NIS2 Regulatorische Zeitleiste
Wichtige Meilensteine und aktuelle Entwicklungen zu NIS2-Richtlinie, BSIG, CIR 2024/2690, IT-Grundschutz und ENISA, automatisch aktualisiert.
2026
ENISA startet NIS360-Umfrage fuer nationale Behoerden und Einrichtungen hoher Kritikalitaet
ENISA startete am 1. Juli 2026 eine Umfrage und laedt nationale Behoerden und Einrichtungen hoher Kritikalitaet nach NIS2 ein, zur naechsten Ausgabe der NIS360-Bewertung zur Reife und Kritikalitaet der Sektoren beizutragen. Einsendeschluss ist der 30. Oktober 2026.
Ungarn: erste verpflichtende NIS-2-Pruefung bis 30. Juni 2026 faellig (nationale Frist, nicht EU-weit)
Nach der ungarischen NIS-2-Umsetzung (Gesetz LXIX/2024, beaufsichtigt durch die Regulierungsbehoerde SZTFH) mussten betroffene Einrichtungen bis 31. August 2025 einen registrierten Cybersicherheitspruefer beauftragen und bis 30. Juni 2026 eine erste verpflichtende Pruefung abschliessen, nach einer Verlaengerung um sechs Monate. Das ist eine rein nationale ungarische Pflicht: Weder die NIS-2-Richtlinie (EU) 2022/2555 noch die Durchfuehrungsverordnung 2024/2690 setzen eine EU-weite Frist fuer eine Erstpruefung, anders als pauschale Anbieterbehauptungen suggerieren.
Niederlande: Senatsausschuesse bringen zweiten Bericht zur Cyberbeveiligingswet aus, Plenardebatte fuer den 6. oder 7. Juli 2026 angesetzt
Am 26. Juni 2026 haben die gemeinsamen Eerste-Kamer-Ausschuesse fuer Digitalisierung (DIGI) und Justiz und Sicherheit (J&V) ihren zweiten Bericht (tweede verslag) zur Cyberbeveiligingswet (Gesetzentwurf 36.764, die NIS-2-Umsetzung) ausgebracht und nach der Regierungsantwort vom 17. Juni eine weitere schriftliche Runde eroeffnet. Die Ausschuesse warten nun auf eine zweite Regierungsantwort; danach ist die Plenardebatte fuer den 6. oder 7. Juli 2026 vor der Schlussabstimmung des Senats angesetzt. Das frueher angepeilte Inkrafttreten zum 1. Juli 2026 ist damit nicht mehr erreichbar; der Termin wird per koninklijk besluit festgelegt, sobald das Gesetz verabschiedet ist. Die Niederlande gehoeren zu den letzten Nachzueglern bei der NIS-2-Umsetzung.
CRA-Marktueberwachungsbehoerden (AdCo CRA) tagen in Berlin; erste Meldepflichten ab 11. September 2026
Das zweite Treffen der CRA-Verwaltungskooperationsgruppe (AdCo CRA) unter Leitung des BSI fand am 25. Juni 2026 in Berlin statt. Die ersten Pflichten des Cyber Resilience Act gelten ab 11. September 2026: Hersteller von Produkten mit digitalen Elementen muessen aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfaelle ueber die im Aufbau befindliche europaeische Single Reporting Platform melden.
ENISA veroeffentlicht SME CRA Survey Report zur Vorbereitung auf den Cyber Resilience Act
ENISA hat ihren SME CRA Survey Report veroeffentlicht, der die Ergebnisse einer Umfrage unter kleinen und mittleren Unternehmen von Februar bis Maerz 2026 zur Kenntnis und Vorbereitung auf den Cyber Resilience Act (CRA) darstellt. Der Bericht sieht die groessten Luecken gegenueber den CRA-Erwartungen bei der Bedrohungsmodellierung und bei Softwarestuecklisten und haelt fest, dass KMU praxisnahe Anleitung fuer Teams ohne eigenes Sicherheitspersonal wuenschen. Die wesentlichen CRA-Pflichten gelten ab Dezember 2027.
Portugal: CNCS-Betriebsverordnung fuer die Registrierungsplattform MyCiber tritt in Kraft
Das Regulamento n.º 756/2026, veroeffentlicht im Diário da República (2. Serie, Nr. 118) am 22. Juni 2026 und in Kraft seit dem 23. Juni 2026, legt die Betriebsregeln fuer die vom CNCS betriebene Plattform MyCiber (myciber.gov.pt) fest. Es operationalisiert die Registrierung und Selbsteinstufung von Einrichtungen nach dem Regime Jurídico da Cibersegurança (Decreto-Lei n.º 125/2025, der portugiesischen NIS-2-Umsetzung) und macht MyCiber vom Konsultationsstadium zum aktiven Registrierungskanal.
BSI-Schreiben an Wirtschaftsverbaende setzt faktische Registrierungsfrist auf den 31. Juli 2026
In einem Schreiben an die deutschen Wirtschaftsverbaende, ueber das Tagesspiegel Background berichtet und das reuschlaw-Partner Stefan Hessel am 17. Juni 2026 oeffentlich zitiert hat, kommuniziert das BSI eine faktische Registrierungsfrist auf den 31. Juli 2026 fuer Einrichtungen, die die gesetzliche Frist vom 6. Maerz 2026 verpasst haben. Woertlich: 'Da die Registrierungen ueberfaellig sind, gehen wir davon aus, dass alle bis dahin nicht registrierten Einrichtungen die Registrierung bis zum 31. Juli 2026 erfolgreich abschliessen.' Eine schmale Ausnahme von sechs Wochen ab der Antwort des BSI auf gebuendelt eingereichte Klaerungsfragen wird gewaehrt. Juristisch ist das weder eine Schonfrist noch eine Fristverlaengerung: der Bussgeldtatbestand nach Section 65 Absatz 2 Nummer 6 in Verbindung mit Section 65 Absatz 5 Nummer 5 BSIG (bis 500.000 Euro pauschal fuer den Registrierungsverstoss nach Section 33) gilt unveraendert seit dem 7. Maerz 2026. Das Schreiben ist eine Ausuebung des Verfolgungsermessens nach Section 47 OWiG, jetzt an einem schriftlich kommunizierten Termin festgemacht. Stand 2. April 2026 waren erst 15.477 von rund 29.500 betroffenen Einrichtungen registriert. Die naechste Aktualisierung der BSI-Statistik 'NIS-2 in Zahlen' ist auf den 31. Juli 2026 terminiert, denselben Tag. Bis Ende Mai 2026 war die Zahl auf rund 18.500 registrierte Einrichtungen gestiegen, was das BSI als grundsaetzlich zufriedenstellend bezeichnete.
Niederlande: Regierung legt Senatsantwort zum Cyberbeveiligingswet vor, Ausschuesse legen weiteres Verfahren am 23. Juni fest
Am 17. Juni 2026 legte die niederlaendische Regierung ihre Antwort (nota naar aanleiding van het verslag) auf den Senatsausschussbericht vom 2. Juni zum Cyberbeveiligingswet (Gesetzentwurf 36.764, die NIS-2-Umsetzung) vor. Die Ausschuesse der Eerste Kamer fuer Digitalisierung und fuer Justiz und Sicherheit entscheiden am 23. Juni 2026 ueber das weitere Verfahren, die letzte Huerde vor einer Plenarabstimmung. Das Gesetz passierte das Unterhaus am 15. April 2026; die Regierung strebt weiterhin das Inkrafttreten zum 1. Juli 2026 an, vorbehaltlich der Zustimmung des Senats.
NIS-Kooperationsgruppe veroeffentlicht Referenzdokument zu NIS-2-Sicherheitsmassnahmen mit Zuordnungstabelle
Die NIS-Kooperationsgruppe (Mitgliedstaaten, Europaeische Kommission und ENISA) hat ein unverbindliches Referenzdokument mit gemeinsamen Cybersicherheitszielen fuer Einrichtungen im Anwendungsbereich der NIS-2-Richtlinie veroeffentlicht, bewusst breit formuliert, damit sie sektor-, technologie- und betriebsuebergreifend gelten. Eine als Anhang beigefuegte Zuordnungstabelle verknuepft die Ziele mit den Anforderungen der Richtlinie, der Durchfuehrungsverordnung (EU) 2024/2690 sowie bestehenden internationalen Standards und nationalen Rahmenwerken, darunter das belgische CyberFundamentals (CyFun). Es ist eine reine Handreichung und ersetzt nationales Umsetzungsrecht nicht. Das belgische CCB hat es am 17. Juni 2026 bekanntgegeben; die Dokumente liegen auf der Seite der NIS-Kooperationsgruppe der Kommission.
