NIS2 Regulatorische Zeitleiste
Wichtige Meilensteine und aktuelle Entwicklungen zu NIS2-Richtlinie, BSIG, CIR 2024/2690, IT-Grundschutz und ENISA, automatisch aktualisiert.
2026
ENISA veroeffentlicht NIS360 2026 — dritte jaehrliche Reife- und Kritikalitaetsbewertung der NIS2-Sektoren
ENISA veroeffentlicht die dritte Ausgabe von NIS360 zur Bewertung der Cybersicherheitsreife und Kritikalitaet aller Sektoren hoher Kritikalitaet nach Annex I. Vertrauensdienste, Luftverkehr und Finanzmarktinfrastrukturen erreichen hohe Reife. Acht Sektoren liegen in der Risikozone (Reife hinter Kritikalitaet): Gesundheit, Eisenbahn, Schifffahrt, IKT-Service-Management, Weltraum, oeffentliche Verwaltungen, Trinkwasser und Abwasser. Weltraum und Eisenbahn weisen gestiegene Kritikalitaet auf. Jaehrliches Referenzdokument fuer nationale Behoerden und Betreiber zur Priorisierung der NIS2-Aufsicht.
BMI legt Entwurf der neuen KRITIS-Verordnung vor — Schwellenwerte und Sektorliste unter dem KRITIS-Dachgesetz
Das Bundesinnenministerium veroeffentlicht den Referentenentwurf der neuen Verordnung zur Bestimmung kritischer Anlagen, die die bisherige BSI-KritisV unter dem KRITIS-Dachgesetz ersetzt. Der Entwurf nimmt einen neuen Sektor Weltraum auf, behaelt IT und TK in KRITIS und passt Schwellenwerte insbesondere in Energie und Verkehr an. Konsultationsfrist ist der 16. Juni 2026. Bestimmt, welche Betreiber zugleich NIS2-wesentliche Einrichtungen und Betreiber nach KRITIS-Dachgesetz sind.
Niederlaendischer Senat: Ausschuesse eroeffnen schriftliche Inbreng-Phase zur Cyberbeveiligingswet (NIS2-Umsetzung)
Die Ausschuesse des Eerste Kamer (Senat) fuer Digitalisierung (DIGI) und Justiz und Sicherheit (J&V) haben am 19. Mai 2026 die Phase der schriftlichen Stellungnahmen ('inbreng voor het verslag') zur Cyberbeveiligingswet (Gesetzentwurf 36.764) und zum parallel behandelten Gesetz weerbaarheid kritieke entiteiten (36.765) eroeffnet. Senatoren reichen ihre Positionen ein, bevor die Ausschuesse am 21. Mai vorlaeufige Kurznotizen formulieren. Die Tweede Kamer hatte den Entwurf am 15. April 2026 verabschiedet. Die Zustimmung des Senats ist der letzte Schritt vor Inkrafttreten, erwartet zum 1. Juli 2026. Die Niederlande gehoeren zu den verbleibenden Nachzueglern bei der NIS-2-Umsetzung.
EU-Kommission veroeffentlicht Entwurf der Leitlinien zur Einstufung als Hochrisiko-KI-System (Art 6 KI-Verordnung)
Die Europaeische Kommission hat am 19. Mai 2026 den Entwurf der Leitlinien zur Einstufung als Hochrisiko-KI-System nach Art 6 der KI-Verordnung (VO (EU) 2024/1689) veroeffentlicht und eine gezielte Stakeholder-Konsultation bis 23. Juni 2026, 22:00 CET eroeffnet. Der 148-seitige Entwurf legt die Auslegung der Kommission zu Art 6(1) (Annex I, eingebettete Sicherheitskomponenten) und Art 6(2) (Annex III, eigenstaendige Hochrisikosysteme) dar und enthaelt praktische Anwendungsbeispiele nach Art 6(5). Relevante Signale fuer NIS-2-regulierte Einrichtungen: Die Hochrisiko-Einstufung fuer Kritische Infrastrukturen nach Art 6(2) + Annex III(2) wird durch eine CER-Benennung (Richtlinie 2022/2557) ausgeloest, nicht durch den NIS-2-Status als 'wesentliche Einrichtung'. Cybersicherheits-KI ist ausdruecklich aus dem Hochrisiko-Bereich ausgenommen (Erwaegungsgrund 55). Auch KI fuer Servicequalitaet/Betrieb ist ausgenommen. Die vier Ausnahmewege nach Art 6(3) bleiben trotz des frueheren Kommissionsvorschlags zur Streichung erhalten. Finale Leitlinien werden nach Abschluss der Konsultation erwartet.
