NIS2-Umsetzung 2026: Der Stand in jedem EU-Mitgliedstaat — und was das für grenzüberschreitend tätige Unternehmen bedeutet

Auf einen Blick

Die NIS2-Richtlinie verpflichtete alle EU-Mitgliedstaaten, bis zum 17. Oktober 2024 eine nationale Umsetzung vorzulegen. Diese Frist ist verstrichen — und die Mehrheit der Staaten hat sie gerissen. Im April 2026 bleibt die Umsetzungslage fragmentiert: Einige Länder (Belgien, Ungarn, Litauen) waren frühzeitig und haben bereits aktive Durchsetzungsregime. Andere (Deutschland, Frankreich, die Niederlande) schlossen die Umsetzung erst Ende 2025 ab. Ein kleiner Rest steckt noch im Gesetzgebungsprozess. Für grenzüberschreitend tätige Unternehmen bedeutet das: unterschiedliche Inkrafttretenstermine, unterschiedliche zuständige Behörden, unterschiedliche Meldefristen und unterschiedliche Bußgeldrahmen — und das alles bei derselben Grundrichtlinie. Dieser Artikel bildet den Stand in allen 27 Mitgliedstaaten ab, identifiziert die Compliance-Fallen und liefert einen praxistauglichen Rahmen, um in diesem Flickenteppich handlungsfähig zu bleiben.

Warum die Umsetzungslücke kein juristisches Randthema, sondern ein Geschäftsproblem ist

NIS2 ist eine Richtlinie, keine Verordnung. Anders als die DSGVO, die in jedem Mitgliedstaat ab einem einheitlichen Stichtag unmittelbar gilt, müssen Richtlinien erst in nationales Recht umgesetzt werden, bevor sie Wirkung entfalten. Jeder Staat entscheidet eigenständig: welche Behörde zuständig ist, wie hoch die Bußgeldobergrenzen sind, wie Vorfälle gemeldet werden, welche Fristen gelten und welche Einrichtungen über die Mindestanforderungen der Richtlinie hinaus als „wesentlich" oder „wichtig" eingestuft werden.

Dieser Zuschnitt ergibt in der Theorie Sinn — die Mitgliedstaaten kennen ihre Verwaltungsstrukturen am besten. In der Praxis entsteht dadurch operative Komplexität für jedes Unternehmen, das in mehr als einem Land aktiv ist. Ein IT-Dienstleister mit Kunden in Deutschland, Frankreich und Polen muss drei überlappende, aber nicht deckungsgleiche NIS2-Regime einhalten. Ein SaaS-Anbieter mit EU-weiten Nutzern muss wissen, welcher nationalen Behörde ein Sicherheitsvorfall zu melden ist — und die Antwort hängt davon ab, wo die betroffenen Nutzer sitzen, wo der Dienst niedergelassen ist, und teilweise sogar davon, woher der Angriff kam.

Die Oktober-2024-Frist sollte dieses Durcheinander verhindern. Das ist nicht gelungen. Bis heute sind mindestens vier Mitgliedstaaten noch mit Gesetzesentwürfen befasst. Andere haben nur Teilumsetzungen — einzelne Kapitel in Kraft, weitere in Diskussion. Da die Europäische Kommission bereits Vertragsverletzungsverfahren gegen säumige Staaten eröffnet hat, können Unternehmen aus der Verzögerung nicht auf Milde schließen: Sobald das nationale Gesetz beschlossen ist, wirken viele Regime rückwirkend oder setzen Übergangsfristen außerordentlich knapp.

Praktische Konsequenz: NIS2 zu kennen reicht nicht. Sie müssen IHRE nationale NIS2-Fassung kennen — und zwar für jedes Land, in dem Sie tätig sind.

Umsetzungsstand nach Land (April 2026)

Die folgende Übersicht fasst zusammen, wo jeder Mitgliedstaat steht. Die Angaben beruhen auf öffentlich zugänglichen Quellen: nationale Gesetzblätter, Mitteilungen der Innenministerien, Veröffentlichungen der Europäischen Kommission zu Vertragsverletzungsverfahren. Der Stand verändert sich laufend — überprüfen Sie vor jeder Compliance-Entscheidung den aktuellen Stand in Ihrem Land.

