Live-Zeitleiste

NIS2 Regulatorische Zeitleiste

Wichtige Meilensteine und aktuelle Entwicklungen zu NIS2-Richtlinie, BSIG, CIR 2024/2690, IT-Grundschutz und ENISA, automatisch aktualisiert.

Simon OrzelSimon Orzel·Laufend geprüft
111 EreignisseAktualisiert 2. Juli 2026

2026

ENISA

ENISA startet NIS360-Umfrage fuer nationale Behoerden und Einrichtungen hoher Kritikalitaet

ENISA startete am 1. Juli 2026 eine Umfrage und laedt nationale Behoerden und Einrichtungen hoher Kritikalitaet nach NIS2 ein, zur naechsten Ausgabe der NIS360-Bewertung zur Reife und Kritikalitaet der Sektoren beizutragen. Einsendeschluss ist der 30. Oktober 2026.

ENISA|organisational
Mitgliedstaat

Ungarn: erste verpflichtende NIS-2-Pruefung bis 30. Juni 2026 faellig (nationale Frist, nicht EU-weit)

Nach der ungarischen NIS-2-Umsetzung (Gesetz LXIX/2024, beaufsichtigt durch die Regulierungsbehoerde SZTFH) mussten betroffene Einrichtungen bis 31. August 2025 einen registrierten Cybersicherheitspruefer beauftragen und bis 30. Juni 2026 eine erste verpflichtende Pruefung abschliessen, nach einer Verlaengerung um sechs Monate. Das ist eine rein nationale ungarische Pflicht: Weder die NIS-2-Richtlinie (EU) 2022/2555 noch die Durchfuehrungsverordnung 2024/2690 setzen eine EU-weite Frist fuer eine Erstpruefung, anders als pauschale Anbieterbehauptungen suggerieren.

Eversheds Sutherland NIS2 Tracker|hutranspositiondeadlinein-force
Mitgliedstaat

Niederlande: Senatsausschuesse bringen zweiten Bericht zur Cyberbeveiligingswet aus, Plenardebatte fuer den 6. oder 7. Juli 2026 angesetzt

Am 26. Juni 2026 haben die gemeinsamen Eerste-Kamer-Ausschuesse fuer Digitalisierung (DIGI) und Justiz und Sicherheit (J&V) ihren zweiten Bericht (tweede verslag) zur Cyberbeveiligingswet (Gesetzentwurf 36.764, die NIS-2-Umsetzung) ausgebracht und nach der Regierungsantwort vom 17. Juni eine weitere schriftliche Runde eroeffnet. Die Ausschuesse warten nun auf eine zweite Regierungsantwort; danach ist die Plenardebatte fuer den 6. oder 7. Juli 2026 vor der Schlussabstimmung des Senats angesetzt. Das frueher angepeilte Inkrafttreten zum 1. Juli 2026 ist damit nicht mehr erreichbar; der Termin wird per koninklijk besluit festgelegt, sobald das Gesetz verabschiedet ist. Die Niederlande gehoeren zu den letzten Nachzueglern bei der NIS-2-Umsetzung.

Eerste Kamer|nltranspositionlegislation
EU

CRA-Marktueberwachungsbehoerden (AdCo CRA) tagen in Berlin; erste Meldepflichten ab 11. September 2026

Das zweite Treffen der CRA-Verwaltungskooperationsgruppe (AdCo CRA) unter Leitung des BSI fand am 25. Juni 2026 in Berlin statt. Die ersten Pflichten des Cyber Resilience Act gelten ab 11. September 2026: Hersteller von Produkten mit digitalen Elementen muessen aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfaelle ueber die im Aufbau befindliche europaeische Single Reporting Platform melden.

BSI|incident-reportingorganisational
ENISA

ENISA veroeffentlicht SME CRA Survey Report zur Vorbereitung auf den Cyber Resilience Act

ENISA hat ihren SME CRA Survey Report veroeffentlicht, der die Ergebnisse einer Umfrage unter kleinen und mittleren Unternehmen von Februar bis Maerz 2026 zur Kenntnis und Vorbereitung auf den Cyber Resilience Act (CRA) darstellt. Der Bericht sieht die groessten Luecken gegenueber den CRA-Erwartungen bei der Bedrohungsmodellierung und bei Softwarestuecklisten und haelt fest, dass KMU praxisnahe Anleitung fuer Teams ohne eigenes Sicherheitspersonal wuenschen. Die wesentlichen CRA-Pflichten gelten ab Dezember 2027.