BSI und Mecklenburg-Vorpommern unterzeichnen Kooperationsvereinbarung zur Cybersicherheit (12. Bundesland)
BSI-Praesidentin Claudia Plattner und der Finanz- und Digitalisierungsminister von Mecklenburg-Vorpommern, Dr. Heiko Geue, unterzeichnen in Hamburg eine formale Kooperationsvereinbarung; damit pflegt das BSI nun Kooperationen mit zwoelf Bundeslaendern. Umfasst operative Cybersicherheit, wechselseitigen Informations- und Wissensaustausch und gemeinsame Awareness-Massnahmen. Setzt die Bund-Laender-Koordination fort, die mit Brandenburg am 29. April 2026 startete, und unterstuetzt die NIS-2-Umsetzung in betroffenen oeffentlichen Verwaltungseinrichtungen.
BSI veroeffentlicht G7-Richtlinie zu Software Bill of Materials for AI
BSI und Italiens ACN haben gemeinsam unter den G7-Cybersicherheitsbehoerden und mit der EU-Kommission die Leitlinie 'Software Bill of Materials (SBOM) for Artificial Intelligence' mit Mindestelementen erarbeitet. Das Dokument legt Mindestanforderungen in sieben Informationskategorien fest, darunter KI-Modelle, Trainingsdatenquellen und potenzielle Verzerrungen. BSI-Praesidentin Claudia Plattner: Transparenz ueber die KI-Lieferkette bildet die Grundlage fuer robuste KI-Cybersicherheit. Direkt relevant fuer NIS-2-Lieferkettenrisikomanagement nach Art 21(2)(d) und fuer den AI-Act-Compliance-Pfad.
BMI/BKA Bundeslagebild Cybercrime 2025: rund 335.000 Faelle, 202,4 Mrd. Euro Schaden fuer die deutsche Wirtschaft
Bundesinnenminister Alexander Dobrindt und BKA-Vizepraesidentin Martina Link stellen am 12. Mai 2026 das Bundeslagebild Cybercrime 2025 vor. Rund 335.000 Cybercrime-Faelle im engeren Sinn wurden 2025 registriert; zwei Drittel (207.888) aus dem Ausland oder von unbekannten Orten begangen. Geschaetzter Schaden fuer die deutsche Wirtschaft: 202,4 Mrd. Euro, rund 4,5 Prozent des Bruttoinlandsprodukts. KI-Werkzeuge werden von Angreifern zunehmend eingesetzt; Unternehmen, Behoerden und Kritische Infrastrukturen sind die Hauptziele. Dobrindt rahmt die Antwort im Sinne der NIS-2-Durchsetzung: 'Der Staat darf im digitalen Raum kein Zuschauer sein.' Liefert die politische Kulisse fuer den Eintritt des BSI in die aktive NIS-2-Pruefungsphase ab Mai 2026.
BSI Cybersicherheitsmonitor 2026: Jede zehnte Person in Deutschland im Vorjahr von Cyberkriminalitaet betroffen
Gemeinsame Umfrage von BSI und ProPK ergibt, dass 27% der Deutschen schon einmal Opfer von Cyberkriminalitaet wurden, davon 11% in den letzten zwoelf Monaten. Haeufigste Delikte: Betrug beim Onlineshopping und -banking, Fremdzugriffe auf Konten und Phishing. Nur 14% informieren sich regelmaessig ueber Cybersicherheit; 33% der Betroffenen berichten von finanziellen Verlusten. Der Bericht untermauert die breite Awareness-Luecke, die NIS-2-Aufsicht und BSI-Aufklaerungsprogramme verbraucherseitig adressieren.
Luxemburg setzt NIS 2 um: Gesetz vom 5. Mai 2026 in Kraft
Das luxemburgische Gesetz vom 5. Mai 2026 ueber Massnahmen zur Gewaehrleistung eines hohen Cybersicherheitsniveaus ist am 10. Mai 2026 in Kraft getreten und setzt die NIS-2-Richtlinie um, das frueher gueltige NIS-1-Gesetz wird aufgehoben. Das Institut Luxembourgeois de Regulation (ILR) ist zustaendige Behoerde. Ein Selbstregistrierungsportal fuer betroffene Einrichtungen ist online. Bemerkenswert, weil Luxemburg zu den Nachzueglern gehoerte und wenige Tage zuvor am 29. April 2026 im parallelen CER-Vertragsverletzungsverfahren vor dem EuGH verklagt wurde. Betroffene Einrichtungen muessen sich selbst beim ILR registrieren.