Umgesetzt und in Kraft

Diese Mitgliedstaaten haben die Umsetzung abgeschlossen und setzen NIS2-Pflichten aktiv durch:

• Belgien — Umsetzung im April 2024, deutlich vor der Frist. Das Centre for Cybersecurity Belgium (CCB) ist zuständig. Meldeportal seit Mai 2024 produktiv.
• Kroatien — Umsetzung im Juni 2024. Das Innenministerium ist für die meisten Sektoren zuständig.
• Ungarn — Umsetzung im Mai 2024. Die Regulierungsbehörde SZTFH übt die Aufsicht aus.
• Italien — Umsetzung im Oktober 2024 (fristgerecht). Die Agenzia per la Cybersicurezza Nazionale (ACN) führt die Durchsetzung. Bemerkenswert sind die ungewöhnlich detaillierten sektorspezifischen Leitfäden.
• Litauen — Umsetzung im Juli 2024. Das nationale Cybersicherheitszentrum (NKSC) hat bereits Compliance-Leitlinien veröffentlicht.
• Lettland — Umsetzung im September 2024. CERT.LV betreibt das Meldesystem.
• Slowakei — Umsetzung im August 2024. Die nationale Sicherheitsbehörde NBÚ ist benannt. Aufsichtsprüfungen laufen seit dem ersten Quartal 2025.
• Estland — Umsetzung im Oktober 2024. Die Behörde RIA führt die Aufsicht. Estland gilt nach wie vor als Vorreiter in der operativen Vorfallsbearbeitung.

Umgesetzt, aber spät (Ende 2024 oder 2025)

Diese Länder haben die Oktober-Frist verpasst, inzwischen aber abgeschlossen. Die Durchsetzung gewinnt an Fahrt:

• Deutschland — Das NIS2-Umsetzungs- und -Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wurde nach langer politischer Debatte im Juli 2025 verabschiedet. Führende Behörde ist das BSI. Bußgeldrahmen: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes, je nachdem, was höher ist.
• Frankreich — LCEN-Anpassungen sowie eine eigenständige NIS2-Verordnung wurden im Mai 2025 finalisiert. ANSSI bleibt federführend. Bußgeldrahmen bis 10 Mio. € oder 2 % des Umsatzes.
• Niederlande — Das Wet beveiliging netwerk- en informatiesystemen 2 (Wbni2) ist seit September 2025 in Kraft. Das NCSC beaufsichtigt die meisten Sektoren.
• Österreich — NISG 2024 im Dezember 2024 beschlossen. Das Bundesministerium für Inneres führt die Aufsicht.
• Polen — Das Krajowy System Cyberbezpieczeństwa-Gesetz wurde im Oktober 2025 aktualisiert. Operativ tätig ist CERT Polska innerhalb der NASK.
• Schweden — Das Cybersäkerhetslagen ist seit April 2025 in Kraft. Die MSB übt die Aufsicht aus.
• Finnland — Das Kyberturvallisuuslaki gilt seit August 2025. Traficom ist zuständig.
• Dänemark — Die NIS2-bekendtgørelse ist seit Juli 2025 in Kraft. Das Centre for Cyber Security führt die Aufsicht.
• Portugal — Decreto-Lei 65/2025 wurde im März 2025 verabschiedet. Das CNCS ist operativ tätig.
• Spanien — Real Decreto-ley 7/2025 wurde im Februar 2025 final verabschiedet. INCIBE und CCN sind tätig.

Umsetzung im Verfahren

Diese Länder haben Gesetzesentwürfe veröffentlicht, die vollständige Inkraftsetzung steht aber noch aus:

• Irland — National Cyber Security Bill 2024 im Ausschuss. Inkrafttreten erwartet für Q3 2026. NCSC Ireland wird voraussichtlich zuständig.
• Tschechien — Novelle des Cybersicherheitsgesetzes im Parlament. NÚKIB bleibt federführend, der Anwendungsbereich wird erweitert.
• Bulgarien — Entwurf im September 2025 vorgelegt, weiterhin im parlamentarischen Verfahren.
• Malta — Entwurf der MCA veröffentlicht, jedoch noch nicht im Gesetzgebungsverfahren.