AG KRITIS reicht Stellungnahme zur Kritisverordnung ein
Die zivilgesellschaftliche AG KRITIS veroeffentlichte ihre vom BMI angefragte Stellungnahme zum Referentenentwurf der Kritisverordnung (Stand 26.05.2026). Sie bezeichnet das Festhalten am Regelschwellenwert von 500.000 Einwohnern als groessten Konstruktionsfehler und kritisiert das Fehlen von Sektoren wie Chemie, Medien und Kultur.
ENISA-Uebung Cyber Europe 2026 testet EU-Reaktion auf Cyberangriffe auf Schienen- und Seenetze
Am 10. und 11. Juni 2026 hat ENISA die 8. Auflage von Cyber Europe mit rund 5.000 Teilnehmenden aus EU-Mitgliedstaaten, Industrie und Partnerlaendern (Vereinigtes Koenigreich, Norwegen, Schweiz, Ukraine) durchgefuehrt. Das Szenario simulierte koordinierte Cyberangriffe auf europaeische Schienen- und Seetransportnetze, die zu einer breiteren Krise eskalierten. Es war der erste EU-weite Test des EU Cyber Blueprint 2025 (Ratsempfehlung fuer koordinierte Reaktion auf gross angelegte Cybervorfaelle) und die erste Aktivierungsuebung der neuen EU-Cybersicherheitsreserve aus dem Cyber Solidarity Act. ENISA stellt fest, dass Schiene und Seeverkehr im NIS360-Reifegradindex unterdurchschnittlich abschneiden, gemessen an ihrer Kritikalitaet. Die Uebung prueft die grenzueberschreitende Incident-Response-Kette, auf der Artikel 23 NIS-2 und das CSIRT-Netzwerk aufsetzen.
BSI veroeffentlicht BSI-Magazin 2026/01 mit Titelthema NIS-2 und BSI-Gesetz
Am 11. Juni 2026 hat das BSI die erste Ausgabe 2026 seines halbjaehrlichen BSI-Magazins unter dem Titelthema 'Mehr Cybersicherheit fuer Unternehmen mit NIS-2 und BSIG' veroeffentlicht. Die Ausgabe markiert sechs Monate Inkrafttreten des NIS2UmsuCG (seit 6. Dezember 2025) und bekraeftigt die BSI-Linie, dass die NIS-2-Umsetzung 'ein Meilenstein auf dem Weg zu einer resilienten Cybernation' sei. Weitere Themen: KI in der Cybersicherheit, modernisierte BSI-Zertifizierungsverfahren fuer IT-Sicherheitsdienstleister, Biometrie und ePayment. Das Magazin ist der Hauptkommunikationskanal des BSI an Verwaltung, Wirtschaft und Gesellschaft und signalisiert eine Akzentverschiebung Richtung Vollzugsphase nach Ablauf der Registrierungsfrist am 6. Maerz 2026.
BSI startet Umfrage zu seinen NIS-2-Unterstuetzungsangeboten fuer die Wirtschaft
Das BSI hat einen Fragebogen freigeschaltet, der Einrichtungen im Anwendungsbereich von NIS 2 um Rueckmeldung zu seinen bestehenden Unterstuetzungsangeboten bittet, namentlich zur Betroffenheitspruefung, zur Geschaeftsleitungsschulung und zu den #nis2know-Infopaketen, und der zur Nennung weiterer Themen einlaedt. Die Umfrage dauert etwa 20 Minuten, wird anonym ausgewertet und lief bis zum 24. Juni 2026; erklaertes Ziel ist eine praxisnaehere Unterstuetzung der betroffenen Unternehmen.
Telekommunikationsrat (TTE) prueft Fortschrittsbericht zum Cybersicherheitspaket (CSA2 + NIS2-Aenderungen)
Auf dem Rat fuer Verkehr, Telekommunikation und Energie am 9. Juni 2026 in Luxemburg hat die zypriotische Praesidentschaft Fortschrittsberichte zum Digital Networks Act und zum Cybersicherheitspaket vorgelegt. Das Cybersicherheitspaket umfasst den Entwurf einer Cybersecurity-Act-2-Verordnung, die gezielten Aenderungen der NIS-2-Richtlinie (Kommissionsvorschlag vom 20. Januar 2026) und das neue unionsweite Rahmenwerk fuer eine vertrauenswuerdige IKT-Lieferkette. Die Minister tauschten sich aus, ohne einen verbindlichen Beschluss zu fassen; das Dossier bleibt im AStV in Pruefung, bevor Polen ab Juli 2026 die Praesidentschaft uebernimmt. Erste foermliche Befassung des Cybersicherheitspakets auf Ministerebene seit dem Kommissionsvorschlag im Januar.
ENISA veroeffentlicht SBOM Adoption State of Play 2026
ENISA hat Umfrageergebnisse zur Einfuehrung von Software Bill of Materials veroeffentlicht. Demnach ist der Cyber Resilience Act der wichtigste Treiber fuer die Erstellung und Automatisierung von SBOM ueber den gesamten Softwareentwicklungszyklus. Die dokumentierte Lieferkettentransparenz beruehrt die Lieferantensicherheitspflichten nach Artikel 21 Absatz 2 Buchstabe d der NIS-2-Richtlinie.
Europaeische Kommission begruesst Erklaerung der G7-Cybersicherheits-Arbeitsgruppe
Am 8. Juni 2026 hat die DG CONNECT eine Digibyte veroeffentlicht, in der sie die unter franzoesischer G7-Praesidentschaft angenommene Erklaerung der G7-Cybersicherheits-Arbeitsgruppe begruesst. Die Erklaerung verpflichtet die G7 zu abgestimmtem Handeln bei Post-Quanten-Kryptografie, KI-bezogenen Cybersicherheitsrisiken, Resilienz von Telekommunikationsnetzen und Schutz von KMU. Die Kommission verankert die Telekom-Resilienz-Saeule ausdruecklich in der NIS-2-Richtlinie ('setzt bereits hohe Anforderungen an die Resilienz der Telekommunikation') und verknuepft die Lieferkettensaeule mit dem Entwurf des ueberarbeiteten Cybersecurity Act (CSA2) und dem neuen Rahmenwerk fuer eine vertrauenswuerdige IKT-Lieferkette. Naechstes Treffen der G7-Arbeitsgruppe im Herbst 2026, bevor die USA 2027 die Praesidentschaft uebernehmen.
ENISA veroeffentlicht technische Kompetenzanforderungen fuer benannte Stellen nach dem CRA
ENISA hat einen Bericht veroeffentlicht, der die Kompetenz-, Erfahrungs- und Schulungsanforderungen fuer das Personal von Konformitaetsbewertungsstellen festlegt, die als benannte Stellen nach dem Cyber Resilience Act notifiziert werden wollen. Er unterstuetzt den Aufbau von Bewertungskapazitaeten vor dem Ziel vom 11. Dezember 2026 fuer eine ausreichende Zahl benannter Stellen nach dem CRA.
Niederlande: Eerste-Kamer-Ausschuesse veroeffentlichen Bericht zur Cyberbeveiligingswet, warten auf Regierungsantwort
Am 2. Juni 2026 haben die gemeinsamen Eerste-Kamer-Ausschuesse fuer Digitalisierung (DIGI) und Justiz und Sicherheit (J&V) den Verslag zur Cyberbeveiligingswet (Gesetzentwurf 36.764) und dem parallelen Wet weerbaarheid kritieke entiteiten (36.765) ausgebracht und damit die am 19. Mai 2026 eroeffnete schriftliche Inbreng-Phase formell abgeschlossen. Die Ausschuesse warten nun auf die nota naar aanleiding van het verslag der Regierung, bevor eine Plenardebatte und eine Schlussabstimmung des Senats terminiert werden koennen. Inkrafttreten weiterhin per koninklijk besluit zum 1. Juli 2026 angepeilt; ob das gelingt, haengt jetzt vom Tempo des Kabinetts ab.
BSI veroeffentlicht #nis2know-Infopaket zur Abbildung von ISO/IEC 27001 auf NIS-2 / Section 30 BSIG
Am 2. Juni 2026 hat das BSI seinem #nis2know-Reihe ein ISO/IEC-27001-Infopaket hinzugefuegt, das die Anforderungen aus Section 30 BSIG strukturiert den Controls aus ISO/IEC 27001:2022 in zehn Bereichen gegenueberstellt (Risikoanalyse, Bewaeltigung von Sicherheitsvorfaellen, Business Continuity, Lieferkettensicherheit, Schwachstellenmanagement, Wirksamkeitspruefung, Schulung/Awareness, Kryptografie, Personal-/Zugriffssicherheit, MFA und sichere Kommunikation). Das BSI stellt ausdruecklich klar: 'Eine Zertifizierung nach ISO/IEC 27001 bedeutet nicht automatisch, dass ein Unternehmen NIS-2-konform ist.' Autoritative BSI-Position zur ISO-versus-NIS-2-Frage, die den Beratungs- und Auditmarkt beherrscht.