AI Act Digital Omnibus: vorlaeufige politische Einigung erzielt
Rat und Europaeisches Parlament haben am 7. Mai 2026 eine vorlaeufige politische Einigung zum AI Act Digital Omnibus erzielt. Annex III-Hochrisiko-Pflichten verschoben auf den 2. Dezember 2027, Annex I-eingebettete Hochrisiko-Pflichten auf den 2. August 2028. Wasserzeichen-Pflicht nach Art 50(2) verschoben auf den 2. Dezember 2026. Neues Verbot in Art 5 fuer KI zur Erzeugung nicht-einvernehmlicher intimer Aufnahmen und Material zum sexuellen Missbrauch von Kindern. SME-Erleichterungen werden auf kleine Mid-Caps ausgeweitet. Foermliche Annahme durch Rat und Parlament vor dem 2. August 2026 erforderlich.
BSI veroeffentlicht ersten Bericht zur IT-Sicherheit der oeffentlichen Ladeinfrastruktur
BSI und Bundesministerium fuer Verkehr veroeffentlichen den ersten gemeinsamen Bericht zur IT-Sicherheit der oeffentlichen Ladeinfrastruktur in Deutschland. Der Bericht untersucht Schwachstellen in den Protokollen ISO 15118 und OCPP sowie Software-Schwaechen bei Ladepunktbetreibern und schlaegt konkrete Sicherheitsmassnahmen vor. Das BSI positioniert Ladeinfrastruktur an der Schnittstelle der NIS-2-Sektoren Verkehr und Energie: Ausfaelle reichen von Mobilitaetsstoerungen bis hin zu Auswirkungen auf das Stromnetz.
BSI startet CyberGovSecure — koordinierte NIS-2-Umsetzung in der Bundesverwaltung
BSI, CISO Bund und das Bundesministerium fuer Digitales und Staatsmodernisierung haben am 4. Mai 2026 CyberGovSecure gestartet, ein strukturiertes ressortuebergreifendes Programm zur Umsetzung von Cybersicherheitsmassnahmen in allen Bundesbehoerden. BSI-Praesidentin Claudia Plattner bezeichnet es als zentralen Baustein der NIS-2-Umsetzung in der Bundesverwaltung. Umsetzungsverantwortung liegt bei jeder Behoerde; das BSI begleitet technisch und organisatorisch.
BSI und Brandenburg unterzeichnen Kooperationsvereinbarung zur Cybersicherheit
BSI-Praesidentin Claudia Plattner und der brandenburgische Staatssekretaer Ernst Buerger unterzeichnen eine formale Kooperationsvereinbarung mit zehn Handlungsfeldern: operative Cybersicherheit (Informationsmanagement, Sicherheitstests und -uebungen), gemeinsame Awareness- und Schulungsprogramme sowie wechselseitiger Austausch zum Aufbau von Fachkompetenz. Staerkt die Bund-Laender-Koordination zur Unterstuetzung der NIS2-Umsetzung in betroffenen oeffentlichen Verwaltungseinrichtungen.
Kommission verklagt 7 Mitgliedstaaten vor dem EuGH wegen fehlender CER-Umsetzung
Die Europaeische Kommission hat am 29. April 2026 entschieden, Bulgarien, Frankreich, Luxemburg, die Niederlande, Polen, Spanien und Schweden vor dem EuGH wegen fehlender Umsetzung der CER-Richtlinie (EU 2022/2557) zu verklagen und in allen Faellen finanzielle Sanktionen zu beantragen. CER und NIS 2 teilen die gleiche Umsetzungsfrist vom 17. Oktober 2024. Erste grosse EuGH-Durchsetzung im Paket. Verfahrensablauf: Aufforderungsschreiben November 2024, mit Gruenden versehene Stellungnahme Juli 2025, EuGH-Klage April 2026. Starkes Durchsetzungssignal fuer das parallele NIS-2-Vertragsverletzungsverfahren.
BSI veroeffentlicht C3A-Kriterienrahmen fuer Cloud-Souveraenitaet
BSI veroeffentlicht das Rahmenwerk Criteria enabling Cloud Computing Autonomy (C3A), das transparente Souveraenitaetsstandards fuer Cloud-Dienste festlegt. C3A ergaenzt den bestehenden C5-Katalog und adressiert 'Cyber Dominance' — die Faehigkeit von Cloud-Herstellern, dauerhaften Zugang zu Kundensystemen und -daten zu behalten. Cloud-Anbieter muessen C5-Voraussetzungen erfuellen; das Rahmenwerk laesst Flexibilitaet bei der Datenlokalisierung (Deutschland oder EU). Ausgerichtet am European Cloud Sovereignty Framework (EU CSF). Nicht regulatorisch verpflichtend; ergaenzt, ersetzt aber NIS2-Cloud-Zertifizierungswege nicht.