Gesetzgebungsverzögerungen

Gegen diese Mitgliedstaaten hat die Kommission Anfang 2025 Vertragsverletzungsverfahren eingeleitet:

• Slowenien — Entwurf in verlängerter Prüfung. Teilpflichten für kritische Sektoren gelten bereits über bestehendes Cybersicherheitsrecht, die vollständige NIS2-Umsetzung wird für Q3 2026 erwartet.
• Griechenland — Umsetzung durch Streit um die Zuständigkeitszuweisung blockiert. Erwartet H2 2026.
• Luxemburg — Entwurf in Konsultation, Umsetzung erwartet Ende 2026.

Rückwirkende Umsetzung

Diese Staaten haben NIS2 umgesetzt, wenden die Pflichten aber rückwirkend ab dem 17. Oktober 2024 an. Unternehmen, die die Verzögerung als Amnestie missverstanden, sehen sich mit rückdatierten Compliance-Erwartungen konfrontiert:

• Deutschland (teilweise Rückwirkung bei Meldepflichten)
• Frankreich (technische Maßnahmen rückwirkend auf das Fristdatum)
• Niederlande (rückwirkendes Inkrafttreten für wesentliche Einrichtungen)

Das grenzüberschreitende Compliance-Minenfeld

Wer in mehreren EU-Staaten tätig ist, begegnet in dieser Gemengelage konkreten Fallen. Die wichtigsten sind:

Falle 1: Welche Behörde ist zu benachrichtigen?

Nach Artikel 23 NIS2 müssen erhebliche Vorfälle binnen 24 Stunden (Frühwarnung), 72 Stunden (Meldung) und einem Monat (Abschlussbericht) gemeldet werden. Doch welche Frist greift, wenn ein Vorfall Nutzer in drei Ländern betrifft? Entscheidend ist die Niederlassung nach Artikel 26. Die „Hauptniederlassung" — in der Regel Ihr EU-Hauptsitz — ist der primäre Ansprechpartner. Zweitniederlassungen können parallele Meldepflichten auslösen, insbesondere wenn ein Mitgliedstaat ausdrücklich eine „Kontaktstelle" vorsieht.

Praktisch: Ein in Deutschland ansässiger SaaS-Anbieter mit Aktivitäten in Frankreich, Italien und Spanien muss bei einem EU-weiten Cloud-Ausfall primär das BSI informieren — abhängig von der konkreten Entität und den nationalen Kontaktstellenregeln aber möglicherweise auch ANSSI, ACN und INCIBE. Die sichere Vorgehensweise: Erstellen Sie eine Meldematrix für alle Länder bevor ein Vorfall eintritt.

Falle 2: Unterschiedliche Anwendungsbereichsschwellen

NIS2 definiert Mindestkriterien (mittlere und große Einrichtungen in gelisteten Sektoren). Artikel 2(2) erlaubt den Staaten jedoch, den Anwendungsbereich zu erweitern — und einige haben dies getan. Belgien hat bestimmte kleinere Einrichtungen als „wichtig" eingestuft, weil sie eine kritische Rolle erfüllen. Das deutsche NIS2UmsuCG erweitert den Anwendungsbereich bei kommunalen Versorgern über das Richtlinienniveau hinaus.

Ihr Unternehmen kann in Ihrem Heimatland aus dem Anwendungsbereich fallen und in einem Nachbarland trotzdem verpflichtet sein. Die Annahme „wir sind zu klein für NIS2" auf Basis des Richtlinientextes allein ist eine Falle. Prüfen Sie jedes nationale Recht separat.

Falle 3: Unterschiedliche Bußgeldrahmen

NIS2 setzt Mindestobergrenzen für Bußgelder (10 Mio. € oder 2 % des weltweiten Umsatzes für wesentliche Einrichtungen; 7 Mio. € oder 1,4 % für wichtige Einrichtungen). Nationale Umsetzungen können höhere Grenzen festlegen. Italiens Umsetzung behielt höhere sektorale Maximalgrenzen aus dem Vor-NIS2-Energie- und Verkehrsrecht. Die französische Umsetzung ergänzte Tagessätze bei Missachtung verbindlicher Weisungen.

Bei der Modellierung Ihrer Compliance-Investitionen sollten Sie den höchsten im Anwendungsbereich liegenden nationalen Bußgeldrahmen zugrunde legen, nicht den Richtlinienwert.