ENISA startet oeffentliche Konsultation zu Agreed Cryptographic Mechanisms Version 3 fuer EUCC
Die Kryptographie-Untergruppe der ECCG hat mit Unterstuetzung der ENISA einen Entwurf der Version 3 der Agreed Cryptographic Mechanisms zur oeffentlichen Konsultation bis Ende Juli 2026 veroeffentlicht. Das Dokument empfiehlt die bevorzugten kryptographischen Verfahren fuer IKT-Produkte, die zur EUCC-Zertifizierung eingereicht werden, und baut auf Version 2.0 aus Mitte 2025 auf.
ENISA veroeffentlicht NIS360 2026: dritte jaehrliche Reife- und Kritikalitaetsbewertung der NIS2-Sektoren
ENISA veroeffentlicht die dritte Ausgabe von NIS360 zur Bewertung der Cybersicherheitsreife und Kritikalitaet aller Sektoren hoher Kritikalitaet nach Annex I. Vertrauensdienste, Luftverkehr und Finanzmarktinfrastrukturen erreichen hohe Reife. Acht Sektoren liegen in der Risikozone (Reife hinter Kritikalitaet): Gesundheit, Eisenbahn, Schifffahrt, IKT-Service-Management, Weltraum, oeffentliche Verwaltungen, Trinkwasser und Abwasser. Weltraum und Eisenbahn weisen gestiegene Kritikalitaet auf. Jaehrliches Referenzdokument fuer nationale Behoerden und Betreiber zur Priorisierung der NIS2-Aufsicht.
BMI legt Entwurf der neuen KRITIS-Verordnung vor: Schwellenwerte und Sektorliste unter dem KRITIS-Dachgesetz
Das Bundesinnenministerium veroeffentlicht den Referentenentwurf der neuen Verordnung zur Bestimmung kritischer Anlagen, die die bisherige BSI-KritisV unter dem KRITIS-Dachgesetz ersetzt. Der Entwurf nimmt einen neuen Sektor Weltraum auf, behaelt IT und TK in KRITIS und passt Schwellenwerte insbesondere in Energie und Verkehr an. Konsultationsfrist ist der 16. Juni 2026. Bestimmt, welche Betreiber zugleich NIS2-wesentliche Einrichtungen und Betreiber nach KRITIS-Dachgesetz sind.
NIS-Kooperationsgruppe einigt sich auf einheitliche Meldevorlagen
Auf ihrer 39. Plenarsitzung in Zypern hat die NIS-Kooperationsgruppe (Mitgliedstaaten, Europaeische Kommission und ENISA) einheitliche Vorlagen fuer die Meldung von Sicherheitsvorfaellen nach Artikel 23 der NIS-2-Richtlinie vereinbart. Grenzueberschreitend taetige Einrichtungen erhalten damit ein einheitliches Format statt unterschiedlicher nationaler Formulare. Die Kommission will die Vorlagen ueber einen Durchfuehrungsrechtsakt verbindlich machen.
Niederlaendischer Senat: Ausschuesse eroeffnen schriftliche Inbreng-Phase zur Cyberbeveiligingswet (NIS2-Umsetzung)
Die Ausschuesse des Eerste Kamer (Senat) fuer Digitalisierung (DIGI) und Justiz und Sicherheit (J&V) haben am 19. Mai 2026 die Phase der schriftlichen Stellungnahmen ('inbreng voor het verslag') zur Cyberbeveiligingswet (Gesetzentwurf 36.764) und zum parallel behandelten Gesetz weerbaarheid kritieke entiteiten (36.765) eroeffnet. Senatoren reichen ihre Positionen ein, bevor die Ausschuesse am 21. Mai vorlaeufige Kurznotizen formulieren. Die Tweede Kamer hatte den Entwurf am 15. April 2026 verabschiedet. Die Zustimmung des Senats ist der letzte Schritt vor Inkrafttreten, erwartet zum 1. Juli 2026. Die Niederlande gehoeren zu den verbleibenden Nachzueglern bei der NIS-2-Umsetzung.
EU-Kommission veroeffentlicht Entwurf der Leitlinien zur Einstufung als Hochrisiko-KI-System (Art 6 KI-Verordnung)
Die Europaeische Kommission hat am 19. Mai 2026 den Entwurf der Leitlinien zur Einstufung als Hochrisiko-KI-System nach Art 6 der KI-Verordnung (VO (EU) 2024/1689) veroeffentlicht und eine gezielte Stakeholder-Konsultation bis 23. Juni 2026, 22:00 CET eroeffnet. Der 148-seitige Entwurf legt die Auslegung der Kommission zu Art 6(1) (Annex I, eingebettete Sicherheitskomponenten) und Art 6(2) (Annex III, eigenstaendige Hochrisikosysteme) dar und enthaelt praktische Anwendungsbeispiele nach Art 6(5). Relevante Signale fuer NIS-2-regulierte Einrichtungen: Die Hochrisiko-Einstufung fuer Kritische Infrastrukturen nach Art 6(2) + Annex III(2) wird durch eine CER-Benennung (Richtlinie 2022/2557) ausgeloest, nicht durch den NIS-2-Status als 'wesentliche Einrichtung'. Cybersicherheits-KI ist ausdruecklich aus dem Hochrisiko-Bereich ausgenommen (Erwaegungsgrund 55). Auch KI fuer Servicequalitaet/Betrieb ist ausgenommen. Die vier Ausnahmewege nach Art 6(3) bleiben trotz des frueheren Kommissionsvorschlags zur Streichung erhalten. Finale Leitlinien werden nach Abschluss der Konsultation erwartet.
BSI und Mecklenburg-Vorpommern unterzeichnen Kooperationsvereinbarung zur Cybersicherheit (12. Bundesland)
BSI-Praesidentin Claudia Plattner und der Finanz- und Digitalisierungsminister von Mecklenburg-Vorpommern, Dr. Heiko Geue, unterzeichnen in Hamburg eine formale Kooperationsvereinbarung; damit pflegt das BSI nun Kooperationen mit zwoelf Bundeslaendern. Umfasst operative Cybersicherheit, wechselseitigen Informations- und Wissensaustausch und gemeinsame Awareness-Massnahmen. Setzt die Bund-Laender-Koordination fort, die mit Brandenburg am 29. April 2026 startete, und unterstuetzt die NIS-2-Umsetzung in betroffenen oeffentlichen Verwaltungseinrichtungen.
BSI veroeffentlicht G7-Richtlinie zu Software Bill of Materials for AI
BSI und Italiens ACN haben gemeinsam unter den G7-Cybersicherheitsbehoerden und mit der EU-Kommission die Leitlinie 'Software Bill of Materials (SBOM) for Artificial Intelligence' mit Mindestelementen erarbeitet. Das Dokument legt Mindestanforderungen in sieben Informationskategorien fest, darunter KI-Modelle, Trainingsdatenquellen und potenzielle Verzerrungen. BSI-Praesidentin Claudia Plattner: Transparenz ueber die KI-Lieferkette bildet die Grundlage fuer robuste KI-Cybersicherheit. Direkt relevant fuer NIS-2-Lieferkettenrisikomanagement nach Art 21(2)(d) und fuer den AI-Act-Compliance-Pfad.
BMI/BKA Bundeslagebild Cybercrime 2025: rund 335.000 Faelle, 202,4 Mrd. Euro Schaden fuer die deutsche Wirtschaft
Bundesinnenminister Alexander Dobrindt und BKA-Vizepraesidentin Martina Link stellen am 12. Mai 2026 das Bundeslagebild Cybercrime 2025 vor. Rund 335.000 Cybercrime-Faelle im engeren Sinn wurden 2025 registriert; zwei Drittel (207.888) aus dem Ausland oder von unbekannten Orten begangen. Geschaetzter Schaden fuer die deutsche Wirtschaft: 202,4 Mrd. Euro, rund 4,5 Prozent des Bruttoinlandsprodukts. KI-Werkzeuge werden von Angreifern zunehmend eingesetzt; Unternehmen, Behoerden und Kritische Infrastrukturen sind die Hauptziele. Dobrindt rahmt die Antwort im Sinne der NIS-2-Durchsetzung: 'Der Staat darf im digitalen Raum kein Zuschauer sein.' Liefert die politische Kulisse fuer den Eintritt des BSI in die aktive NIS-2-Pruefungsphase ab Mai 2026.
