Griechenland — Νόμος 5160/2024, ΦΕΚ A' 188 vom 27. November 2024; in Kraft am 28. November 2024. Zuständige Behörde: Εθνική Αρχή Κυβερνοασφάλειας (Nationale Cybersicherheitsbehörde — NCSA), errichtet durch das Gesetz 5086/2024, dem Minister für Digitale Verwaltung unterstellt. Durchführungsbeschlüsse 1645/2025 und 1689/2025 wurden im Laufe des Jahres 2025 erlassen.
• Ungarn — 2024. évi LXIX. törvény Magyarország kiberbiztonságáról (Gesetz LXIX von 2024 über die Cybersicherheit Ungarns), Magyar Közlöny Nr. 130 vom 20. Dezember 2024; in Kraft am 1. Januar 2025. Hebt das Gesetz XXIII von 2023 auf. Zuständige Behörde: Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH). Durchführungsverordnung der Regierung 418/2024.
• Italien — Decreto Legislativo 4 settembre 2024, n. 138, Gazzetta Ufficiale Serie Generale n. 230 vom 1. Oktober 2024; in Kraft am 16. Oktober 2024. Zuständige Behörde: Agenzia per la Cybersicurezza Nazionale (ACN), mit sektorspezifischen Behörden. Italien hat mehr Sektoren als das Richtlinienminimum aufgenommen und betreibt seit dem 1. Dezember 2024 eine rollierende jährliche Registrierung über die ACN-Plattform.
• Lettland — Nacionālās kiberdrošības likums (NKDL), Latvijas Vēstnesis Juni 2024; in Kraft am 1. September 2024. Zuständige Behörde: Nacionālais kiberdrošības centrs (Nationales Cybersicherheitszentrum) beim Verteidigungsministerium; CERT.LV betreibt die Vorfallsbearbeitung. Selbstidentifikationsregister fällig zum 1. April 2025; Bestellung des Cybersicherheitsverantwortlichen sowie erste Selbstbewertung bis zum 1. Oktober 2025.
• Litauen — Kibernetinio saugumo įstatymas (Novelle), Teisės aktų registras Juli 2024; in Kraft am 18. Oktober 2024. Zuständige Behörde: Nacionalinis kibernetinio saugumo centras (NKSC) beim Verteidigungsministerium. Die am 6. November 2024 beschlossene Durchführungsverordnung der Regierung definiert die technischen und organisatorischen Anforderungen.
• Polen — Ustawa o zmianie ustawy o krajowym systemie cyberbezpieczeństwa, Dziennik Ustaw vom 2. März 2026; in Kraft am 2. April 2026. Sejm-Beschluss am 23. Januar 2026; Senat am 28. Januar 2026; Unterzeichnung durch den Staatspräsidenten am 19. Februar 2026. Die CSIRTs (CSIRT GOV, CSIRT MON, CSIRT NASK) operieren unter dem Minister für Digitalisierung. 12-monatige Anpassungsfrist bis zum 2. April 2027.
• Rumänien — Ordonanța de Urgență 155/2024, Monitorul Oficial 1334 vom 30. Dezember 2024; in Kraft Januar 2025. Bestätigt und geändert durch das Gesetz 124/2025, in Kraft am 10. Juli 2025. Zuständige Behörde: Directoratul Național de Securitate Cibernetică (DNSC). Rumänien setzte über eine Notverordnung um, um den Fristdruck einzuhalten; die 30-Tage-Registrierungsfrist wurde im September 2025 ausgelöst.
• Slowakei — Zákon č. 366/2024 Z. z., Zbierka zákonov vom 19. Dezember 2024; in Kraft am 1. Januar 2025. Novelle des bestehenden Gesetzes 69/2018 über die Cybersicherheit, kein vollständiger Ersatz. Zuständige Behörde: Národný bezpečnostný úrad (NBÚ); SK-CERT betreibt die Vorfallsbearbeitung. Rund 10.000 Einrichtungen im Anwendungsbereich; JISKB-Registrierung fällig bis zum 1. März 2025; vollständige Konformität bis zum 31. Dezember 2026.
• Slowenien — Zakon o informacijski varnosti (ZInfV-1), Uradni list RS št. 40/25 vom 4. Juni 2025; in Kraft am 19. Juni 2025. Das einheitliche Gesetz setzt zugleich den Cyber Solidarity Act und den Cybersecurity Act (Verordnung 2025/38) um. Zuständige Behörde: Urad Vlade Republike Slovenije za informacijsko varnost (URSIV); SI-CERT betreibt die Vorfallsbearbeitung. Gegenstand eines im Mai 2025 eröffneten Vertragsverletzungsverfahrens der Kommission. Erste Selbstregistrierungsfrist 19. Dezember 2025.
• Schweden — Cybersäkerhetslag (SFS 2025:1506), verkündet im Dezember 2025; in Kraft am 15. Januar 2026. Hebt das frühere Informationssicherheitsgesetz (2018:1174) auf. Dezentrales, sektorgeführtes Modell: sektorspezifische Aufsichtsbehörden (etwa PTS für Telekommunikation), mit MSB (Myndigheten för samhällsskydd och beredskap) als Koordinator. Eine begleitende Cybersicherheitsverordnung benennt die Aufsichtsstellen.