Falle 4: Organhaftung ist nicht überall gleich

Artikel 20(1) NIS2 führt die Verantwortlichkeit des Leitungsorgans für das Cybersicherheits-Risikomanagement ein. Die Mitgliedstaaten setzen dies unterschiedlich um. Einige (Italien, Deutschland) sehen ausdrücklich direkte Bußgelder gegen einzelne Vorstandsmitglieder vor. Andere behandeln es als Unternehmensverpflichtung mit persönlicher Haftung nur bei spezifischen Pflichtverletzungen. Die Niederlande erlauben bei schwerwiegender Nichtkonformität die Disqualifizierung von Geschäftsführern von Leitungsfunktionen.

Die persönliche Haftung Ihres Vorstands oder CISO hängt vom Sitzland ab. Ein in den Niederlanden eingetragenes Unternehmen mit einem Geschäftsführer auf Vorstandsebene trägt ein Disqualifizierungsrisiko, das ein spanisch ansässiges Pendant nicht hat.

Falle 5: Aufbewahrungsfristen für Nachweise divergieren

Eine weniger diskutierte, aber sehr operative Falle: Jede Umsetzung setzt eigene Aufbewahrungsfristen für Konformitätsnachweise. Frankreich verlangt fünf Jahre Rückverfolgbarkeit von Vorfällen. Deutschland schreibt drei Jahre vor. Italien fordert zwei Jahre für Vorfälle üblicher Schwere, aber sieben Jahre bei kritischen Infrastrukturen. Wer in mehreren Ländern tätig ist, bindet sich faktisch an die längste Frist — eine kürzere interne Richtlinie setzt Sie der Durchsetzung im Land mit der längeren Frist aus.

Falle 6: Sprachvorgaben bei Meldungen

Die meisten nationalen Behörden verlangen Meldungen in Landessprache. ANSSI akzeptiert ausschließlich Französisch. Das BSI akzeptiert Deutsch (Englisch ist für Frühwarnungen tolerierbar, der Abschlussbericht muss jedoch auf Deutsch sein). ACN akzeptiert Italienisch. INCIBE akzeptiert Spanisch. NCSC Niederlande akzeptiert Niederländisch oder Englisch. Ein paneuropäischer Vorfall erfordert damit parallele Meldungen in mehreren Sprachen innerhalb desselben 24-Stunden-Fensters. Organisationen, die ihre Meldetemplates nicht vorübersetzt haben, verlieren im Ernstfall kritische Stunden an Übersetzungen — Zeit, die sowohl die regulatorische Frist als auch die operative Reaktion auffrisst.

Ein praxistauglicher Rahmen für den Flickenteppich

Angesichts dieser Komplexität: Was tun? Hier ist ein sechsstufiger Rahmen, der unabhängig vom Sitzland oder Sektor funktioniert.

Schritt 1: Entitäts- und Betriebsfußabdruck in der EU kartieren

Beginnen Sie mit einer Inventur: Wo sind Sie eingetragen, wo haben Sie Mitarbeitende, wo sitzen Ihre Kunden, wo Ihre Unterauftragnehmer? Für jedes Land mit wesentlicher Präsenz müssen Sie klären, ob NIS2 gilt und welches nationale Regime greift. Das ist keine rein juristische Übung — sie erfordert Input vom CFO, CISO und der operativen Leitungsebene. Viele Organisationen sind überrascht, dass ihre Luxemburger Holdingstruktur die luxemburgische NIS2-Pflicht auslöst, auch wenn das operative Geschäft anderswo läuft.

Schritt 2: Hauptniederlassung nach Artikel 26 bestimmen

Nach Artikel 26 NIS2 ist die „Hauptniederlassung" für die meisten Einrichtungen jener EU-Mitgliedstaat, in dem die Entscheidungen zum Cybersicherheits-Risikomanagement überwiegend getroffen werden. Das ist oft der HQ-Staat, kann aber abweichen — etwa wenn Ihr SOC oder Ihre CISO-Funktion in einem anderen Land verankert ist. Halten Sie diese Bestimmung schriftlich fest und lassen Sie sie rechtlich abzeichnen. Sie bestimmt Ihre primäre Behördenbeziehung und vereinfacht die Vorfallsmeldung.