ENISA|publicationsupply-chain
Mitgliedstaat

Portugal: CNCS-Betriebsverordnung fuer die Registrierungsplattform MyCiber tritt in Kraft

Das Regulamento n.º 756/2026, veroeffentlicht im Diário da República (2. Serie, Nr. 118) am 22. Juni 2026 und in Kraft seit dem 23. Juni 2026, legt die Betriebsregeln fuer die vom CNCS betriebene Plattform MyCiber (myciber.gov.pt) fest. Es operationalisiert die Registrierung und Selbsteinstufung von Einrichtungen nach dem Regime Jurídico da Cibersegurança (Decreto-Lei n.º 125/2025, der portugiesischen NIS-2-Umsetzung) und macht MyCiber vom Konsultationsstadium zum aktiven Registrierungskanal.

Diário da República|ptregistrationtranspositionlegislation
DE

BSI-Schreiben an Wirtschaftsverbaende setzt faktische Registrierungsfrist auf den 31. Juli 2026

In einem Schreiben an die deutschen Wirtschaftsverbaende, ueber das Tagesspiegel Background berichtet und das reuschlaw-Partner Stefan Hessel am 17. Juni 2026 oeffentlich zitiert hat, kommuniziert das BSI eine faktische Registrierungsfrist auf den 31. Juli 2026 fuer Einrichtungen, die die gesetzliche Frist vom 6. Maerz 2026 verpasst haben. Woertlich: 'Da die Registrierungen ueberfaellig sind, gehen wir davon aus, dass alle bis dahin nicht registrierten Einrichtungen die Registrierung bis zum 31. Juli 2026 erfolgreich abschliessen.' Eine schmale Ausnahme von sechs Wochen ab der Antwort des BSI auf gebuendelt eingereichte Klaerungsfragen wird gewaehrt. Juristisch ist das weder eine Schonfrist noch eine Fristverlaengerung: der Bussgeldtatbestand nach Section 65 Absatz 2 Nummer 6 in Verbindung mit Section 65 Absatz 5 Nummer 5 BSIG (bis 500.000 Euro pauschal fuer den Registrierungsverstoss nach Section 33) gilt unveraendert seit dem 7. Maerz 2026. Das Schreiben ist eine Ausuebung des Verfolgungsermessens nach Section 47 OWiG, jetzt an einem schriftlich kommunizierten Termin festgemacht. Stand 2. April 2026 waren erst 15.477 von rund 29.500 betroffenen Einrichtungen registriert. Die naechste Aktualisierung der BSI-Statistik 'NIS-2 in Zahlen' ist auf den 31. Juli 2026 terminiert, denselben Tag. Bis Ende Mai 2026 war die Zahl auf rund 18.500 registrierte Einrichtungen gestiegen, was das BSI als grundsaetzlich zufriedenstellend bezeichnete.

heise Security|registrationenforcement
Mitgliedstaat

Niederlande: Regierung legt Senatsantwort zum Cyberbeveiligingswet vor, Ausschuesse legen weiteres Verfahren am 23. Juni fest

Am 17. Juni 2026 legte die niederlaendische Regierung ihre Antwort (nota naar aanleiding van het verslag) auf den Senatsausschussbericht vom 2. Juni zum Cyberbeveiligingswet (Gesetzentwurf 36.764, die NIS-2-Umsetzung) vor. Die Ausschuesse der Eerste Kamer fuer Digitalisierung und fuer Justiz und Sicherheit entscheiden am 23. Juni 2026 ueber das weitere Verfahren, die letzte Huerde vor einer Plenarabstimmung. Das Gesetz passierte das Unterhaus am 15. April 2026; die Regierung strebt weiterhin das Inkrafttreten zum 1. Juli 2026 an, vorbehaltlich der Zustimmung des Senats.