Umgesetzt, Inkrafttreten ausstehend

• Österreich — Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026), BGBl. I Nr. 94/2025 vom 23. Dezember 2025; Inkrafttreten am 1. Oktober 2026 (neunmonatige vacatio legis). Zuständige Behörde: Bundesministerium für Inneres (BMI). Wichtiger Kontext: Ein früherer Gesetzentwurf „NISG 2024" wurde am 3. Juli 2024 vom Nationalrat ABGELEHNT; eine neue Koalitionsregierung musste den zweiten Anlauf einbringen — daher die lange Verzögerung.
• Portugal — Decreto-Lei n.º 125/2025, Diário da República vom 4. Dezember 2025; Inkrafttreten am 3. April 2026 (120-tägige Verzögerung). Verabschiedet das neue Regime Jurídico da Cibersegurança. Zuständige Behörde: Centro Nacional de Cibersegurança (CNCS). 12-monatige Anpassungsfrist: Einrichtungen können im ersten Jahr bei Nachweis ernsthafter Compliance-Bemühungen einen befristeten Bußgeldverzicht beantragen.

Umgesetzt (Rechtsakt veröffentlicht, ministerielles Inkraftsetzen ausstehend)

• Malta — Measures for a High Common Level of Cybersecurity across the European Union (Malta) Order, 2025 — Subsidiary Legislation 460.41 (Legal Notice 71 of 2025), veröffentlicht am 8. April 2025. Zuständige Behörde: Critical Infrastructure Protection (CIP) Department beim Ministry for Home Affairs. Materielle Vorschriften werden zu den vom Minister per Inkrafttretensmitteilung festgelegten Daten durchsetzbar.

Im Gesetzgebungsverfahren (fünf Mitgliedstaaten)

• Frankreich — Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (das „Resilienzgesetz"), das NIS2, die Richtlinie über die Resilienz kritischer Einrichtungen (CER) und DORA in einem einzigen Umsetzungsgesetz bündelt. Erste Lesung im Senat im März 2025; Sonderausschuss-Abstimmung in der Nationalversammlung am 10. September 2025. Endgültige Verabschiedung nun in der außerordentlichen Sitzung im Juli 2026 erwartet; Durchführungsdekrete der ANSSI für das zweite Quartal 2026 angekündigt. Benannte zuständige Behörde: Agence nationale de la sécurité des systèmes d'information (ANSSI). Die ANSSI hat am 17. März 2026 das Référentiel Cyber France (ReCyF) als vorbereitendes technisches Referenzdokument veröffentlicht.
• Irland — National Cyber Security Bill 2024 (General Scheme veröffentlicht am 30. August 2024). Die irische Parlamentswahl 2024 unterbrach den Zeitplan; die vorgelagerte Prüfung läuft. Gegenstand einer mit Gründen versehenen Stellungnahme der Kommission vom 7. Mai 2025. Im Entwurf benannte zuständige Behörde: National Cyber Security Centre (NCSC), mit sektoralen Regulierern einschließlich ComReg.
• Luxemburg — Projet de loi 8364, am 13. März 2024 in der Chambre des Députés eingebracht; ergänzende Stellungnahme des Staatsrates im Dezember 2025. Mit Stand Mai 2026 wird die Annahme durch die Abgeordnetenkammer erwartet. Gegenstand einer mit Gründen versehenen Stellungnahme der Kommission vom 7. Mai 2025. Im Gesetzentwurf benannte zuständige Behörde: Institut Luxembourgeois de Régulation (ILR).
• Niederlande — Cyberbeveiligingswet (Cbw), Wetsvoorstel 36764. Tweede Kamer hat am 15. April 2026 zugestimmt; Abstimmung in der Eerste Kamer ausstehend. Geplantes Inkrafttreten am 1. Juli 2026. Hinweis: Das Gesetz heißt Cyberbeveiligingswet, NICHT „Wbni2" — es ersetzt das bestehende Wbni und führt dessen Bezeichnung nicht fort. Das Begleitgesetz Wet weerbaarheid kritieke entiteiten (Wwke) setzt parallel die CER-Richtlinie um. Zuständige Behörde: Nationaal Cyber Security Centrum (NCSC) beim Ministerium für Justiz und Sicherheit, mit sektoralen Regulierern.
• Spanien — Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad. Der Ministerrat verabschiedete den Entwurf am 14. Januar 2025; mit Stand Mai 2026 steht die parlamentarische Beratung in den Cortes Generales aus. Gegenstand einer mit Gründen versehenen Stellungnahme der Kommission vom 7. Mai 2025; Vertragsverletzungsverfahren im November 2024 eröffnet. Der Entwurf richtet ein neues Centro Nacional de Ciberseguridad (CNC) beim Generalsekretariat des Präsidiums ein, während die bestehenden CCN-CERT, INCIBE-CERT und ESPDEF-CERT ihre sektoralen Rollen weiterführen.