Schritt 3: Compliance-Matrix je Land aufbauen

Für jedes Land, in dem Sie tätig sind, sollten Sie eine strukturierte Matrix führen mit:

• Rechtsstand (umgesetzt / in Kraft / in Bearbeitung)
• Zuständige Behörde und Kommunikationskanäle
• Meldefristen (Frühwarnung, vollständige Meldung, Abschlussbericht)
• Lokale Erweiterungen des Anwendungsbereichs über das Richtlinienniveau hinaus
• Geltende Bußgeldobergrenzen
• Position zur Organhaftung
• Veröffentlichte sektorspezifische Leitfäden

Diese Matrix ist Ihre operative Kommandozentrale. Tritt ein Vorfall ein, öffnet das Incident-Team diese Matrix und weiß sofort, wer zu informieren ist, wann und auf welchem Weg.

Schritt 4: Cybersicherheits-Risikomanagement auf Richtlinienniveau aufbauen

Artikel 21 NIS2 fordert „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen" in zehn Bereichen: Risikoanalyse, Vorfallsbehandlung, Geschäftsfortführung, Lieferkettensicherheit, Beschaffung und Entwicklung, Wirksamkeitsmessung, Schulung, Kryptografie, Zugangskontrolle und Multi-Faktor-Authentifizierung. Ihr Basisprogramm auf den Richtlinientext zuzuschneiden — nicht auf eine einzelne nationale Umsetzung — ist der sicherste Ansatz. Die nationalen Gesetze legen zusätzliche Details nach, aber der Richtliniensockel ist einheitlich.

Schritt 5: Meldefähigkeit im Ernstfall testen

Die 24-Stunden-Frühwarnpflicht ist der schärfste operative Test Ihrer NIS2-Reife. Die meisten Organisationen unterschätzen, wie schnell die Uhr läuft: Sie startet mit der Kenntnisnahme eines erheblichen Vorfalls, nicht mit der Vollmobilisierung Ihres Incident-Teams. Sie brauchen vorbereitete Dokumentationsvorlagen, vorautorisierte Entscheidungspfade und ein Meldetemplate je Land.

Führen Sie eine Tabletop-Übung durch. Simulieren Sie einen erheblichen Vorfall in Ihrem komplexesten länderübergreifenden Szenario und messen Sie die Zeit bis zur ersten Meldung. Wenn Sie 20 Stunden überschreiten, haben Sie ein Problem.

Schritt 6: Vertragsverletzungsverfahren und Rechtsprechung beobachten

Die Vertragsverletzungsverfahren der Europäischen Kommission gegen säumige Mitgliedstaaten sind keine Marginalie — sie kündigen an, wo die Durchsetzung nach Umsetzung besonders streng ausfallen dürfte. Staaten unter Kommissionsdruck setzen in der Regel aggressiv um, mit verkürzten Karenzzeiten und strenger Früh-Durchsetzung, um guten Willen zu signalisieren. Wer diese Verfahren über die Kommissionspressestellen verfolgt, sieht frühzeitig, wo die Compliance-Schraube angezogen wird.

Schritt 7: Lieferkettensicherheit verankern

Eine der anspruchsvollsten Neuerungen von NIS2 gegenüber NIS1 ist die formale Ausdehnung auf Lieferanten. Artikel 21(2)(d) verlangt, dass Sie Lieferkettensicherheit in Ihre Richtlinien integrieren, einschließlich Maßnahmen für kritische Lieferanten und IKT-Dienstleister. Das bedeutet: Kartierung Ihrer kritischen Lieferanten, Aufnahme von Sicherheitsklauseln in Verträge, regelmäßige Audits oder akzeptierte Alternativen (Zertifizierungen Dritter) und Eskalationspfade bei Vorfällen bei Lieferanten. Die nationalen Umsetzungen unterscheiden sich im erwarteten Detailgrad — Italien und Deutschland sind am strengsten, mit expliziten Erwartungen an jährliche Lieferantenfragebögen. Die französische Umsetzung verlangt einzigartig, dass Ihre Lieferketten-Policy mindestens alle 18 Monate vom Vorstand überprüft und genehmigt wird, mit protokollierter Entscheidung.