Oeffentliche Feedbackfrist fuer vorgeschlagene NIS2-Richtlinienaenderungen endet
Die oeffentliche Feedbackfrist fuer die von der Europaeischen Kommission vorgeschlagenen NIS2-Aenderungen (veroeffentlicht am 20. Januar 2026) endet heute. Vorschlaege umfassen Seekabel-Infrastruktur im Anwendungsbereich, Kategorie kleine Midcap-Unternehmen, Ransomware-Meldedetails, verstaerkte ENISA-Rolle bei grenzueberschreitender Aufsicht und zertifizierungsbasierte Compliance-Pfade. Es folgt das ordentliche Gesetzgebungsverfahren in Parlament und Rat.
ENISA veroeffentlicht National Capabilities Assessment Framework 2.0
ENISA hat NCAF 2.0 veroeffentlicht, eine aktualisierte Methodik zur Bewertung nationaler Cybersicherheitsfaehigkeiten und Strategiereife. Ausgerichtet auf den NIS2-Artikel-19-Peer-Review-Prozess. Unterstuetzt Mitgliedstaaten bei der Identifizierung von Staerken, Luecken und Prioritaetsbereichen in der Cybersicherheit.
Belgien setzt erste NIS2-Compliance-Frist durch — wesentliche Einrichtungen muessen Cybersicherheitsstatus nachweisen
Belgien wird das erste EU-Land mit Ex-ante-NIS2-Aufsicht. Bis zum 18. April muessen wesentliche Einrichtungen verifizierte Cybersicherheitsdokumentation ueber einen von drei Wegen einreichen: CyberFundamentals (CyFun)-Verifizierung, ISO/IEC 27001-Zertifizierung oder direkten CCB-Inspektionsantrag. Bei Nichteinhaltung drohen Verwaltungsmassnahmen und Bussgelder bis 10 Mio. EUR oder 2% des Umsatzes. Volle Zertifizierung bis 18. April 2027.
BSI veroeffentlicht Handreichung v1.0 zur Geschaeftsleitungs-Schulungspflicht nach §38(3) BSIG
Das BSI hat am 17. April 2026 die Version 1.0 der 24-seitigen Handreichung 'Schulung fuer Geschaeftsleitungen' veroeffentlicht und damit die vorlaeufige v0.9 vom September 2025 nach Abstimmung mit Bitkom, DIHK, GI, VDMA, Zentralverband Handwerk und ZVEI aktualisiert. Das Dokument definiert die Erwartungen der Aufsicht an die Schulungspflicht nach §38(3) BSIG in drei Bloecken: Schulungsorganisation (Adressaten, Intervall, Formate, Anbieter, Nachweis), empfohlene Inhalte (SOLL/KANN-Struktur zu Risikoanalyse, Risikomanagementpraktiken und Auswirkungen) und einen strukturierten Selbst-Check (10 Abschnitte mit Leitfragen samt hilfreichen vs Alarm-Antworten). Acht Schulungsformate werden ausdruecklich empfohlen, u.a. Risikomanagement-Quarterlies mit dem ISB, Tabletop-Uebungen, Audit-Simulationen und Management Red/Blue Teaming. Die Dokumentation muss Anbieter, Teilnehmende mit Rolle, Datum/Uhrzeit/Dauer und behandelte Inhalte mit Bezug zu den gesetzlichen Vorgaben enthalten.
21. Deutscher IT-Sicherheitskongress abgeschlossen — 8.000 Teilnehmer, NIS2 und KI-Sicherheit im Fokus
Das BSI veranstaltet den 21. IT-Sicherheitskongress in Bonn am 15.-16. April unter dem Motto 'Cybernation Deutschland'. Acht Sessions behandeln NIS-2-Umsetzung, KI-Sicherheit, Post-Quanten-Kryptografie, Zero Trust, sichere Lieferketten und digitale Identitaet. Hybrid-Workshops befassen sich mit Grundschutz++ 'Stand der Technik' und EUDI-Wallet-Themen. Kongressinhalte bleiben bis 15. Mai abrufbar.
Niederlande verabschieden Cyberbeveiligingswet (NIS2-Umsetzung) in der Zweiten Kammer
Die niederlaendische Tweede Kamer hat am 15. April 2026 die Cyberbeveiligingswet und die Wet weerbaarheid kritieke entiteiten (CER-Umsetzung) verabschiedet. Die Cyberbeveiligingswet ersetzt das bestehende Wbni und setzt NIS2-Pflichten um, einschliesslich Sorgfaltspflichten, Meldepflichten und Registrierung. Inkrafttreten voraussichtlich 1. Juli 2026 nach Zustimmung des Senats.