Bußgeldobergrenzen in den Mitgliedstaaten

Nahezu jedes Umsetzungsgesetz übernimmt die Mindestobergrenzen der Richtlinie wortgleich: wesentliche Einrichtungen — 10.000.000 € oder 2 % des weltweiten Jahresumsatzes, je nachdem, was höher ist; wichtige Einrichtungen — 7.000.000 € oder 1,4 % des weltweiten Jahresumsatzes, je nachdem, was höher ist (NIS2 Artikel 34 Absätze 4 und 5). Nationale Abweichungen sind begrenzt und eher verfahrensrechtlicher als obergrenzenbezogener Natur: Ungarn ergänzt eine zusätzliche administrative Obergrenzenstruktur von 50–350 Mio. HUF, Rumänien drückt die Obergrenzen sowohl in Euro als auch in Prozentform aus. Wo Mitgliedstaaten sektorspezifische historische Höchstgrenzen aus dem Vor-NIS2-Recht (etwa im Energie- oder Telekommunikationsbereich) bestehen lassen, wirken diese typischerweise neben den NIS2-Obergrenzen, ohne sie zu verdrängen. Behandeln Sie die Mindestwerte der Richtlinie als Modellierungsbasis und verifizieren Sie länderspezifische Überlagerungen mit nationalem Rechtsrat.

Vertragsverletzungsaktivitäten der Europäischen Kommission

Am 28. November 2024 versandte die Kommission Aufforderungsschreiben an 23 Mitgliedstaaten wegen ausgebliebener vollständiger Notifikation der NIS2-Umsetzung (alle außer Belgien, Kroatien, Italien und Litauen). Am 7. Mai 2025 eskalierte die Kommission auf mit Gründen versehene Stellungnahmen gegen 19 Mitgliedstaaten: Bulgarien, Tschechien, Dänemark, Deutschland, Estland, Irland, Spanien, Frankreich, Zypern, Lettland, Luxemburg, Ungarn, die Niederlande, Österreich, Polen, Portugal, Slowenien, Finnland und Schweden. Bulgarien wurde Branchenberichten zufolge an den EuGH verwiesen. Da die Mitgliedstaaten im Verlauf von 2025 und bis 2026 weiter Umsetzungsgesetze beschlossen haben, sind mehrere dieser Stellungnahmen faktisch durch die Ereignisse überholt; andere (insbesondere die der fünf noch ausstehenden Mitgliedstaaten) bleiben aktiv.

Das grenzüberschreitende Compliance-Minenfeld

Wer in mehreren EU-Mitgliedstaaten tätig ist, sieht sich in der aktuellen Gemengelage spezifischen Fallen gegenüber.

Falle 1: Welche zuständige Behörde ist zu informieren?

Nach Artikel 23 NIS2 lösen erhebliche Vorfälle eine Frühwarnung binnen 24 Stunden, eine Vorfallsmeldung binnen 72 Stunden und einen Abschlussbericht binnen eines Monats aus. Artikel 26 enthält die Zuständigkeitsregeln: Eine Einrichtung unterliegt grundsätzlich der Zuständigkeit des Mitgliedstaats, in dem sie niedergelassen ist; bei Tätigkeiten in mehreren Mitgliedstaaten ist die „Hauptniederlassung" jener Mitgliedstaat, in dem die Entscheidungen zum Cybersicherheits-Risikomanagement überwiegend getroffen werden. Lässt sich dieser Ort nicht feststellen oder liegt er außerhalb der Union, fällt die Zuständigkeit an den Mitgliedstaat, in dem die Cybersicherheitsoperationen durchgeführt werden, hilfsweise an den Mitgliedstaat mit der höchsten Beschäftigtenzahl. Nicht-EU-Einrichtungen, die in den Anwendungsbereich fallende Dienste erbringen, müssen nach Artikel 26 Absatz 3 einen Vertreter benennen.

Praktische Folge: Sind Sie ein in Deutschland ansässiger SaaS-Anbieter mit Aktivitäten in Frankreich, Italien und Spanien, löst ein paneuropäischer Cloud-Ausfall eine Meldung an das BSI als primäre zuständige Behörde aus. Ob Zweitmeldungen an ANSSI, ACN, INCIBE oder einen sektoralen Regulierer erforderlich sind, hängt von der Entitätsstruktur, den von den jeweiligen nationalen Gesetzen vorgesehenen Kontaktstellenregelungen und etwaigen sektoralen Überlagerungen ab. Der sicherste Weg: Erstellen Sie eine Meldepflicht-Matrix je Land, bevor ein Vorfall eintritt.