BSI Cybersicherheitsmonitor 2026: Jede zehnte Person in Deutschland im Vorjahr von Cyberkriminalitaet betroffen
Gemeinsame Umfrage von BSI und ProPK ergibt, dass 27% der Deutschen schon einmal Opfer von Cyberkriminalitaet wurden, davon 11% in den letzten zwoelf Monaten. Haeufigste Delikte: Betrug beim Onlineshopping und -banking, Fremdzugriffe auf Konten und Phishing. Nur 14% informieren sich regelmaessig ueber Cybersicherheit; 33% der Betroffenen berichten von finanziellen Verlusten. Der Bericht untermauert die breite Awareness-Luecke, die NIS-2-Aufsicht und BSI-Aufklaerungsprogramme verbraucherseitig adressieren.
Luxemburg setzt NIS 2 um: Gesetz vom 5. Mai 2026 in Kraft
Das luxemburgische Gesetz vom 5. Mai 2026 ueber Massnahmen zur Gewaehrleistung eines hohen Cybersicherheitsniveaus ist am 10. Mai 2026 in Kraft getreten und setzt die NIS-2-Richtlinie um, das frueher gueltige NIS-1-Gesetz wird aufgehoben. Das Institut Luxembourgeois de Regulation (ILR) ist zustaendige Behoerde. Ein Selbstregistrierungsportal fuer betroffene Einrichtungen ist online. Bemerkenswert, weil Luxemburg zu den Nachzueglern gehoerte und wenige Tage zuvor am 29. April 2026 im parallelen CER-Vertragsverletzungsverfahren vor dem EuGH verklagt wurde. Betroffene Einrichtungen muessen sich selbst beim ILR registrieren.
AI Act Digital Omnibus: vorlaeufige politische Einigung erzielt
Rat und Europaeisches Parlament haben am 7. Mai 2026 eine vorlaeufige politische Einigung zum AI Act Digital Omnibus erzielt. Annex III-Hochrisiko-Pflichten verschoben auf den 2. Dezember 2027, Annex I-eingebettete Hochrisiko-Pflichten auf den 2. August 2028. Wasserzeichen-Pflicht nach Art 50(2) verschoben auf den 2. Dezember 2026. Neues Verbot in Art 5 fuer KI zur Erzeugung nicht-einvernehmlicher intimer Aufnahmen und Material zum sexuellen Missbrauch von Kindern. SME-Erleichterungen werden auf kleine Mid-Caps ausgeweitet. Foermliche Annahme durch Rat und Parlament vor dem 2. August 2026 erforderlich.
BSI veroeffentlicht ersten Bericht zur IT-Sicherheit der oeffentlichen Ladeinfrastruktur
BSI und Bundesministerium fuer Verkehr veroeffentlichen den ersten gemeinsamen Bericht zur IT-Sicherheit der oeffentlichen Ladeinfrastruktur in Deutschland. Der Bericht untersucht Schwachstellen in den Protokollen ISO 15118 und OCPP sowie Software-Schwaechen bei Ladepunktbetreibern und schlaegt konkrete Sicherheitsmassnahmen vor. Das BSI positioniert Ladeinfrastruktur an der Schnittstelle der NIS-2-Sektoren Verkehr und Energie: Ausfaelle reichen von Mobilitaetsstoerungen bis hin zu Auswirkungen auf das Stromnetz.
BSI startet CyberGovSecure: koordinierte NIS-2-Umsetzung in der Bundesverwaltung
BSI, CISO Bund und das Bundesministerium fuer Digitales und Staatsmodernisierung haben am 4. Mai 2026 CyberGovSecure gestartet, ein strukturiertes ressortuebergreifendes Programm zur Umsetzung von Cybersicherheitsmassnahmen in allen Bundesbehoerden. BSI-Praesidentin Claudia Plattner bezeichnet es als zentralen Baustein der NIS-2-Umsetzung in der Bundesverwaltung. Umsetzungsverantwortung liegt bei jeder Behoerde; das BSI begleitet technisch und organisatorisch.
BSI und Brandenburg unterzeichnen Kooperationsvereinbarung zur Cybersicherheit
BSI-Praesidentin Claudia Plattner und der brandenburgische Staatssekretaer Ernst Buerger unterzeichnen eine formale Kooperationsvereinbarung mit zehn Handlungsfeldern: operative Cybersicherheit (Informationsmanagement, Sicherheitstests und -uebungen), gemeinsame Awareness- und Schulungsprogramme sowie wechselseitiger Austausch zum Aufbau von Fachkompetenz. Staerkt die Bund-Laender-Koordination zur Unterstuetzung der NIS2-Umsetzung in betroffenen oeffentlichen Verwaltungseinrichtungen.
Kommission verklagt 7 Mitgliedstaaten vor dem EuGH wegen fehlender CER-Umsetzung
Die Europaeische Kommission hat am 29. April 2026 entschieden, Bulgarien, Frankreich, Luxemburg, die Niederlande, Polen, Spanien und Schweden vor dem EuGH wegen fehlender Umsetzung der CER-Richtlinie (EU 2022/2557) zu verklagen und in allen Faellen finanzielle Sanktionen zu beantragen. CER und NIS 2 teilen die gleiche Umsetzungsfrist vom 17. Oktober 2024. Erste grosse EuGH-Durchsetzung im Paket. Verfahrensablauf: Aufforderungsschreiben November 2024, mit Gruenden versehene Stellungnahme Juli 2025, EuGH-Klage April 2026. Starkes Durchsetzungssignal fuer das parallele NIS-2-Vertragsverletzungsverfahren.
BSI veroeffentlicht C3A-Kriterienrahmen fuer Cloud-Souveraenitaet
BSI veroeffentlicht das Rahmenwerk Criteria enabling Cloud Computing Autonomy (C3A), das transparente Souveraenitaetsstandards fuer Cloud-Dienste festlegt. C3A ergaenzt den bestehenden C5-Katalog und adressiert 'Cyber Dominance', die Faehigkeit von Cloud-Herstellern, dauerhaften Zugang zu Kundensystemen und -daten zu behalten. Cloud-Anbieter muessen C5-Voraussetzungen erfuellen; das Rahmenwerk laesst Flexibilitaet bei der Datenlokalisierung (Deutschland oder EU). Ausgerichtet am European Cloud Sovereignty Framework (EU CSF). Nicht regulatorisch verpflichtend; ergaenzt, ersetzt aber NIS2-Cloud-Zertifizierungswege nicht.
Oeffentliche Feedbackfrist fuer vorgeschlagene NIS2-Richtlinienaenderungen endet
Die oeffentliche Feedbackfrist fuer die von der Europaeischen Kommission vorgeschlagenen NIS2-Aenderungen (veroeffentlicht am 20. Januar 2026) endet heute. Vorschlaege umfassen Seekabel-Infrastruktur im Anwendungsbereich, Kategorie kleine Midcap-Unternehmen, Ransomware-Meldedetails, verstaerkte ENISA-Rolle bei grenzueberschreitender Aufsicht und zertifizierungsbasierte Compliance-Pfade. Es folgt das ordentliche Gesetzgebungsverfahren in Parlament und Rat.
ENISA veroeffentlicht National Capabilities Assessment Framework 2.0
ENISA hat NCAF 2.0 veroeffentlicht, eine aktualisierte Methodik zur Bewertung nationaler Cybersicherheitsfaehigkeiten und Strategiereife. Ausgerichtet auf den NIS2-Artikel-19-Peer-Review-Prozess. Unterstuetzt Mitgliedstaaten bei der Identifizierung von Staerken, Luecken und Prioritaetsbereichen in der Cybersicherheit.
Belgien setzt erste NIS2-Compliance-Frist durch: wesentliche Einrichtungen muessen Cybersicherheitsstatus nachweisen
Belgien wird das erste EU-Land mit Ex-ante-NIS2-Aufsicht. Bis zum 18. April muessen wesentliche Einrichtungen verifizierte Cybersicherheitsdokumentation ueber einen von drei Wegen einreichen: CyberFundamentals (CyFun)-Verifizierung, ISO/IEC 27001-Zertifizierung oder direkten CCB-Inspektionsantrag. Bei Nichteinhaltung drohen Verwaltungsmassnahmen und Bussgelder bis 10 Mio. EUR oder 2% des Umsatzes. Volle Zertifizierung bis 18. April 2027.
BSI veroeffentlicht Handreichung v1.0 zur Geschaeftsleitungs-Schulungspflicht nach §38(3) BSIG
Das BSI hat am 17. April 2026 die Version 1.0 der 24-seitigen Handreichung 'Schulung fuer Geschaeftsleitungen' veroeffentlicht und damit die vorlaeufige v0.9 vom September 2025 nach Abstimmung mit Bitkom, DIHK, GI, VDMA, Zentralverband Handwerk und ZVEI aktualisiert. Das Dokument definiert die Erwartungen der Aufsicht an die Schulungspflicht nach §38(3) BSIG in drei Bloecken: Schulungsorganisation (Adressaten, Intervall, Formate, Anbieter, Nachweis), empfohlene Inhalte (SOLL/KANN-Struktur zu Risikoanalyse, Risikomanagementpraktiken und Auswirkungen) und einen strukturierten Selbst-Check (10 Abschnitte mit Leitfragen samt hilfreichen vs Alarm-Antworten). Acht Schulungsformate werden ausdruecklich empfohlen, u.a. Risikomanagement-Quarterlies mit dem ISB, Tabletop-Uebungen, Audit-Simulationen und Management Red/Blue Teaming. Die Dokumentation muss Anbieter, Teilnehmende mit Rolle, Datum/Uhrzeit/Dauer und behandelte Inhalte mit Bezug zu den gesetzlichen Vorgaben enthalten.