BSI-Kongress zeigt NIS-2-Umsetzung weit hinter Erwartungen — Unternehmen vermeiden bewusst Registrierung
Auf dem 21. IT-Sicherheitskongress enthuellte BSI-Beamter Manuel Bach, dass die NIS-2-Registrierung weit hinter den Erwartungen zurueckbleibt. Fast 50% der deutschen Unternehmen hatten den Begriff 'NIS-2' bis Ende 2025 noch nie gehoert. Manche Unternehmen vermeiden bewusst die Registrierung nach Ruecksprache mit Geschaeftsfuehrung und Rechtsberatung. Bach verglich Nichteinhaltung mit Steuerpflicht: 'Man kann nicht selbst entscheiden, ob es gilt.'
DENIC startet Phase-2-Risikoprüfung fuer .de-Domains unter NIS2
DENIC aktiviert Phase 2 der NIS2-Umsetzung fuer .de-Domain-Registrierungen. Ein automatisiertes Risikobewertungssystem nach Ampelprinzip (Niedrig/Verdaechtig/Hohes Risiko) klassifiziert nun alle Kontakt- und Domain-Auftraege. Auffaelligkeiten in Registrierungsdaten loesen Verifizierungsanfragen an das zustaendige DENIC-Mitglied aus. Nicht verifizierte Domains droht DNS-Quarantaene und Loeschung. Phase 1 (6. Dezember 2025) hatte bereits Inhaberdaten juristischer Personen im WHOIS oeffentlich gemacht. Betrifft alle ~17 Millionen .de-Domains.
BSI veroeffentlicht Kriterienkatalog C5:2026 fuer Cloud-Computing
Das BSI hat den C5:2026 veroeffentlicht, die aktualisierte Version des Kriterienkatalogs fuer sicheres Cloud-Computing als Nachfolger der Fassung von 2020. Die neue Edition deckt Container-Management, Post-Quanten-Kryptographie und Confidential Computing ab, ist am europaeischen EUCS-Zertifizierungsschema ausgerichtet und beruecksichtigte ausdruecklich die NIS2-Richtlinie sowie ISO/IEC 27001:2022 und die CSA Cloud Controls Matrix v4 bei der Entwicklung. Wird erstmals auch in maschinenlesbarem Format bereitgestellt.
Polens novelliertes KSC-Gesetz tritt in Kraft — 42.000 Einrichtungen nun betroffen
Polens novelliertes Gesetz ueber das nationale Cybersicherheitssystem (KSC) tritt am 3. April 2026 in Kraft und erweitert den NIS2-Anwendungsbereich von ~400 auf ~42.000 Organisationen, darunter ~28.000 oeffentliche Einrichtungen. Neue Sektoren: Lebensmittelproduktion, Abfallwirtschaft, Chemie, Postdienste, Fertigung. Einrichtungsregister am 13. April ueber S46-Plattform gestartet. Selbstregistrierungsfrist: 3. Oktober 2026. Volle Compliance bis 3. April 2027.
BSI veroeffentlicht Grundschutz++ Methodikleitfaden — PDCA-basiertes ISMS-Rahmenwerk
BSI veroeffentlicht den ersten Methodikleitfaden fuer Grundschutz++, der ein zukunftsorientiertes Rahmenwerk fuer den systematischen Aufbau eines ISMS auf Basis des PDCA-Zyklus etabliert. Der Leitfaden integriert strategische Verankerung, Anforderungsanalyse, Umsetzung, Ueberwachung und kontinuierliche Verbesserung. Derzeit nur fuer Pilotprojekte vorgesehen — Edition 2023 bleibt bis 2028 die gueltige Audit-Referenz.
EDPB und EDSB verabschieden gemeinsame Stellungnahme 4/2026 zu NIS2-Änderungen und Cybersecurity Act 2
EU-Datenschutzbehörden befürworten formell die Stärkung der Cybersicherheit und fordern zugleich Datenschutz-Leitplanken: Begrüßung von Digital-Identity-Wallet-Anbietern als wesentliche Einrichtungen, Forderung nach ENISA-EDPB-Konsultation vor Verabschiedung von Zertifizierungsschemata mit Personendatenbezug, Empfehlung einer zentralen Meldestelle für Datenpannen zur Reduktion des Verwaltungsaufwands und Klarstellung der Überschneidung von DSGVO- und Cybersicherheitszertifizierung.