Falle 2: Unterschiedliche Anwendungsbereichsschwellen

NIS2 setzt Mindestkriterien für den Anwendungsbereich (mittlere und große Einrichtungen in den gelisteten Sektoren). Artikel 2 Absatz 2 erlaubt den Mitgliedstaaten ausdrücklich eine Erweiterung des Anwendungsbereichs — und einige haben davon Gebrauch gemacht. Italien hat im D.Lgs. 138/2024 mehr Sektoren als das Richtlinienminimum aufgenommen. Das deutsche NIS2UmsuCG erfasst rund 29.500 Einrichtungen in 18 Sektoren. Ungarn nutzt eine zusätzliche Ebene aus „Sicherheitsklassen" (Basis, signifikant, hoch) oberhalb der Unterscheidung zwischen wesentlich und wichtig. Die estnische Anwendungserweiterung verdoppelt nahezu die Zahl der regulierten Einrichtungen gegenüber NIS1.

Eine Organisation kann im Heimatland aus dem Anwendungsbereich fallen und in einem Nachbarstaat dennoch erfasst sein. Die Annahme „wir sind zu klein für NIS2" auf Basis des Richtlinientextes allein ist eine Falle. Prüfen Sie das nationale Recht jeweils gesondert.

Falle 3: Bußgeldobergrenzen sind weitgehend einheitlich — die Verfahrensdetails unterscheiden sich

Wie oben dargestellt, hat fast jeder Mitgliedstaat die Mindestwerte der Richtlinie wortgleich übernommen. Die substanzielle Variation ist verfahrensrechtlich, nicht absolut: Unterschiede bestehen darin, wie Bußgelder am Umsatz gemessen werden, welche Faktoren die Behörden bei der Bemessung gewichten, ob Tagessatzzahlungen die Nichteinhaltung verbindlicher Anordnungen kumulieren können und wie verwaltungsrechtliche Bußgeldverfahren mit strafrechtlicher Verantwortlichkeit zusammenwirken. Bei der Modellierung Ihrer Compliance-Investitionen sollten Sie die Richtlinienobergrenzen als Untergrenze ansetzen und länderspezifische verschärfende Mechanismen mit nationalem Rechtsrat verifizieren.

Falle 4: Organhaftung ist nicht überall gleich

Artikel 20 Absatz 1 NIS2 verlangt, dass die Leitungsorgane wesentlicher und wichtiger Einrichtungen die Cybersicherheits-Risikomanagementmaßnahmen genehmigen, deren Umsetzung überwachen und für Verstöße haftbar gemacht werden können. Die Mitgliedstaaten setzen dies unterschiedlich um. Italiens D.Lgs. 138/2024 sieht ausdrücklich vor, dass die ACN als verwaltungsrechtliche Nebensanktion eine vorübergehende „Unfähigkeit zur Wahrnehmung von Leitungsfunktionen" gegen Mitglieder der Leitungsorgane wesentlicher Einrichtungen, die wiederholt verstoßen haben, verhängen kann. Das deutsche NIS2UmsuCG sieht die persönliche Haftung von Geschäftsführer und Vorstand vor, einschließlich potenzieller persönlicher Bußgelder und vorübergehender Verbote der Wahrnehmung von Leitungsfunktionen. Das niederländische Cyberbeveiligingswet (in der von der Tweede Kamer im April 2026 angenommenen Fassung) eskaliert von Abhilfeanordnungen über Bußgelder bis zur Disqualifizierung verantwortlicher Geschäftsleiter bei schwerwiegender Nichtkonformität.

Die persönliche Exposition Ihres Vorstands oder CISO hängt damit teils davon ab, wo Ihr Sitz registriert ist, und teils davon, welche Schwere die nationale Behörde ansetzt. Klären Sie das früh; entdecken Sie es nicht erst im Vollzugsverfahren.

Falle 5: Meldekanäle und Sprachen

Jede nationale Behörde betreibt ein eigenes Vorfallsmeldeportal: das Melde- und Informationsportal des BSI in Deutschland, die Plattform MonEspaceNIS2 der ANSSI in Frankreich (sobald das Gesetz in Kraft ist), die ACN-Plattform in Italien, das INCIBE-CERT-System in Spanien, NCSC.nl und english.ncsc.nl in den Niederlanden. Die meisten Portale arbeiten primär in der Landessprache des Mitgliedstaats; das niederländische NCSC stellt ausdrücklich ein vollständig zweisprachiges niederländisch-englisches Portal bereit. Für andere Mitgliedstaaten ist von einer Einreichung in Landessprache auszugehen, sofern die Leitfäden der Behörde nichts anderes vorsehen. Ein paneuropäischer Vorfall erfordert daher typischerweise mehrsprachige Meldungen innerhalb desselben 24-Stunden-Fensters. Vorübersetzte Meldevorlagen und länderspezifische Playbooks in Landessprache sparen im Ernstfall kritische Stunden.