21. Deutscher IT-Sicherheitskongress abgeschlossen: 8.000 Teilnehmer, NIS2 und KI-Sicherheit im Fokus
Das BSI veranstaltet den 21. IT-Sicherheitskongress in Bonn am 15.-16. April unter dem Motto 'Cybernation Deutschland'. Acht Sessions behandeln NIS-2-Umsetzung, KI-Sicherheit, Post-Quanten-Kryptografie, Zero Trust, sichere Lieferketten und digitale Identitaet. Hybrid-Workshops befassen sich mit Grundschutz++ 'Stand der Technik' und EUDI-Wallet-Themen. Kongressinhalte bleiben bis 15. Mai abrufbar.
Niederlande verabschieden Cyberbeveiligingswet (NIS2-Umsetzung) in der Zweiten Kammer
Die niederlaendische Tweede Kamer hat am 15. April 2026 die Cyberbeveiligingswet und die Wet weerbaarheid kritieke entiteiten (CER-Umsetzung) verabschiedet. Die Cyberbeveiligingswet ersetzt das bestehende Wbni und setzt NIS2-Pflichten um, einschliesslich Sorgfaltspflichten, Meldepflichten und Registrierung. Inkrafttreten voraussichtlich 1. Juli 2026 nach Zustimmung des Senats.
BSI-Kongress zeigt NIS-2-Umsetzung weit hinter Erwartungen: Unternehmen vermeiden bewusst Registrierung
Auf dem 21. IT-Sicherheitskongress enthuellte BSI-Beamter Manuel Bach, dass die NIS-2-Registrierung weit hinter den Erwartungen zurueckbleibt. Fast 50% der deutschen Unternehmen hatten den Begriff 'NIS-2' bis Ende 2025 noch nie gehoert. Manche Unternehmen vermeiden bewusst die Registrierung nach Ruecksprache mit Geschaeftsfuehrung und Rechtsberatung. Bach verglich Nichteinhaltung mit Steuerpflicht: 'Man kann nicht selbst entscheiden, ob es gilt.'
DENIC startet Phase-2-Risikoprüfung fuer .de-Domains unter NIS2
DENIC aktiviert Phase 2 der NIS2-Umsetzung fuer .de-Domain-Registrierungen. Ein automatisiertes Risikobewertungssystem nach Ampelprinzip (Niedrig/Verdaechtig/Hohes Risiko) klassifiziert nun alle Kontakt- und Domain-Auftraege. Auffaelligkeiten in Registrierungsdaten loesen Verifizierungsanfragen an das zustaendige DENIC-Mitglied aus. Nicht verifizierte Domains droht DNS-Quarantaene und Loeschung. Phase 1 (6. Dezember 2025) hatte bereits Inhaberdaten juristischer Personen im WHOIS oeffentlich gemacht. Betrifft alle ~17 Millionen .de-Domains.
BSI veroeffentlicht Kriterienkatalog C5:2026 fuer Cloud-Computing
Das BSI hat den C5:2026 veroeffentlicht, die aktualisierte Version des Kriterienkatalogs fuer sicheres Cloud-Computing als Nachfolger der Fassung von 2020. Die neue Edition deckt Container-Management, Post-Quanten-Kryptographie und Confidential Computing ab, ist am europaeischen EUCS-Zertifizierungsschema ausgerichtet und beruecksichtigte ausdruecklich die NIS2-Richtlinie sowie ISO/IEC 27001:2022 und die CSA Cloud Controls Matrix v4 bei der Entwicklung. Wird erstmals auch in maschinenlesbarem Format bereitgestellt.
Polens novelliertes KSC-Gesetz tritt in Kraft: 42.000 Einrichtungen nun betroffen
Polens novelliertes Gesetz ueber das nationale Cybersicherheitssystem (KSC) tritt am 3. April 2026 in Kraft und erweitert den NIS2-Anwendungsbereich von ~400 auf ~42.000 Organisationen, darunter ~28.000 oeffentliche Einrichtungen. Neue Sektoren: Lebensmittelproduktion, Abfallwirtschaft, Chemie, Postdienste, Fertigung. Einrichtungsregister am 13. April ueber S46-Plattform gestartet. Selbstregistrierungsfrist: 3. Oktober 2026. Volle Compliance bis 3. April 2027.
Portugal: Decreto-Lei n.º 125/2025 tritt in Kraft
Die portugiesische NIS 2 Umsetzung tritt am 3. April 2026 in Kraft, 120 Tage nach Veroeffentlichung. Benennung des Cybersicherheitsverantwortlichen innerhalb von 20 Arbeitstagen nach Inkrafttreten. CNCS betreibt die elektronische Registrierungsplattform.
Polen: UKSC-Novelle vom 23. Januar 2026 tritt in Kraft
Die polnische UKSC-Novelle tritt am 3. April 2026 in Kraft. Ministerstwo Cyfryzacji ist die federfuehrende zustaendige Behoerde; drei nationale CSIRTs arbeiten parallel (CSIRT NASK fuer Privatwirtschaft, CSIRT GOV bei der ABW, CSIRT MON fuer den militaerischen Bereich). Zwoelfmonatige Frist zur Umsetzung der Sicherheitsmassnahmen aus Kapitel 3 (bis 3. April 2027).
BSI veroeffentlicht Grundschutz++ Methodikleitfaden: PDCA-basiertes ISMS-Rahmenwerk
BSI veroeffentlicht den ersten Methodikleitfaden fuer Grundschutz++, der ein zukunftsorientiertes Rahmenwerk fuer den systematischen Aufbau eines ISMS auf Basis des PDCA-Zyklus etabliert. Der Leitfaden integriert strategische Verankerung, Anforderungsanalyse, Umsetzung, Ueberwachung und kontinuierliche Verbesserung. Derzeit nur fuer Pilotprojekte vorgesehen. Edition 2023 bleibt bis 2028 die gueltige Audit-Referenz.
EDPB und EDSB verabschieden gemeinsame Stellungnahme 4/2026 zu NIS2-Änderungen und Cybersecurity Act 2
EU-Datenschutzbehörden befürworten formell die Stärkung der Cybersicherheit und fordern zugleich Datenschutz-Leitplanken: Begrüßung von Digital-Identity-Wallet-Anbietern als wesentliche Einrichtungen, Forderung nach ENISA-EDPB-Konsultation vor Verabschiedung von Zertifizierungsschemata mit Personendatenbezug, Empfehlung einer zentralen Meldestelle für Datenpannen zur Reduktion des Verwaltungsaufwands und Klarstellung der Überschneidung von DSGVO- und Cybersicherheitszertifizierung.
BSI und Govdigital kündigen 'Cyberdome' an: automatisierte Cyberabwehr für 10 Bundesländer
BSI und der öffentliche IT-Dienstleisterverbund Govdigital kündigen Cyberdome an: sensorbasierte automatisierte Cyberabwehr-Infrastruktur in 10 Bundesländern und Kommunen mit BSI-vernetzter Echtzeitüberwachung.
KRITIS-Dachgesetz tritt in Kraft: physische Sicherheit zusätzlich zu NIS2-Cyberanforderungen
Deutschlands CER-Richtlinien-Umsetzung (KRITIS-Dachgesetz) tritt in Kraft und ergänzt NIS2-Cybersicherheit um physische Sicherheits- und Resilienzanforderungen. Erfordert BCMS neben ISMS, physische Sicherheitskontrollen und dreijährige Audits. Bußgelder bis 1 Mio. €.
Cyber Security Report 2026: 92% der kleinen deutschen Unternehmen unterschatzen NIS2-Betroffenheit
Der Cyber Security Report 2026 von Schwarz Digits befragt 1.001 deutsche Unternehmen und stellt fest, dass 48% irrtümlich annehmen, nicht von NIS2 betroffen zu sein. Bei kleinen Unternehmen (10-49 Mitarbeiter, >10 Mio. € Umsatz) erreicht die Fehleinschätzung 92%, obwohl sie die regulatorische Schwelle erfüllen.
BSI veröffentlicht NIS2-FAQ speziell für die öffentliche Verwaltung
BSI veröffentlicht eine spezielle FAQ zu NIS2-Anwendbarkeit und Compliance-Anforderungen für Bundes-, Landes- und Kommunalverwaltungen.