BSI und Govdigital kündigen 'Cyberdome' an — automatisierte Cyberabwehr für 10 Bundesländer
BSI und der öffentliche IT-Dienstleisterverbund Govdigital kündigen Cyberdome an: sensorbasierte automatisierte Cyberabwehr-Infrastruktur in 10 Bundesländern und Kommunen mit BSI-vernetzter Echtzeitüberwachung.
KRITIS-Dachgesetz tritt in Kraft — physische Sicherheit zusätzlich zu NIS2-Cyberanforderungen
Deutschlands CER-Richtlinien-Umsetzung (KRITIS-Dachgesetz) tritt in Kraft und ergänzt NIS2-Cybersicherheit um physische Sicherheits- und Resilienzanforderungen. Erfordert BCMS neben ISMS, physische Sicherheitskontrollen und dreijährige Audits. Bußgelder bis 1 Mio. €.
Cyber Security Report 2026: 92% der kleinen deutschen Unternehmen unterschatzen NIS2-Betroffenheit
Der Cyber Security Report 2026 von Schwarz Digits befragt 1.001 deutsche Unternehmen und stellt fest, dass 48% irrtümlich annehmen, nicht von NIS2 betroffen zu sein. Bei kleinen Unternehmen (10-49 Mitarbeiter, >10 Mio. € Umsatz) erreicht die Fehleinschätzung 92%, obwohl sie die regulatorische Schwelle erfüllen.
BSI veröffentlicht NIS2-FAQ speziell für die öffentliche Verwaltung
BSI veröffentlicht eine spezielle FAQ zu NIS2-Anwendbarkeit und Compliance-Anforderungen für Bundes-, Landes- und Kommunalverwaltungen.
BSI veroeffentlicht NIS-2-Checkliste zur schrittweisen Umsetzungspruefung
Das BSI hat am 13. Maerz 2026 eine herunterladbare NIS-2-Checkliste veroeffentlicht, die als praktisches Schritt-fuer-Schritt-Werkzeug die Umsetzung der NIS-2-/BSIG-Pflichten in betroffenen Einrichtungen pruefbar macht. Die Checkliste ist Teil des #nis2know-Downloads-Pakets, neben dem Betroffenheits-Entscheidungsbaum und der zeitgleich veroeffentlichten FAQ fuer die oeffentliche Verwaltung. Mittlerweile in Version 9, was auf laufende Iteration nach Praxis-Rueckmeldungen hinweist. Adressiert Registrierung, Governance, Risikomanagement, Lieferkette, Meldepflichten und Schulungen.
ENISA veröffentlicht technischen Leitfaden zur sicheren Nutzung von Paketmanagern
Neuer Leitfaden zum sicheren Software-Entwicklungszyklus mit Fokus auf Paketmanager-Sicherheit — direkt relevant für NIS2-Lieferkettensicherheitsanforderungen (Art. 21(2)(d)).
22 von 27 EU-Mitgliedstaaten haben NIS2-Umsetzung abgeschlossen
Cullen International meldet: 22 EU-Staaten haben NIS2 umgesetzt. Funf fehlen noch: Frankreich, Irland, Luxemburg, Niederlande (Gesetzgebung im Parlament) und Spanien (kein Entwurf eingereicht). Spanien ist am weitesten zuruckgeblieben.
BSI-Registrierungsfrist läuft ab — Bußgelder für Nicht-Registrierung jetzt möglich
Drei Monate nach Inkrafttreten des BSIG läuft die Pflicht-Registrierungsfrist am BSI-Portal ab. Verspätete Registrierung wird noch angenommen, aber Bußgelder bis 10 Mio. € oder 2% des Jahresumsatzes sind nun rechtlich durchsetzbar.
Nur ~11.500 von ~29.500 betroffenen Einrichtungen haben sich bis zur Frist registriert
Bis zur Frist am 6. März haben sich rund 11.500 Behörden, Unternehmen und kritische Einrichtungen unter NIS2 beim BSI registriert — etwa 18.000 der 29.500 verpflichteten Einrichtungen fehlen noch. Laut BSI-Sprecher bleibt unklar, ob die ursprüngliche Schätzung zu hoch war oder ob viele Betroffene ihrer Meldepflicht nicht nachgekommen sind.
BOS-Digitalfunk-Betreiber erhält ISO 27001/IT-Grundschutz-Zertifizierung
Der Betreiber des deutschen BOS-Digitalfunknetzes für Behörden und Organisationen mit Sicherheitsaufgaben erreicht ISO 27001-Zertifizierung auf IT-Grundschutz-Basis.