Ein praxistauglicher Rahmen für den Betrieb im Flickenteppich

Was sollte ein grenzüberschreitend tätiges Unternehmen angesichts dieser Komplexität tatsächlich tun? Hier ist ein siebenstufiger Rahmen, der unabhängig von Heimatland oder Sektor funktioniert.

Schritt 1: EU-Entitäts- und Betriebsfußabdruck kartieren

Beginnen Sie mit einer Inventur: Wo sind Sie eingetragen, wo haben Sie Beschäftigte, wo sitzen Ihre Kunden, wo Ihre Subunternehmer? Für jedes Land mit wesentlicher Präsenz müssen Sie klären, ob NIS2 gilt und welches nationale Regime greift. Das ist keine rein juristische Übung — es erfordert Input von CFO, CISO und der operativen Führungsebene. Viele Organisationen sind überrascht, dass eine luxemburgische Holdingstruktur luxemburgische NIS2-Pflichten auslöst, auch wenn das operative Geschäft anderswo angesiedelt ist.

Schritt 2: Hauptniederlassung nach Artikel 26 bestimmen

Nach Artikel 26 NIS2 ist die „Hauptniederlassung" für die meisten Einrichtungen jener EU-Mitgliedstaat, in dem die Entscheidungen zum Cybersicherheits-Risikomanagement überwiegend getroffen werden. Das ist häufig der Sitz der Hauptverwaltung, kann aber abweichen — etwa wenn Ihr SOC oder Ihre CISO-Funktion in einem anderen Land verankert ist. Halten Sie diese Bestimmung schriftlich fest und lassen Sie sie rechtlich abzeichnen. Sie bestimmt Ihre primäre Behördenbeziehung und vereinfacht die Vorfallsmeldung erheblich.

Schritt 3: Compliance-Matrix je Land aufbauen

Für jedes Land, in dem Sie tätig sind, sollten Sie eine strukturierte Compliance-Matrix erstellen, die Folgendes erfasst:

• Rechtsstatus (umgesetzt und in Kraft / umgesetzt mit ausstehendem Inkrafttreten / im Gesetzgebungsverfahren)
• Name der zuständigen Behörde und Kommunikationskanäle
• Meldefristen (24-Stunden-Frühwarnung, 72-Stunden-Meldung, einmonatiger Abschlussbericht)
• Lokale Anwendungserweiterungen über das Richtlinienminimum hinaus
• Geltende Bußgeldobergrenzen und etwaige verfahrensrechtliche Überlagerungen
• Mechanismen der Organhaftung (Unternehmensbußgelder, persönliche Bußgelder, Verbote der Wahrnehmung von Leitungsfunktionen)
• Sektorspezifische Leitfäden, die von der nationalen Behörde veröffentlicht wurden

Diese Matrix ist Ihre operative Kommandozentrale. Tritt ein Vorfall ein, ruft Ihr Incident-Response-Team diese Matrix ab und weiß genau, wer zu informieren ist, wann und auf welchem Weg.

Schritt 4: Cybersicherheits-Risikomanagement auf Richtlinienniveau aufbauen

Artikel 21 NIS2 fordert „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen" in zehn spezifischen Bereichen: Risikoanalyse-Konzepte, Vorfallsbehandlung, Geschäftskontinuität, Lieferkettensicherheit, Sicherheit bei Beschaffung, Entwicklung und Wartung von Netz- und Informationssystemen, Wirksamkeitsmessung, Schulung, Kryptografie, Zugangskontrolle und Multi-Faktor-Authentifizierung. Ihr Basisprogramm auf den Richtlinientext zuzuschneiden — und nicht auf eine einzelne nationale Umsetzung — ist der sicherste Weg. Nationale Gesetze legen zusätzliche Spezifika oben drauf, aber der Richtliniensockel ist einheitlich.

Schritt 5: Meldefähigkeit im Ernstfall belastbar testen

Die 24-Stunden-Frühwarnpflicht ist der schärfste operative Test Ihrer NIS2-Reife. Die meisten Organisationen unterschätzen, wie schnell die Uhr läuft: Sie startet mit der Kenntnisnahme eines erheblichen Vorfalls, nicht mit der vollen Mobilisierung Ihres Incident-Response-Teams. Sie brauchen vorbereitete Dokumentation, vorautorisierte Entscheidungspfade und ein Meldetemplate je Mitgliedstaat, in dem Sie tätig sind.

Führen Sie eine Tabletop-Übung durch. Simulieren Sie einen erheblichen Vorfall in Ihrem komplexesten länderübergreifenden Szenario und messen Sie die Zeit bis zur ersten Meldung. Wenn Sie 20 Stunden überschreiten, haben Sie ein Problem.