BSI veroeffentlicht NIS-2-Checkliste zur schrittweisen Umsetzungspruefung
Das BSI hat am 13. Maerz 2026 eine herunterladbare NIS-2-Checkliste veroeffentlicht, die als praktisches Schritt-fuer-Schritt-Werkzeug die Umsetzung der NIS-2-/BSIG-Pflichten in betroffenen Einrichtungen pruefbar macht. Die Checkliste ist Teil des #nis2know-Downloads-Pakets, neben dem Betroffenheits-Entscheidungsbaum und der zeitgleich veroeffentlichten FAQ fuer die oeffentliche Verwaltung. Mittlerweile in Version 9, was auf laufende Iteration nach Praxis-Rueckmeldungen hinweist. Adressiert Registrierung, Governance, Risikomanagement, Lieferkette, Meldepflichten und Schulungen.
ENISA veröffentlicht technischen Leitfaden zur sicheren Nutzung von Paketmanagern
Neuer Leitfaden zum sicheren Software-Entwicklungszyklus mit Fokus auf Paketmanager-Sicherheit, direkt relevant für NIS2-Lieferkettensicherheitsanforderungen (Art. 21(2)(d)).
22 von 27 EU-Mitgliedstaaten haben NIS2-Umsetzung abgeschlossen
Cullen International meldet: 22 EU-Staaten haben NIS2 umgesetzt. Funf fehlen noch: Frankreich, Irland, Luxemburg, Niederlande (Gesetzgebung im Parlament) und Spanien (kein Entwurf eingereicht). Spanien ist am weitesten zuruckgeblieben.
BSI-Registrierungsfrist läuft ab: Bußgelder für Nicht-Registrierung jetzt möglich
Drei Monate nach Inkrafttreten des BSIG läuft die Pflicht-Registrierungsfrist am BSI-Portal ab. Verspätete Registrierung wird noch angenommen, aber Bußgelder bis 10 Mio. € oder 2% des Jahresumsatzes sind nun rechtlich durchsetzbar.
Nur ~11.500 von ~29.500 betroffenen Einrichtungen haben sich bis zur Frist registriert
Bis zur Frist am 6. März haben sich rund 11.500 Behörden, Unternehmen und kritische Einrichtungen unter NIS2 beim BSI registriert, etwa 18.000 der 29.500 verpflichteten Einrichtungen fehlen noch. Laut BSI-Sprecher bleibt unklar, ob die ursprüngliche Schätzung zu hoch war oder ob viele Betroffene ihrer Meldepflicht nicht nachgekommen sind.
BOS-Digitalfunk-Betreiber erhält ISO 27001/IT-Grundschutz-Zertifizierung
Der Betreiber des deutschen BOS-Digitalfunknetzes für Behörden und Organisationen mit Sicherheitsaufgaben erreicht ISO 27001-Zertifizierung auf IT-Grundschutz-Basis.
Polen veroeffentlicht UKSC-Novelle im Dziennik Ustaw (Dz.U. 2026 poz. 252)
Am 23. Januar 2026 vom Sejm verabschiedet, am 19. Februar 2026 vom Praesidenten unterzeichnet, wird die Novelle des polnischen Cybersicherheitsgesetzes (UKSC) am 2. Maerz 2026 als Dz.U. 2026 poz. 252 im Dziennik Ustaw veroeffentlicht. Aendert 21 Gesetze einschliesslich des UKSC von 2018. Inkrafttreten am 3. April 2026.
Öffentliche Kommentierungsphase für technische CRA-Compliance-Richtlinie eröffnet
BSI eröffnet öffentliche Kommentierungsphase für die technische Compliance-Richtlinie zum Cyber Resilience Act (CRA), die Produktsicherheitsanforderungen mit NIS2-Lieferkettenplichten verbindet.
BMI veröffentlicht Entwurf des Cybersicherheitsstärkungsgesetzes: neue Pflichten für NIS2-regulierte Unternehmen
Bundesinnenministerium stellt den Entwurf des Gesetzes zur Stärkung der Cybersicherheit vor. BKA, Bundespolizei und BSI erhalten aktive Cyberabwehr-Befugnisse einschließlich Störung von Angreifer-Infrastruktur. Neue Pflichten für NIS2-regulierte Unternehmen: Kooperationspflicht bei staatlichen Cyberoperationen, BSI-vernetzte Angriffserkennung und DNS-basierter Kundenschutz. Bußgelder bis 20 Mio. € oder 2% des weltweiten Jahresumsatzes. ~375 neue Stellen bis 2030 nötig.
Polen unterzeichnet NIS2-Umsetzung: tritt am 2. April 2026 in Kraft
Präsident Nawrocki unterzeichnet die Novelle des polnischen Gesetzes über das nationale Cybersicherheitssystem (UKSC) zur NIS2-Umsetzung. Inkrafttreten am 2. April nach einmonatiger Vacatio legis. Registrierungsfrist: 3. Oktober 2026. Volle Compliance-Frist: 3. April 2027. Der Präsident verweist gleichzeitig Regelungen zu Hochrisiko-Anbietern und Sanktionen an das Verfassungsgericht.
ENISA veröffentlicht Methodik-Rahmenwerk für Cybersicherheitsübungen
Neue Methodik für Planung, Durchführung und Auswertung von Cybersicherheitsübungen, relevant für NIS2-Einrichtungen, die Incident-Response-Fähigkeiten nach Art. 21 testen müssen.
NIS-Kooperationsgruppe verabschiedet ICT-Lieferketten-Sicherheits-Toolbox
Die NIS-Kooperationsgruppe veroeffentlicht ein gemeinsames Rahmenwerk zur Identifikation, Bewertung und Minderung von Cybersicherheitsrisiken in IKT-Lieferketten. Die Toolbox umfasst Risikoszenarien, Minderungsmassnahmen und Leitlinien zur Reduzierung von Abhaengigkeiten von Hochrisiko-Lieferanten. Begleitet von sektorspezifischen Risikobewertungen fuer vernetzte Fahrzeuge und Detektionsgeraete.
Bulgarien: NIS-2-Umsetzung (Aenderung des Cybersicherheitsgesetzes) verkuendet und in Kraft
Die NIS-2-Richtlinie (EU) 2022/2555 wird in Bulgarien durch das Gesetz zur Aenderung und Ergaenzung des Cybersicherheitsgesetzes umgesetzt, am 5. Februar 2026 von der Nationalversammlung verabschiedet und im Staatsanzeiger (Darzhaven vestnik) Ausgabe 17 vom 13. Februar 2026 verkuendet. Es teilt die verpflichteten Organisationen in wesentliche und wichtige Einrichtungen und fuehrt Verantwortlichkeit der Leitung sowie Risikomanagementpflichten ein; fuer erste Verstoesse gelten bis 1. Juli 2026 ermaessigte Bussgelder.
ENISA veröffentlicht internationale Strategie für Cybersicherheitskooperation
ENISA veröffentlicht ihre internationale Kooperationsstrategie, die beschreibt, wie die Agentur mit Nicht-EU-Partnern bei Cybersicherheitsstandards und Bedrohungsinformationsaustausch zusammenarbeitet.
Südwestfalen-IT erhält ISO 27001-Zertifizierung auf Basis von IT-Grundschutz
Nach dem verheerenden Ransomware-Angriff 2023 erreicht der kommunale IT-Dienstleister Südwestfalen-IT die ISO 27001-Zertifizierung auf Basis von IT-Grundschutz als Nachweis der Wiederherstellung und Sicherheitsreife.
EU schlägt NIS2-Änderungen vor: neue Einrichtungstypen, Harmonisierungsgrenze, PQC-Migration
Europäische Kommission stellt Cybersicherheitspaket mit gezielten NIS2-Änderungen vor: Seekabel-Infrastruktur und Digital-Wallet-Anbieter aufgenommen, neue Kategorie 'kleine Midcap' (~22.500 Unternehmen), verpflichtende Ransomware-Meldedetails und Post-Quanten-Kryptografie-Migrationsfristen (2030/2035).
Schweden: Cybersäkerhetslagen (SFS 2025:1506) tritt in Kraft
Die schwedische NIS 2 Umsetzung tritt am 15. Januar 2026 in Kraft. Das alte NIS 1 Gesetz von 2018 wird aufgehoben, gilt aber weiterhin fuer Sachverhalte vor diesem Datum.
Erstes EUCC-Cybersicherheitszertifikat unter EU-Rahmenwerk ausgestellt
Das erste europäische Cybersicherheitszertifikat (EUCC) wird ausgestellt und etabliert ein gemeinsames EU-weites Zertifizierungsschema, mit dem NIS2-Einrichtungen Compliance nachweisen können.