Eerste Kamer|nltranspositionlegislation
EU

NIS-Kooperationsgruppe veroeffentlicht Referenzdokument zu NIS-2-Sicherheitsmassnahmen mit Zuordnungstabelle

Die NIS-Kooperationsgruppe (Mitgliedstaaten, Europaeische Kommission und ENISA) hat ein unverbindliches Referenzdokument mit gemeinsamen Cybersicherheitszielen fuer Einrichtungen im Anwendungsbereich der NIS-2-Richtlinie veroeffentlicht, bewusst breit formuliert, damit sie sektor-, technologie- und betriebsuebergreifend gelten. Eine als Anhang beigefuegte Zuordnungstabelle verknuepft die Ziele mit den Anforderungen der Richtlinie, der Durchfuehrungsverordnung (EU) 2024/2690 sowie bestehenden internationalen Standards und nationalen Rahmenwerken, darunter das belgische CyberFundamentals (CyFun). Es ist eine reine Handreichung und ersetzt nationales Umsetzungsrecht nicht. Das belgische CCB hat es am 17. Juni 2026 bekanntgegeben; die Dokumente liegen auf der Seite der NIS-Kooperationsgruppe der Kommission.

European Commission|guidanceorganisational
DE

AG KRITIS reicht Stellungnahme zur Kritisverordnung ein

Die zivilgesellschaftliche AG KRITIS veroeffentlichte ihre vom BMI angefragte Stellungnahme zum Referentenentwurf der Kritisverordnung (Stand 26.05.2026). Sie bezeichnet das Festhalten am Regelschwellenwert von 500.000 Einwohnern als groessten Konstruktionsfehler und kritisiert das Fehlen von Sektoren wie Chemie, Medien und Kultur.

AG KRITIS|kritislegislation
ENISA

ENISA-Uebung Cyber Europe 2026 testet EU-Reaktion auf Cyberangriffe auf Schienen- und Seenetze

Am 10. und 11. Juni 2026 hat ENISA die 8. Auflage von Cyber Europe mit rund 5.000 Teilnehmenden aus EU-Mitgliedstaaten, Industrie und Partnerlaendern (Vereinigtes Koenigreich, Norwegen, Schweiz, Ukraine) durchgefuehrt. Das Szenario simulierte koordinierte Cyberangriffe auf europaeische Schienen- und Seetransportnetze, die zu einer breiteren Krise eskalierten. Es war der erste EU-weite Test des EU Cyber Blueprint 2025 (Ratsempfehlung fuer koordinierte Reaktion auf gross angelegte Cybervorfaelle) und die erste Aktivierungsuebung der neuen EU-Cybersicherheitsreserve aus dem Cyber Solidarity Act. ENISA stellt fest, dass Schiene und Seeverkehr im NIS360-Reifegradindex unterdurchschnittlich abschneiden, gemessen an ihrer Kritikalitaet. Die Uebung prueft die grenzueberschreitende Incident-Response-Kette, auf der Artikel 23 NIS-2 und das CSIRT-Netzwerk aufsetzen.

ENISA|organisationalpublication
DE

BSI veroeffentlicht BSI-Magazin 2026/01 mit Titelthema NIS-2 und BSI-Gesetz

Am 11. Juni 2026 hat das BSI die erste Ausgabe 2026 seines halbjaehrlichen BSI-Magazins unter dem Titelthema 'Mehr Cybersicherheit fuer Unternehmen mit NIS-2 und BSIG' veroeffentlicht. Die Ausgabe markiert sechs Monate Inkrafttreten des NIS2UmsuCG (seit 6. Dezember 2025) und bekraeftigt die BSI-Linie, dass die NIS-2-Umsetzung 'ein Meilenstein auf dem Weg zu einer resilienten Cybernation' sei. Weitere Themen: KI in der Cybersicherheit, modernisierte BSI-Zertifizierungsverfahren fuer IT-Sicherheitsdienstleister, Biometrie und ePayment. Das Magazin ist der Hauptkommunikationskanal des BSI an Verwaltung, Wirtschaft und Gesellschaft und signalisiert eine Akzentverschiebung Richtung Vollzugsphase nach Ablauf der Registrierungsfrist am 6. Maerz 2026.

BSI|publicationguidance
DE

BSI startet Umfrage zu seinen NIS-2-Unterstuetzungsangeboten fuer die Wirtschaft

Das BSI hat einen Fragebogen freigeschaltet, der Einrichtungen im Anwendungsbereich von NIS 2 um Rueckmeldung zu seinen bestehenden Unterstuetzungsangeboten bittet, namentlich zur Betroffenheitspruefung, zur Geschaeftsleitungsschulung und zu den #nis2know-Infopaketen, und der zur Nennung weiterer Themen einlaedt. Die Umfrage dauert etwa 20 Minuten, wird anonym ausgewertet und lief bis zum 24. Juni 2026; erklaertes Ziel ist eine praxisnaehere Unterstuetzung der betroffenen Unternehmen.