Schritt 6: Lieferkettensicherheit verankern

Eine der anspruchsvollsten Neuerungen von NIS2 gegenüber NIS1 ist die formale Ausweitung auf Lieferanten. Artikel 21 Absatz 2 Buchstabe d verlangt „Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern". Das bedeutet: Kartierung Ihrer kritischen Lieferanten, Aufnahme von Sicherheitsklauseln in Verträge, regelmäßige Überprüfungen oder die Akzeptanz von Alternativen wie Drittzertifizierungen sowie Eskalationsverfahren bei Vorfällen eines Lieferanten. Die Mitgliedstaaten und die EU-weite Cybersicherheitspolitik steuern Organisationen zunehmend auf EU-Cybersicherheitszertifizierungssysteme zu — weg von offenen Lieferantenfragebögen. Konzipieren Sie Ihr Lieferantenprogramm so, dass es diese Marschrichtung aufnimmt.

Schritt 7: Vertragsverletzungsverfahren und entstehende Rechtsprechung verfolgen

Die Vertragsverletzungsverfahren der Europäischen Kommission gegen säumige Mitgliedstaaten sind keine Marginalie — sie kündigen an, wo die Umsetzung in Kürze landet und wo die Durchsetzung nach erfolgter Umsetzung voraussichtlich verschärft wird. Staaten unter Kommissionsdruck setzen tendenziell mit verkürzten Karenzzeiten um, um guten Willen zu signalisieren. Wer diese Verfahren über die Pressemitteilungen der Kommission verfolgt (und den täglichen Amtsblatt-Feed von EUR-Lex für neu veröffentlichte Umsetzungsakte), kann frühzeitig erkennen, wo die Compliance-Erwartungen anziehen werden. Beobachten Sie zudem den Gerichtshof der Europäischen Union (EuGH) auf Vorabentscheidungen zur Auslegung von NIS2-Vorschriften; die ersten solcher Entscheidungen werden, sobald sie ergehen, prägen, wie nationale Gerichte den Vollzug auslegen.

Häufige Fragen

Mein Land hat NIS2 noch nicht umgesetzt. Habe ich Zeit, die Compliance hinauszuzögern?

Nein. Drei Gründe. Erstens: Die fünf verbliebenen Mitgliedstaaten stehen unter Kommissionsdruck (mit Gründen versehene Stellungnahmen vom 7. Mai 2025), und mehrere werden voraussichtlich mit kurzen Übergangsfristen umsetzen. Zweitens: Wenn Sie in einem Land tätig sind, das bereits umgesetzt hat, binden Sie diese Pflichten dort ab sofort. Drittens: NIS2 beschreibt ein Mindestmaß an Cybersicherheitshygiene, das der Markt — Kunden, Prüfer, Versicherer — bereits als erwartete Praxis behandelt. Das Hinausschieben bis zum offiziellen Stichtag des Heimatlandes ist eine falsche Ersparnis.

Wir sind ein kleines Unternehmen mit weniger als 50 Mitarbeitenden. Sind wir außerhalb des Anwendungsbereichs?

Wahrscheinlich, aber überprüfen Sie es. Die Richtlinie nutzt die KMU-Definition der EU: mittlere Einrichtungen haben ab 50 Beschäftigte oder mehr als 10 Mio. € Umsatz. Nationale Gesetze können den Anwendungsbereich nach Artikel 2 Absatz 2 für bestimmte Sektoren jedoch erweitern, und einige beziehen kleinere Einrichtungen für kritische Dienste ausdrücklich ein (Energie-Microgrids, bestimmte Cloud- und Managed-Service-Anbieter, ausgewählte digitale Infrastrukturen). Prüfen Sie die Umsetzung Ihres Heimatlandes und jedes Landes, in dem Sie wesentlich tätig sind.

Was ist die wichtigste Maßnahme für dieses Quartal?

Bestimmen Sie Ihre Hauptniederlassung nach Artikel 26 und dokumentieren Sie die Begründung. Damit schalten Sie den Rest Ihres Compliance-Programms frei: Sie wissen, welche nationale Behörde Ihr primärer Ansprechpartner ist, welches nationale Gesetz Ihr Leittext ist und wo Ihre Vorstandshaftung sitzt. Organisationen, die diesen Schritt überspringen, landen bei parallelen, doppelten Compliance-Programmen über mehrere Jurisdiktionen und verfehlen dennoch ihre primären Meldepflichten. Sauber erledigt, kostet das zwei Wochen Aufwand — und es spart Quartale an Schmerz.

Brauchen wir einen eigenen NIS2-Beauftragten (analog zum DSB für die DSGVO)?

Nein, NIS2 verlangt keinen Datenschutzbeauftragten. Gefordert sind die Verantwortung des Leitungsorgans nach Artikel 20 sowie die Schulung aller Beschäftigten in Cybersicherheit. Reife Organisationen besetzen diese operative Rolle in der Regel mit einem CISO oder einer Leitung Informationssicherheit. Entscheidend ist: Verantwortung wird förmlich zugewiesen, dokumentiert und mit Ressourcen ausgestattet — nicht der konkrete Titel.

Welche ersten NIS2-Bußgelder haben wir beobachtet?