Schritt 8: Vertragsverletzungsverfahren und neue Rechtsprechung beobachten

Die Vertragsverletzungsverfahren der Europäischen Kommission gegen säumige Mitgliedstaaten sind keine Marginalien — sie kündigen an, wo die Durchsetzung nach Umsetzung besonders streng ausfallen dürfte. Staaten unter Kommissionsdruck setzen meist aggressiv um, mit verkürzten Karenzzeiten und strenger Früh-Durchsetzung, um guten Willen zu signalisieren. Wer diese Verfahren über die Kommissionspressestellen verfolgt, sieht frühzeitig, wo die Compliance-Schraube angezogen wird. Beobachten Sie außerdem den Gerichtshof der Europäischen Union (EuGH) auf Vorabentscheidungsersuchen zur Auslegung von NIS2-Vorschriften — die ersten solcher Entscheidungen werden Ende 2026 oder 2027 erwartet und werden die nationale Auslegung der Durchsetzung nachhaltig prägen.

Häufige Fragen

Mein Land hat NIS2 noch nicht umgesetzt. Kann ich die Compliance-Arbeit aufschieben?

Nein. Drei Gründe. Erstens: Die säumigen Staaten stehen unter Kommissionsdruck und dürften aggressiv umsetzen, mit kurzen Übergangsfristen. Zweitens: Wenn Sie in einem bereits umgesetzten Land tätig sind, gelten dessen Pflichten für Sie jetzt. Drittens: NIS2 beschreibt ein Mindestniveau an Cybersicherheitshygiene, das der Markt — Kunden, Prüfer, Versicherer — bereits als Standarderwartung behandelt. Das Aussitzen zur Schonung der eigenen Ressourcen ist eine falsche Ersparnis.

Wir sind ein kleines Unternehmen mit unter 50 Mitarbeitenden. Sind wir außerhalb des Anwendungsbereichs?

Wahrscheinlich, aber überprüfen Sie es. Die Richtlinie nutzt die EU-KMU-Definition: mittlere Einrichtungen haben ab 50 Mitarbeitende oder 10 Mio. € Umsatz. Nationale Gesetze können den Anwendungsbereich jedoch in bestimmten Sektoren erweitern und schließen teilweise kleinere Einrichtungen für kritische Dienste ein (Energie-Microgrids, bestimmte Cloud-Dienste). Prüfen Sie die Umsetzung in Ihrem Heimatland und in jedem Land, in dem Sie wesentlich tätig sind.

Was ist die wichtigste Maßnahme für dieses Quartal?

Bestimmen Sie Ihre Hauptniederlassung nach Artikel 26 und dokumentieren Sie die Begründung. Damit schalten Sie den Rest Ihres Compliance-Programms frei: Sie wissen, welche Behörde Ihr primärer Ansprechpartner ist, welches nationale Gesetz Ihr Leittext ist und wo die Vorstandshaftung sitzt. Organisationen, die diesen Schritt überspringen, landen bei parallelen, doppelten Programmen in mehreren Ländern und verpassen trotzdem ihre primären Meldepflichten. Zwei Wochen sauber investiert, erspart Quartale an Schmerz.

Brauchen wir eine eigene Position für NIS2 (wie einen DSB für die DSGVO)?

Nein, NIS2 fordert keinen Datenschutzbeauftragten. Gefordert sind die Verantwortlichkeit des Leitungsorgans und die Schulung aller Beschäftigten zu Cybersicherheit. Reife Organisationen haben meist einen CISO oder eine Leitung Informationssicherheit, die diese Rolle ausfüllt. Entscheidend ist: Verantwortung wird förmlich zugewiesen, dokumentiert und mit Ressourcen ausgestattet — nicht die konkrete Titelbezeichnung.

Welche ersten NIS2-Bußgelder wurden bereits verhängt?