BSI|guidance
EU

Telekommunikationsrat (TTE) prueft Fortschrittsbericht zum Cybersicherheitspaket (CSA2 + NIS2-Aenderungen)

Auf dem Rat fuer Verkehr, Telekommunikation und Energie am 9. Juni 2026 in Luxemburg hat die zypriotische Praesidentschaft Fortschrittsberichte zum Digital Networks Act und zum Cybersicherheitspaket vorgelegt. Das Cybersicherheitspaket umfasst den Entwurf einer Cybersecurity-Act-2-Verordnung, die gezielten Aenderungen der NIS-2-Richtlinie (Kommissionsvorschlag vom 20. Januar 2026) und das neue unionsweite Rahmenwerk fuer eine vertrauenswuerdige IKT-Lieferkette. Die Minister tauschten sich aus, ohne einen verbindlichen Beschluss zu fassen; das Dossier bleibt im AStV in Pruefung, bevor Polen ab Juli 2026 die Praesidentschaft uebernimmt. Erste foermliche Befassung des Cybersicherheitspakets auf Ministerebene seit dem Kommissionsvorschlag im Januar.

Council of the EU|legislationamendmentsupply-chain
ENISA

ENISA veroeffentlicht SBOM Adoption State of Play 2026

ENISA hat Umfrageergebnisse zur Einfuehrung von Software Bill of Materials veroeffentlicht. Demnach ist der Cyber Resilience Act der wichtigste Treiber fuer die Erstellung und Automatisierung von SBOM ueber den gesamten Softwareentwicklungszyklus. Die dokumentierte Lieferkettentransparenz beruehrt die Lieferantensicherheitspflichten nach Artikel 21 Absatz 2 Buchstabe d der NIS-2-Richtlinie.

ENISA|supply-chainpublicationguidance
EU

Europaeische Kommission begruesst Erklaerung der G7-Cybersicherheits-Arbeitsgruppe

Am 8. Juni 2026 hat die DG CONNECT eine Digibyte veroeffentlicht, in der sie die unter franzoesischer G7-Praesidentschaft angenommene Erklaerung der G7-Cybersicherheits-Arbeitsgruppe begruesst. Die Erklaerung verpflichtet die G7 zu abgestimmtem Handeln bei Post-Quanten-Kryptografie, KI-bezogenen Cybersicherheitsrisiken, Resilienz von Telekommunikationsnetzen und Schutz von KMU. Die Kommission verankert die Telekom-Resilienz-Saeule ausdruecklich in der NIS-2-Richtlinie ('setzt bereits hohe Anforderungen an die Resilienz der Telekommunikation') und verknuepft die Lieferkettensaeule mit dem Entwurf des ueberarbeiteten Cybersecurity Act (CSA2) und dem neuen Rahmenwerk fuer eine vertrauenswuerdige IKT-Lieferkette. Naechstes Treffen der G7-Arbeitsgruppe im Herbst 2026, bevor die USA 2027 die Praesidentschaft uebernehmen.

European Commission|guidancesupply-chainpost-quantum
ENISA

ENISA veroeffentlicht technische Kompetenzanforderungen fuer benannte Stellen nach dem CRA

ENISA hat einen Bericht veroeffentlicht, der die Kompetenz-, Erfahrungs- und Schulungsanforderungen fuer das Personal von Konformitaetsbewertungsstellen festlegt, die als benannte Stellen nach dem Cyber Resilience Act notifiziert werden wollen. Er unterstuetzt den Aufbau von Bewertungskapazitaeten vor dem Ziel vom 11. Dezember 2026 fuer eine ausreichende Zahl benannter Stellen nach dem CRA.