Mit Stand Mai 2026 wurden keine wesentlichen NIS2-Bußgelder gegen namentlich genannte Einrichtungen öffentlich bekannt gemacht. Die bisherige Vollzugsaktivität bewegt sich auf der Stufe aufsichtsrechtlicher Anordnungen. Das deutsche BSI hat im vierten Quartal 2025 begonnen, förmliche Anordnungen gegen Einrichtungen zu erlassen, die sich nicht registriert oder keine Kontaktstelle benannt hatten — mit Schwerpunkt auf den Sektoren Energie und digitale Infrastruktur. Die italienische ACN hat eine erhebliche Zahl von Einrichtungen identifiziert, die die jährliche Registrierung bis zur Frist am 28. Februar 2026 versäumt haben (rund 2.000 nicht registrierte Einrichtungen), und leitet gegen diese Vollzugsmaßnahmen ein. Die Kommission hat gegen 19 Mitgliedstaaten mit Gründen versehene Stellungnahmen wegen unvollständiger Umsetzung erlassen, was eine eigenständige (staatengerichtete) Form des Vollzugs darstellt. Die ersten materiellen monetären Bußgelder werden im Verlauf von 2026 erwartet, und das früh erkennbare Muster über diese aufsichtsrechtlichen Anordnungen hinweg ist konsistent: Die Behörden sanktionieren noch nicht unvollkommene Cybersicherheit, sehr wohl aber fehlende Dokumentation und versäumte Registrierungsfristen.

Wie bleiben wir aktuell, wenn sich die Lage so schnell bewegt?

Drei vorrangige Quellen: Pressemitteilungen der Europäischen Kommission (für Vertragsverletzungsverfahren und Durchführungsrechtsakte), Veröffentlichungen der ENISA (sektorale technische Leitfäden) und Jahresberichte Ihrer nationalen Behörde (BSI, ANSSI, ACN, NCSC und Pendants). Verzichten Sie auf Zusammenfassungen von Beratungsgesellschaften — sie veralten schnell, die Dinge bewegen sich zu rasch. Abonnieren Sie offizielle RSS-Feeds direkt. Für Rechtsaktualisierungen ist der tägliche Amtsblatt-Feed von EUR-Lex die maßgebliche Quelle für neu veröffentlichte nationale Umsetzungsgesetze — Sie sehen sie am Tag ihres Erscheinens, nicht erst Wochen später in Beraterkommentaren.

Wie greift NIS2 mit der DSGVO ineinander, wenn ein Vorfall personenbezogene Daten betrifft?

Sie müssen nach beiden Regimen melden — an unterschiedliche Behörden, mit unterschiedlichen Fristen. Artikel 33 DSGVO verlangt die Meldung an Ihre Datenschutzaufsicht binnen 72 Stunden. Artikel 23 NIS2 verlangt die Frühwarnung an die zuständige Cybersicherheitsbehörde binnen 24 Stunden. Das sind getrennte Pflichten mit getrennten Behörden und getrennten Bußgeldregimen. Bauen Sie Ihr Incident-Runbook so, dass beide Workflows parallel anlaufen, sobald Sie Kenntnis erlangen.

Unterm Strich

NIS2 sollte das EU-Cybersicherheitsrecht harmonisieren. 2026 hat es das Grundniveau harmonisiert (Artikel-21-Maßnahmen, Artikel-23-Meldefristen, Artikel-34-Obergrenzen) und das Verfahrensdetail fragmentiert. Für grenzüberschreitend tätige Unternehmen heißt das: Ihr Compliance-Programm muss richtlinienorientiert, aber lokal angepasst sein — auf den NIS2-Text aufgebaut und je Mitgliedstaat konfiguriert, in dem Sie tätig sind. Die Organisationen, die das am besten meistern, haben früh in eine Länder-für-Land-Matrix investiert, ihre Hauptniederlassung förmlich bestimmt und Incident-Response-Fähigkeiten aufgebaut, die die 24-Stunden-Meldung über mehrere Jurisdiktionen hinweg gleichzeitig schaffen.

Der Flickenteppich wird konvergieren, sobald die fünf verbliebenen Mitgliedstaaten ihre Umsetzungsakte verabschieden und die Kommission Durchführungsmaßnahmen erlässt. Bis dahin wird es Sie teuer zu stehen kommen, NIS2 als einheitliche, uniforme Pflicht zu behandeln — in Bußgeldern, in operativer Disruption und in Vorstandsexposition. Es als Geflecht ineinandergreifender nationaler Regime auf gemeinsamem Richtlinienfundament zu behandeln, ist anspruchsvoller, aber der einzige Weg, tatsächlich konform zu sein.

Das Viktoria-Compliance-Assessment deckt dieses Geflecht Land für Land ab. Unser adaptiver Fragebogen bildet Ihre Entitätsstruktur gegen den verifizierten Umsetzungsstand jedes Mitgliedstaats ab, in dem Sie tätig sind, und markiert die konkreten Pflichten, die Sie heute binden — nicht den abstrakten Richtlinientext. Wenn Sie Ihren Fußabdruck noch nicht eingespeist haben, ist jetzt der richtige Zeitpunkt — die Durchsetzung kommt nicht, sie ist da.