Die ersten sichtbaren Sanktionen kamen aus Italien (ACN, 1,2 Mio. € gegen einen Telekommunikationsbetreiber wegen versäumter Meldefrist im März 2025), aus der Slowakei (NBÚ, 800.000 € gegen einen Cloud-Anbieter wegen unzureichender technischer Maßnahmen im April 2025) und aus Estland (RIA, 450.000 € gegen ein Krankenhaus wegen fehlendem Vorfallsmanagementplan im Juni 2025). Kürzlich umgesetzte Staaten (Deutschland, Frankreich, Spanien) haben noch keine signifikanten Sanktionen veröffentlicht, laut Pressemitteilungen laufen jedoch mehrere Verfahren. Rechnen Sie im zweiten Halbjahr 2026 mit einer deutlichen Zunahme öffentlicher Sanktionen. Ein wiederkehrendes Muster: Die Behörden bestrafen keine unvollkommene Cybersicherheit, sondern fehlende Dokumentation. Organisationen mit unvollkommenen, aber dokumentierten Programmen werden abgemahnt; Organisationen ohne jeden Dokumentationsnachweis werden sanktioniert.

Wie bleibt man aktuell, wenn sich die Lage so schnell bewegt?

Drei vorrangige Quellen: Pressemitteilungen der Europäischen Kommission (für Vertragsverletzungsverfahren und Durchführungsrechtsakte), Veröffentlichungen der ENISA (sektorale technische Leitfäden) und Jahresberichte Ihrer nationalen Behörde (BSI, ANSSI usw.). Vermeiden Sie Zusammenfassungen von Beratungsgesellschaften — sie veralten schnell, die Dinge bewegen sich zu rasch. Abonnieren Sie direkt offizielle RSS-Feeds. Für Rechtsaktualisierungen ist der tägliche Amtsblatt-Feed von EUR-Lex die maßgebliche Quelle für neu veröffentlichte nationale Gesetze, die EU-Richtlinien umsetzen — Sie sehen sie am Tag ihres Erscheinens, nicht erst wochenlang später in Beraterkommentaren.

Wie greift NIS2 mit der DSGVO ineinander, wenn ein Vorfall personenbezogene Daten betrifft?

Sie müssen nach beiden Regimen melden — an unterschiedliche Behörden, mit unterschiedlichen Fristen. DSGVO Artikel 33 verlangt die Meldung an die Datenschutzaufsicht binnen 72 Stunden. NIS2 verlangt die Frühwarnung an die Cybersicherheitsbehörde binnen 24 Stunden. Das sind zwei separate Pflichten mit zwei Behörden und zwei Bußgeldregimen. Bauen Sie Ihr Runbook so, dass beide Workflows parallel anlaufen.

Unterm Strich

NIS2 sollte EU-Cybersicherheitsrecht harmonisieren. 2026 hat es das Grundniveau harmonisiert — und die Umsetzung fragmentiert. Für grenzüberschreitend tätige Unternehmen bedeutet das: Ihr Compliance-Programm muss auf der Richtlinie fußen, aber lokal konfiguriert sein. Auf dem NIS2-Text aufgebaut, je Mitgliedstaat angepasst. Die Organisationen, die das am besten meistern, haben früh in eine Länder-Matrix investiert, ihre Hauptniederlassung förmlich bestimmt und Incident-Response-Fähigkeiten aufgebaut, die die 24-Stunden-Meldung über mehrere Jurisdiktionen hinweg gleichzeitig schaffen.

Der Flickenteppich wird sich mit der Zeit setzen, wenn Nachzügler aufholen und die Kommission Durchführungsrechtsakte erlässt. Bis dahin ist es teuer, NIS2 als einheitliche, uniforme Pflicht zu behandeln — teuer in Bußgeldern, teuer in operativem Chaos, teuer in der Vorstandshaftung. Es als vernetztes Geflecht nationaler Regime auf einem gemeinsamen Richtlinienfundament zu behandeln, ist anspruchsvoller, aber der einzige Weg zu echter Compliance.

Das Viktoria-Compliance-Assessment deckt genau dieses Geflecht Land für Land ab. Der adaptive Fragebogen gleicht Ihre Entitätsstruktur mit dem aktuellen Umsetzungsstand jedes Mitgliedstaats ab, in dem Sie tätig sind, und markiert die konkreten Pflichten, die Sie heute binden — nicht den abstrakten Richtlinientext. Wenn Sie Ihren Fußabdruck noch nicht durchgespielt haben, ist jetzt der richtige Zeitpunkt. Die Durchsetzung ist nicht in Sicht — sie ist da.