BSI-NIS2-Registrierungsportal geht online
BSI startet portal.bsi.bund.de für NIS2-Registrierung und Vorfallsmeldung. Registrierung erfordert ein ELSTER-Organisationszertifikat (5-10 Werktage Bearbeitungszeit).
Grundschutz++ Übergangsphase beginnt: Parallelbetrieb bis 2029
BSI startet offiziell die Modernisierungs-Übergangsphase für Grundschutz++. Maschinenlesbares OSCAL/JSON-Format ersetzt PDF/Excel. Edition 2023 bleibt während der Übergangsphase bis 2029 für Audits gültig.
Daenemark: CFCS wird Teil von SAMSIK
Am 1. Januar 2026 wird das Center for Cybersikkerhed (CFCS) Teil der neu gegruendeten Behoerde fuer Gesellschaftssicherheit (SAMSIK) unter dem Ministerium fuer Gesellschaftssicherheit und Bereitschaft. CFCS betreibt weiterhin das nationale CSIRT unter Forsvarets Efterretningstjeneste; cfcs.dk leitet jetzt auf samsik.dk weiter.
Schweden: MSB wird in MCF (Myndigheten för civilt försvar) umbenannt
Am 1. Januar 2026 wird die schwedische Behoerde fuer Gesellschaftsschutz und Bereitschaft (MSB) in Myndigheten för civilt försvar (MCF) umbenannt. MCF betreibt weiterhin CERT-SE als nationales CSIRT und ist EU-Anlaufstelle fuer NIS 2.
Estland: geaenderte Kuberturvalisuse seadus (NIS-2-Umsetzung) tritt in Kraft
Die NIS-2-Richtlinie (EU) 2022/2555 wird in Estland durch das Gesetz zur Aenderung der Kuberturvalisuse seadus und weiterer Gesetze (Kueberturvalisuse seaduse ja teiste seaduste muutmise seadus) umgesetzt, das am 1. Januar 2026 in Kraft trat und den Kreis der wesentlichen und wichtigen Einrichtungen mit Cybersicherheitspflichten erweitert.
2025
Oesterreich erlaesst NIS-2-Umsetzung (NISG 2026)
Die NIS-2-Richtlinie (EU) 2022/2555 wurde durch das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026), BGBl. I Nr. 94/2025, in oesterreichisches Recht umgesetzt, veroeffentlicht am 23. Dezember 2025. Das Gesetz wurde erlassen, tritt aber erst am 1. Oktober 2026 in Kraft. Bis dahin gilt weiterhin das NISG 2018.
Schweden: Cybersäkerhetslagen (SFS 2025:1506) ausgefertigt
Cybersäkerhetslagen (SFS 2025:1506) (Schwedens NIS 2 Umsetzung) wird am 11. Dezember 2025 auf Basis der Proposition 2025/26:28 'Ett starkt skydd för nätverks- och informationssystem' ausgefertigt. Inkrafttreten am 15. Januar 2026. Dezentrale Aufsicht ueber Sektorregulatoren; MCF (Myndigheten för civilt försvar) ist nationale Anlaufstelle und Traeger von CERT-SE.
BSIG tritt in Kraft: NIS2 ist Gesetz in Deutschland
Das novellierte BSIG tritt am Nikolaustag in Kraft, über ein Jahr nach der EU-Umsetzungsfrist. Keine Übergangszeit: alle Pflichten gelten sofort für ~29.500 betroffene Einrichtungen.
NIS2UmsuCG im Bundesgesetzblatt veröffentlicht (BGBl. 2025 I Nr. 301)
Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz wird im Bundesgesetzblatt veröffentlicht und tritt am Folgetag in Kraft.
Portugal veroeffentlicht Decreto-Lei n.º 125/2025 im Diário da República
Die portugiesische NIS 2 Umsetzung erscheint am 4. Dezember 2025 im Diário da República. Decreto-Lei n.º 125/2025 begruendet das Regime Jurídico da Cibersegurança mit dem CNCS (Centro Nacional de Cibersegurança) als federfuehrender Behoerde und CERT.PT als nationalem CSIRT (in das CNCS integriert). Inkrafttreten am 3. April 2026 (120 Tage nach Veroeffentlichung).
Bundestag verabschiedet NIS2UmsuCG: Deutschlands NIS2-Umsetzungsgesetz
Der Bundestag verabschiedet das NIS2UmsuCG in 2. und 3. Lesung. Stimmen: CDU/CSU + SPD + AfD dafür, Grüne dagegen, Die Linke enthält sich. Rund 29.500 Einrichtungen fallen nun unter BSI-Aufsicht.
Koalition einigt sich auf NIS2UmsuCG-Kompromisse: Ex-post-Modell für kritische Komponenten
CDU/CSU-SPD-Koalition einigt sich: Regulierung kritischer Komponenten wechselt von Ex-ante-Genehmigung zu Ex-post-Meldung. CISO-Rolle des Bundes an BSI in Bonn übertragen.
Tschechien: Zákon č. 264/2025 Sb. o kybernetické bezpečnosti tritt in Kraft
Zákon č. 264/2025 Sb. tritt am 1. November 2025 in Kraft. Erste Welle (Einrichtungen, die zum Stichtag im Anwendungsbereich sind) muss sich bis 31. Dezember 2025 ueber portal.nukib.gov.cz selbst identifizieren und registrieren. Spaeter erfasste Einrichtungen haben 60 Tage.
BSI veröffentlicht Grundschutz++ Vorschau auf GitHub (OSCAL/JSON)
BSI veröffentlicht die Stand-der-Technik-Bibliothek auf GitHub mit Vorschau abstrakter Anforderungen im OSCAL/JSON-Format. Nicht produktionsreif: nur erster Entwurf, konkrete Maßnahmen werden noch ergänzt.
Tschechien veroeffentlicht Cybersicherheitsgesetz 264/2025 Sb. in der Sbírka zákonů
Am 11. Juni 2025 verabschiedet, am 4. August 2025 in der tschechischen Gesetzessammlung veroeffentlicht, loest das neue Zákon č. 264/2025 Sb. o kybernetické bezpečnosti das Cybersicherheitsgesetz von 2014 ab und setzt NIS 2 um. NÚKIB ist die federfuehrende Aufsicht; GovCERT.CZ ist Teil des NÚKIB; CSIRT.CZ wird von CZ.NIC betrieben. Zweistufiges Modell (hoehere / niedrigere Bedeutung). Sanktionsobergrenze 250 Mio. CZK fuer das hoehere Regime.
Bundeskabinett beschließt NIS2UmsuCG-Gesetzentwurf
Das Bundeskabinett beschließt den Entwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes und leitet ihn an das Parlament weiter. Das Gesetz wurde wegen der verpassten EU-Frist im Eilverfahren behandelt.
Rumaenien: NIS-2-Umsetzung (OUG 155/2024, bestaetigt durch Gesetz 124/2025) tritt in Kraft
Die NIS-2-Richtlinie (EU) 2022/2555 wird in Rumaenien durch die Dringlichkeitsverordnung OUG 155/2024 vom 30. Dezember 2024 (Monitorul Oficial Nr. 1332 vom 31. Dezember 2024) umgesetzt, mit Aenderungen bestaetigt durch Gesetz 124/2025 (Monitorul Oficial Nr. 638 vom 7. Juli 2025), in Kraft seit 10. Juli 2025. Das DNSC ist die zustaendige nationale Cybersicherheitsbehoerde fuer wesentliche und wichtige Einrichtungen.
Daenemark: NIS 2-loven (LOV nr 434) tritt in Kraft
Vom Folketing am 29. April 2025 verabschiedet, am 6. Mai 2025 unterzeichnet, tritt das daenische NIS 2 Gesetz (Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau) am 1. Juli 2025 in Kraft. Selbstregistrierung ueber virk.dk mit MitID bis 1. Oktober 2025. Energiesektor folgt dem parallelen LOV nr 258 vom 6. Maerz 2025.
ENISA veröffentlicht NIS2-Leitfaden zur technischen Umsetzung v1.0
170-seitiges Dokument, das CIR 2024/2690 in praktische Maßnahmen in 13 Themenbereichen mit Nachweisbeispielen und Standards-Zuordnungen übersetzt. Primäre Referenz für die NIS2-Compliance-Umsetzung.
Slowenien: Informationssicherheitsgesetz (ZInfV-1) (NIS-2-Umsetzung) tritt in Kraft
Die NIS-2-Richtlinie (EU) 2022/2555 wird in Slowenien durch das Informationssicherheitsgesetz (Zakon o informacijski varnosti, ZInfV-1) umgesetzt, veroeffentlicht im Uradni list RS 40/25 am 4. Juni 2025 und in Kraft seit 19. Juni 2025. Es definiert wesentliche und wichtige Einrichtungen und weist die Aufsicht der nationalen Informationssicherheitsbehoerde URSIV zu.