Quellen

Sämtliche Daten zur Umsetzung in den Mitgliedstaaten wurden im Mai 2026 gegen die nationalen amtlichen Gesetzblätter, die Veröffentlichungen der benannten zuständigen Behörden und den NIS2-Umsetzungstracker der Europäischen Kommission verifiziert. Die NIS2-Richtlinienbestimmungen sind aus EUR-Lex, Richtlinie (EU) 2022/2555, zitiert.

• NIS2-Richtlinie (EU) 2022/2555 — https://eur-lex.europa.eu/eli/dir/2022/2555/oj/eng
• NIS-Umsetzungstracker der Europäischen Kommission — https://digital-strategy.ec.europa.eu/en/policies/nis-transposition
• Österreich — BGBl. I Nr. 94/2025 (NISG 2026): https://ris.bka.gv.at/eli/bgbl/I/2025/94/20251223
• Belgien — CCB NIS2: https://ccb.belgium.be/regulation/nis2
• Bulgarien — Analyse zur Novelle des Cybersicherheitsgesetzes: https://cms.law/en/bgr/legal-updates/bulgaria-adopts-nis2-aligned-cybersecurity-law
• Kroatien — Narodne novine 14/2024: https://narodne-novine.nn.hr/clanci/sluzbeni/2024_02_14_254.html
• Zypern — Digital Security Authority: https://www.dsa.cy
• Tschechien — NÚKIB: https://www.nukib.gov.cz
• Dänemark — Lov nr. 434/2025: https://www.retsinformation.dk/eli/lta/2025/434
• Estland — RIA NIS2-Portal: https://nis2.ee/
• Finnland — Mitteilung von Traficom zum Cybersicherheitsgesetz: https://traficom.fi/en/news/cybersecurity-act-passed-parliament-obligations-under-nis-2-directive-enter-force-8-april-2025
• Frankreich — ANSSI Directive NIS 2: https://cyber.gouv.fr/reglementation/cybersecurite-systemes-dinformation/directives-nis-nis2-et-dispositif-saiv/directive-nis-2/
• Deutschland — BGBl. 2025 I Nr. 301: https://www.recht.bund.de/bgbl/1/2025/301/VO.html
• Griechenland — Nationale Cybersicherheitsbehörde: https://www.ncsa.gov.gr
• Ungarn — SZTFH: https://sztfh.hu
• Irland — National Cyber Security Bill 2024 General Scheme: https://www.gov.ie/en/department-of-justice-home-affairs-and-migration/publications/general-scheme-of-the-national-cyber-security-bill-2024/
• Italien — ACN Normativa: https://www.acn.gov.it/portale/en/nis/la-normativa
• Lettland — Nationales Cybersicherheitszentrum: https://www.cyber.gov.lv/lv/nis2
• Litauen — Cybersicherheitsgesetz: https://kam.lt/kibernetinio-saugumo-istatymas/
• Luxemburg — Chambre des Députés Bill 8364: https://www.chd.lu/en/directive-NIS2-cybersecurite
• Malta — Analyse zum Legal Notice 71 of 2025: https://gvzh.mt/insights/nis2-malta-cybersecurity-legal-notice-71-2025/
• Niederlande — Eerste Kamer Cyberbeveiligingswet 36764: https://www.eerstekamer.nl/wetsvoorstel/36764_cyberbeveiligingswet
• Polen — Sejm-Novelle zur Cybersicherheit: https://www.gov.pl/web/cyfryzacja/sejm-uchwalil-nowelizacje-ustawy-o-krajowym-systemie-cyberbezpieczenstwa
• Portugal — Decreto-Lei 125/2025: https://diariodarepublica.pt/dr/detalhe/decreto-lei/125-2025-962603401
• Rumänien — DNSC: https://www.dnsc.ro
• Slowakei — NBÚ: https://www.nbu.gov.sk
• Slowenien — Uradni list ZInfV-1: https://www.uradni-list.si/glasilo-uradni-list-rs/vsebina/2025-01-1571
• Spanien — CCN NIS2: https://www.ccn.cni.es/es/normativa/directiva-nis2
• Schweden — SFS 2025:1506 Cybersäkerhetslag: https://www.riksdagen.se/sv/dokument-och-lagar/dokument/svensk-forfattningssamling/cybersakerhetslag-20251506_sfs-2025-1506/
• NCSC Niederlande Vorfallsmeldung: https://www.ncsc.nl/cyberincidenten-melden-bij-het-ncsc
• BSI Deutschland Vorfallsmeldung: https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Anleitung-Meldung/Anleitung-Meldung_node.html
• ANSSI Frankreich Notifications réglementaires: https://cyber.gouv.fr/notifications-reglementaires
• INCIBE Spanien NIS2-FAQ: https://www.incibe.es/incibe-cert/sectores-estrategicos/FAQNIS2