ENISA|guidancepublicationcertificationsupply-chain
Mitgliedstaat

Niederlande: Eerste-Kamer-Ausschuesse veroeffentlichen Bericht zur Cyberbeveiligingswet, warten auf Regierungsantwort

Am 2. Juni 2026 haben die gemeinsamen Eerste-Kamer-Ausschuesse fuer Digitalisierung (DIGI) und Justiz und Sicherheit (J&V) den Verslag zur Cyberbeveiligingswet (Gesetzentwurf 36.764) und dem parallelen Wet weerbaarheid kritieke entiteiten (36.765) ausgebracht und damit die am 19. Mai 2026 eroeffnete schriftliche Inbreng-Phase formell abgeschlossen. Die Ausschuesse warten nun auf die nota naar aanleiding van het verslag der Regierung, bevor eine Plenardebatte und eine Schlussabstimmung des Senats terminiert werden koennen. Inkrafttreten weiterhin per koninklijk besluit zum 1. Juli 2026 angepeilt; ob das gelingt, haengt jetzt vom Tempo des Kabinetts ab.

Eerste Kamer|nltranspositionlegislation
DE

BSI veroeffentlicht #nis2know-Infopaket zur Abbildung von ISO/IEC 27001 auf NIS-2 / Section 30 BSIG

Am 2. Juni 2026 hat das BSI seinem #nis2know-Reihe ein ISO/IEC-27001-Infopaket hinzugefuegt, das die Anforderungen aus Section 30 BSIG strukturiert den Controls aus ISO/IEC 27001:2022 in zehn Bereichen gegenueberstellt (Risikoanalyse, Bewaeltigung von Sicherheitsvorfaellen, Business Continuity, Lieferkettensicherheit, Schwachstellenmanagement, Wirksamkeitspruefung, Schulung/Awareness, Kryptografie, Personal-/Zugriffssicherheit, MFA und sichere Kommunikation). Das BSI stellt ausdruecklich klar: 'Eine Zertifizierung nach ISO/IEC 27001 bedeutet nicht automatisch, dass ein Unternehmen NIS-2-konform ist.' Autoritative BSI-Position zur ISO-versus-NIS-2-Frage, die den Beratungs- und Auditmarkt beherrscht.

BSI|guidancepublicationcertification
ENISA

ENISA startet oeffentliche Konsultation zu Agreed Cryptographic Mechanisms Version 3 fuer EUCC

Die Kryptographie-Untergruppe der ECCG hat mit Unterstuetzung der ENISA einen Entwurf der Version 3 der Agreed Cryptographic Mechanisms zur oeffentlichen Konsultation bis Ende Juli 2026 veroeffentlicht. Das Dokument empfiehlt die bevorzugten kryptographischen Verfahren fuer IKT-Produkte, die zur EUCC-Zertifizierung eingereicht werden, und baut auf Version 2.0 aus Mitte 2025 auf.

ENISA|certificationguidancepublication
ENISA

ENISA veroeffentlicht NIS360 2026: dritte jaehrliche Reife- und Kritikalitaetsbewertung der NIS2-Sektoren

ENISA veroeffentlicht die dritte Ausgabe von NIS360 zur Bewertung der Cybersicherheitsreife und Kritikalitaet aller Sektoren hoher Kritikalitaet nach Annex I. Vertrauensdienste, Luftverkehr und Finanzmarktinfrastrukturen erreichen hohe Reife. Acht Sektoren liegen in der Risikozone (Reife hinter Kritikalitaet): Gesundheit, Eisenbahn, Schifffahrt, IKT-Service-Management, Weltraum, oeffentliche Verwaltungen, Trinkwasser und Abwasser. Weltraum und Eisenbahn weisen gestiegene Kritikalitaet auf. Jaehrliches Referenzdokument fuer nationale Behoerden und Betreiber zur Priorisierung der NIS2-Aufsicht.

ENISA|publicationguidance
DE

BMI legt Entwurf der neuen KRITIS-Verordnung vor: Schwellenwerte und Sektorliste unter dem KRITIS-Dachgesetz

Das Bundesinnenministerium veroeffentlicht den Referentenentwurf der neuen Verordnung zur Bestimmung kritischer Anlagen, die die bisherige BSI-KritisV unter dem KRITIS-Dachgesetz ersetzt. Der Entwurf nimmt einen neuen Sektor Weltraum auf, behaelt IT und TK in KRITIS und passt Schwellenwerte insbesondere in Energie und Verkehr an. Konsultationsfrist ist der 16. Juni 2026. Bestimmt, welche Betreiber zugleich NIS2-wesentliche Einrichtungen und Betreiber nach KRITIS-Dachgesetz sind.