Öffentliche Kommentierungsphase für technische CRA-Compliance-Richtlinie eröffnet
BSI eröffnet öffentliche Kommentierungsphase für die technische Compliance-Richtlinie zum Cyber Resilience Act (CRA), die Produktsicherheitsanforderungen mit NIS2-Lieferkettenplichten verbindet.
BMI veröffentlicht Entwurf des Cybersicherheitsstärkungsgesetzes — neue Pflichten für NIS2-regulierte Unternehmen
Bundesinnenministerium stellt den Entwurf des Gesetzes zur Stärkung der Cybersicherheit vor. BKA, Bundespolizei und BSI erhalten aktive Cyberabwehr-Befugnisse einschließlich Störung von Angreifer-Infrastruktur. Neue Pflichten für NIS2-regulierte Unternehmen: Kooperationspflicht bei staatlichen Cyberoperationen, BSI-vernetzte Angriffserkennung und DNS-basierter Kundenschutz. Bußgelder bis 20 Mio. € oder 2% des weltweiten Jahresumsatzes. ~375 neue Stellen bis 2030 nötig.
Polen unterzeichnet NIS2-Umsetzung — tritt am 2. April 2026 in Kraft
Präsident Nawrocki unterzeichnet die Novelle des polnischen Gesetzes über das nationale Cybersicherheitssystem (UKSC) zur NIS2-Umsetzung. Inkrafttreten am 2. April nach einmonatiger Vacatio legis. Registrierungsfrist: 3. Oktober 2026. Volle Compliance-Frist: 3. April 2027. Der Präsident verweist gleichzeitig Regelungen zu Hochrisiko-Anbietern und Sanktionen an das Verfassungsgericht.
ENISA veröffentlicht Methodik-Rahmenwerk für Cybersicherheitsübungen
Neue Methodik für Planung, Durchführung und Auswertung von Cybersicherheitsübungen — relevant für NIS2-Einrichtungen, die Incident-Response-Fähigkeiten nach Art. 21 testen müssen.
NIS-Kooperationsgruppe verabschiedet ICT-Lieferketten-Sicherheits-Toolbox
Die NIS-Kooperationsgruppe veroeffentlicht ein gemeinsames Rahmenwerk zur Identifikation, Bewertung und Minderung von Cybersicherheitsrisiken in IKT-Lieferketten. Die Toolbox umfasst Risikoszenarien, Minderungsmassnahmen und Leitlinien zur Reduzierung von Abhaengigkeiten von Hochrisiko-Lieferanten. Begleitet von sektorspezifischen Risikobewertungen fuer vernetzte Fahrzeuge und Detektionsgeraete.
ENISA veröffentlicht internationale Strategie für Cybersicherheitskooperation
ENISA veröffentlicht ihre internationale Kooperationsstrategie, die beschreibt, wie die Agentur mit Nicht-EU-Partnern bei Cybersicherheitsstandards und Bedrohungsinformationsaustausch zusammenarbeitet.
Südwestfalen-IT erhält ISO 27001-Zertifizierung auf Basis von IT-Grundschutz
Nach dem verheerenden Ransomware-Angriff 2023 erreicht der kommunale IT-Dienstleister Südwestfalen-IT die ISO 27001-Zertifizierung auf Basis von IT-Grundschutz als Nachweis der Wiederherstellung und Sicherheitsreife.
EU schlägt NIS2-Änderungen vor — neue Einrichtungstypen, Harmonisierungsgrenze, PQC-Migration
Europäische Kommission stellt Cybersicherheitspaket mit gezielten NIS2-Änderungen vor: Seekabel-Infrastruktur und Digital-Wallet-Anbieter aufgenommen, neue Kategorie 'kleine Midcap' (~22.500 Unternehmen), verpflichtende Ransomware-Meldedetails und Post-Quanten-Kryptografie-Migrationsfristen (2030/2035).
Erstes EUCC-Cybersicherheitszertifikat unter EU-Rahmenwerk ausgestellt
Das erste europäische Cybersicherheitszertifikat (EUCC) wird ausgestellt und etabliert ein gemeinsames EU-weites Zertifizierungsschema, mit dem NIS2-Einrichtungen Compliance nachweisen können.
BSI-NIS2-Registrierungsportal geht online
BSI startet portal.bsi.bund.de für NIS2-Registrierung und Vorfallsmeldung. Registrierung erfordert ein ELSTER-Organisationszertifikat (5-10 Werktage Bearbeitungszeit).
Grundschutz++ Übergangsphase beginnt — Parallelbetrieb bis 2029
BSI startet offiziell die Modernisierungs-Übergangsphase für Grundschutz++. Maschinenlesbares OSCAL/JSON-Format ersetzt PDF/Excel. Edition 2023 bleibt während der Übergangsphase bis 2029 für Audits gültig.