EK sendet mit Gründen versehene Stellungnahmen an 19 Mitgliedstaaten wegen verspäteter NIS2-Umsetzung
Die Europäische Kommission verschärft Vertragsverletzungsverfahren gegen 19 Mitgliedstaaten, die die NIS2-Richtlinie nicht fristgerecht bis Oktober 2024 umgesetzt haben.
Kommission sendet mit Gruenden versehene Stellungnahme an 19 Mitgliedstaaten wegen NIS 2 Umsetzungsversaeumnis
Schritt 2 des Vertragsverletzungsverfahrens: 19 Mitgliedstaaten, die die NIS 2 Umsetzung bis zur Frist am 17. Oktober 2024 nicht vollstaendig notifiziert hatten, erhalten von der Kommission eine mit Gruenden versehene Stellungnahme. Auf der Liste stehen Deutschland, Frankreich, Spanien, Niederlande, Schweden, Finnland, Daenemark, Portugal, Irland, Polen und weitere. Naechster Schritt: Klage beim EuGH.
Zypern setzt NIS 2 mit Gesetz 60(I)/2025 um
Die NIS-2-Richtlinie (EU) 2022/2555 wurde durch das Gesetz ueber die Sicherheit von Netz- und Informationssystemen (Aenderung) von 2025, Gesetz 60(I)/2025, in zyprisches Recht umgesetzt. Es aendert das Gesetz 89(I)/2020 und trat am 25. April 2025 in Kraft. Die Aenderung erweitert den Kreis der wesentlichen und wichtigen Einrichtungen und verschaerft die Pflichten zu Risikomanagement und Vorfallsmeldung.
Finnland: Kyberturvallisuuslaki 124/2025 tritt in Kraft
Das finnische Parlament hat die Kyberturvallisuuslaki am 13. Maerz 2025 verabschiedet; sie tritt als Gesetz 124/2025 am 8. April 2025 in Kraft. Erste Registrierungsfrist 8. Mai 2025. Traficom koordiniert; NCSC-FI ist nationales CSIRT und EU-Anlaufstelle. Dezentrale Aufsicht ueber Sektorregulatoren (Energiavirasto, Finanssivalvonta, Tukes).
Malta erlaesst NIS-2-Umsetzung durch Legal Notice 71 von 2025
Die NIS-2-Richtlinie (EU) 2022/2555 wurde durch die Verordnung ueber Massnahmen fuer ein hohes gemeinsames Cybersicherheitsniveau in der Europaeischen Union (Malta) von 2025, Legal Notice 71 von 2025 (S.L. 460.41), in maltesisches Recht umgesetzt, veroeffentlicht im Regierungsanzeiger Nr. 21.418 vom 8. April 2025. Ihre Bestimmungen treten zu vom zustaendigen Minister festgelegten Zeitpunkten in Kraft (gestufte Inkraftsetzung).
Ungarn: Gesetz LXIX von 2024 ueber Cybersicherheit tritt in Kraft
Die NIS-2-Richtlinie (EU) 2022/2555 wird in Ungarn durch das Gesetz LXIX von 2024 ueber die Cybersicherheit Ungarns (2024. evi LXIX. torveny) umgesetzt, vom Parlament am 20. Dezember 2024 verabschiedet und seit 1. Januar 2025 in Kraft. Es loest die fruehere Teilumsetzung (Gesetz XXIII von 2023) ab und buendelt die ungarische Cybersicherheitsregelung in einem von der SZTFH beaufsichtigten Rahmen.
Slowakei: Gesetz 366/2024 Z.z. zur Aenderung des Cybersicherheitsgesetzes (NIS-2-Umsetzung) tritt in Kraft
Die NIS-2-Richtlinie (EU) 2022/2555 wird in der Slowakei durch das Gesetz 366/2024 Z.z. zur Aenderung des Gesetzes 69/2018 Z.z. ueber Cybersicherheit (zakon o kybernetickej bezpecnosti) umgesetzt, in Kraft seit 1. Januar 2025. Es erweitert den Kreis der regulierten Einrichtungen und weist die Aufsicht der Nationalen Sicherheitsbehoerde (NBU) zu.
2024
Griechenland setzt NIS 2 mit Gesetz 5160/2024 um
Die NIS-2-Richtlinie (EU) 2022/2555 wurde durch das Gesetz 5160/2024 in griechisches Recht umgesetzt, veroeffentlicht im Regierungsanzeiger FEK A' 195 vom 27. November 2024 und seither in Kraft. Das Gesetz ordnet den nationalen Cybersicherheitsrahmen unter der nationalen Cybersicherheitsbehoerde neu und erweitert den Kreis der wesentlichen und wichtigen Einrichtungen.
CIR 2024/2690 tritt in Kraft
Die Durchführungsverordnung wird 20 Tage nach Veröffentlichung in allen EU-Mitgliedstaaten verbindlich und legt die technische Grundlage für NIS2-Compliance fest.
CIR 2024/2690 veröffentlicht: Durchführungsverordnung zu technischen NIS2-Anforderungen
Durchführungsverordnung (EU) 2024/2690 veröffentlicht. Sie legt technische und methodische Anforderungen an NIS2-Cybersicherheits-Risikomanagementmaßnahmen für digitale Infrastruktur- und Dienstleister fest.
Belgien: Gesetz vom 26. April 2024 (NIS 2) tritt in Kraft
Belgien haelt die EU-Frist ein. Das Loi du 26 avril 2024 (im Moniteur belge am 17. Mai 2024 veroeffentlicht) tritt am 18. Oktober 2024 in Kraft. Das CCB betreibt Safeonweb@Work als nationales Registrierungsportal; CERT.be liegt innerhalb des CCB.
Litauen: geaendertes Cybersicherheitsgesetz (NIS-2-Umsetzung) tritt in Kraft
Die NIS-2-Richtlinie (EU) 2022/2555 wird in Litauen durch das Cybersicherheitsgesetz (Kibernetinio saugumo istatymas, Nr. XII-1428 in der durch Gesetz XIV-2902 geaenderten Fassung) umgesetzt, das am 11. Juli 2024 verabschiedet wurde und seit 18. Oktober 2024 in Kraft ist.
NIS2-Umsetzungsfrist läuft ab: die meisten Mitgliedstaaten verpassen sie
Mitgliedstaaten mussten NIS2 bis zu diesem Datum in nationales Recht umsetzen. Die meisten, einschließlich Deutschland, verpassen die Frist. Nur Belgien hat vollständig umgesetzt und mit der Durchsetzung begonnen.
Italien veroeffentlicht Decreto Legislativo n. 138/2024 (NIS 2 Umsetzung)
Italien gehoert zu den ersten Mitgliedstaaten mit formaler NIS 2 Umsetzung. D.Lgs. 138/2024 vom 4. September 2024 benennt die ACN (Agenzia per la Cybersicurezza Nazionale) als alleinige zustaendige Behoerde und Traegerin von CSIRT Italia. Inkrafttreten am 16. Oktober 2024.
Lettland: Nationales Cybersicherheitsgesetz (NIS-2-Umsetzung) tritt in Kraft
Die NIS-2-Richtlinie (EU) 2022/2555 wird in Lettland durch das Nationale Cybersicherheitsgesetz (Nacionalas kiberdrosibas likums) umgesetzt, das die Saeima am 20. Juni 2024 verabschiedete, das am 4. Juli 2024 in Latvijas Vestnesis veroeffentlicht wurde und seit 1. September 2024 in Kraft ist.
Kroatien: Zakon o kibernetickoj sigurnosti (NIS-2-Umsetzung) tritt in Kraft
Kroatien setzt die NIS-2-Richtlinie (EU) 2022/2555 um. Das Cybersicherheitsgesetz (Zakon o kibernetickoj sigurnosti), veroeffentlicht in Narodne novine 14/2024, tritt am 15. Februar 2024 in Kraft. Kroatien gehoert damit zu den fruehesten Mitgliedstaaten mit Umsetzung. Das Gesetz definiert wesentliche und wichtige Einrichtungen und regelt die Aufsicht im nationalen Cybersicherheitsrahmen.
2023
IT-Grundschutz-Kompendium Edition 2023 veröffentlicht
BSI veröffentlicht das IT-Grundschutz-Kompendium Edition 2023, der aktuelle Produktionsstandard für Informationssicherheitsmanagement in Deutschland. Bleibt die gültige Audit-Referenz während der Grundschutz++-Übergangsphase.
NIS2-Richtlinie tritt in Kraft
Die NIS2-Richtlinie tritt 20 Tage nach Veröffentlichung in Kraft. Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit zur Umsetzung in nationales Recht.
2022
NIS2-Richtlinie im Amtsblatt veröffentlicht
Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union im Amtsblatt der EU veröffentlicht.
Quellen
Diese Seite wird regelmäßig aus den folgenden offiziellen und journalistischen Quellen aktualisiert.