2025
BSIG tritt in Kraft — NIS2 ist Gesetz in Deutschland
Das novellierte BSIG tritt am Nikolaustag in Kraft, über ein Jahr nach der EU-Umsetzungsfrist. Keine Übergangszeit — alle Pflichten gelten sofort für ~29.500 betroffene Einrichtungen.
NIS2UmsuCG im Bundesgesetzblatt veröffentlicht (BGBl. 2025 I Nr. 301)
Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz wird im Bundesgesetzblatt veröffentlicht und tritt am Folgetag in Kraft.
Bundestag verabschiedet NIS2UmsuCG — Deutschlands NIS2-Umsetzungsgesetz
Der Bundestag verabschiedet das NIS2UmsuCG in 2. und 3. Lesung. Stimmen: CDU/CSU + SPD + AfD dafür, Grüne dagegen, Die Linke enthält sich. Rund 29.500 Einrichtungen fallen nun unter BSI-Aufsicht.
Koalition einigt sich auf NIS2UmsuCG-Kompromisse — Ex-post-Modell für kritische Komponenten
CDU/CSU-SPD-Koalition einigt sich: Regulierung kritischer Komponenten wechselt von Ex-ante-Genehmigung zu Ex-post-Meldung. CISO-Rolle des Bundes an BSI in Bonn übertragen.
BSI veröffentlicht Grundschutz++ Vorschau auf GitHub (OSCAL/JSON)
BSI veröffentlicht die Stand-der-Technik-Bibliothek auf GitHub mit Vorschau abstrakter Anforderungen im OSCAL/JSON-Format. Nicht produktionsreif — nur erster Entwurf, konkrete Maßnahmen werden noch ergänzt.
Bundeskabinett beschließt NIS2UmsuCG-Gesetzentwurf
Das Bundeskabinett beschließt den Entwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes und leitet ihn an das Parlament weiter. Das Gesetz wurde wegen der verpassten EU-Frist im Eilverfahren behandelt.
ENISA veröffentlicht NIS2-Leitfaden zur technischen Umsetzung v1.0
170-seitiges Dokument, das CIR 2024/2690 in praktische Maßnahmen in 13 Themenbereichen mit Nachweisbeispielen und Standards-Zuordnungen übersetzt. Primäre Referenz für die NIS2-Compliance-Umsetzung.
EK sendet mit Gründen versehene Stellungnahmen an 19 Mitgliedstaaten wegen verspäteter NIS2-Umsetzung
Die Europäische Kommission verschärft Vertragsverletzungsverfahren gegen 19 Mitgliedstaaten, die die NIS2-Richtlinie nicht fristgerecht bis Oktober 2024 umgesetzt haben.
2024
CIR 2024/2690 tritt in Kraft
Die Durchführungsverordnung wird 20 Tage nach Veröffentlichung in allen EU-Mitgliedstaaten verbindlich und legt die technische Grundlage für NIS2-Compliance fest.
CIR 2024/2690 veröffentlicht — Durchführungsverordnung zu technischen NIS2-Anforderungen
Durchführungsverordnung (EU) 2024/2690 veröffentlicht. Sie legt technische und methodische Anforderungen an NIS2-Cybersicherheits-Risikomanagementmaßnahmen für digitale Infrastruktur- und Dienstleister fest.
NIS2-Umsetzungsfrist läuft ab — die meisten Mitgliedstaaten verpassen sie
Mitgliedstaaten mussten NIS2 bis zu diesem Datum in nationales Recht umsetzen. Die meisten, einschließlich Deutschland, verpassen die Frist. Nur Belgien hat vollständig umgesetzt und mit der Durchsetzung begonnen.
2023
IT-Grundschutz-Kompendium Edition 2023 veröffentlicht
BSI veröffentlicht das IT-Grundschutz-Kompendium Edition 2023 — der aktuelle Produktionsstandard für Informationssicherheitsmanagement in Deutschland. Bleibt die gültige Audit-Referenz während der Grundschutz++-Übergangsphase.
NIS2-Richtlinie tritt in Kraft
Die NIS2-Richtlinie tritt 20 Tage nach Veröffentlichung in Kraft. Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit zur Umsetzung in nationales Recht.
2022
NIS2-Richtlinie im Amtsblatt veröffentlicht
Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union im Amtsblatt der EU veröffentlicht.
Quellen
Diese Seite wird regelmäßig aus den folgenden offiziellen und journalistischen Quellen aktualisiert.