heise Security|legislationkritis
EU

NIS-Kooperationsgruppe einigt sich auf einheitliche Meldevorlagen

Auf ihrer 39. Plenarsitzung in Zypern hat die NIS-Kooperationsgruppe (Mitgliedstaaten, Europaeische Kommission und ENISA) einheitliche Vorlagen fuer die Meldung von Sicherheitsvorfaellen nach Artikel 23 der NIS-2-Richtlinie vereinbart. Grenzueberschreitend taetige Einrichtungen erhalten damit ein einheitliches Format statt unterschiedlicher nationaler Formulare. Die Kommission will die Vorlagen ueber einen Durchfuehrungsrechtsakt verbindlich machen.

European Commission|incident-reportingguidanceorganisational
EU

Niederlaendischer Senat: Ausschuesse eroeffnen schriftliche Inbreng-Phase zur Cyberbeveiligingswet (NIS2-Umsetzung)

Die Ausschuesse des Eerste Kamer (Senat) fuer Digitalisierung (DIGI) und Justiz und Sicherheit (J&V) haben am 19. Mai 2026 die Phase der schriftlichen Stellungnahmen ('inbreng voor het verslag') zur Cyberbeveiligingswet (Gesetzentwurf 36.764) und zum parallel behandelten Gesetz weerbaarheid kritieke entiteiten (36.765) eroeffnet. Senatoren reichen ihre Positionen ein, bevor die Ausschuesse am 21. Mai vorlaeufige Kurznotizen formulieren. Die Tweede Kamer hatte den Entwurf am 15. April 2026 verabschiedet. Die Zustimmung des Senats ist der letzte Schritt vor Inkrafttreten, erwartet zum 1. Juli 2026. Die Niederlande gehoeren zu den verbleibenden Nachzueglern bei der NIS-2-Umsetzung.

Eerste Kamer|transpositionlegislation
EU

EU-Kommission veroeffentlicht Entwurf der Leitlinien zur Einstufung als Hochrisiko-KI-System (Art 6 KI-Verordnung)

Die Europaeische Kommission hat am 19. Mai 2026 den Entwurf der Leitlinien zur Einstufung als Hochrisiko-KI-System nach Art 6 der KI-Verordnung (VO (EU) 2024/1689) veroeffentlicht und eine gezielte Stakeholder-Konsultation bis 23. Juni 2026, 22:00 CET eroeffnet. Der 148-seitige Entwurf legt die Auslegung der Kommission zu Art 6(1) (Annex I, eingebettete Sicherheitskomponenten) und Art 6(2) (Annex III, eigenstaendige Hochrisikosysteme) dar und enthaelt praktische Anwendungsbeispiele nach Art 6(5). Relevante Signale fuer NIS-2-regulierte Einrichtungen: Die Hochrisiko-Einstufung fuer Kritische Infrastrukturen nach Art 6(2) + Annex III(2) wird durch eine CER-Benennung (Richtlinie 2022/2557) ausgeloest, nicht durch den NIS-2-Status als 'wesentliche Einrichtung'. Cybersicherheits-KI ist ausdruecklich aus dem Hochrisiko-Bereich ausgenommen (Erwaegungsgrund 55). Auch KI fuer Servicequalitaet/Betrieb ist ausgenommen. Die vier Ausnahmewege nach Art 6(3) bleiben trotz des frueheren Kommissionsvorschlags zur Streichung erhalten. Finale Leitlinien werden nach Abschluss der Konsultation erwartet.

European Commission|guidancepublication
DE

BSI und Mecklenburg-Vorpommern unterzeichnen Kooperationsvereinbarung zur Cybersicherheit (12. Bundesland)

BSI-Praesidentin Claudia Plattner und der Finanz- und Digitalisierungsminister von Mecklenburg-Vorpommern, Dr. Heiko Geue, unterzeichnen in Hamburg eine formale Kooperationsvereinbarung; damit pflegt das BSI nun Kooperationen mit zwoelf Bundeslaendern. Umfasst operative Cybersicherheit, wechselseitigen Informations- und Wissensaustausch und gemeinsame Awareness-Massnahmen. Setzt die Bund-Laender-Koordination fort, die mit Brandenburg am 29. April 2026 startete, und unterstuetzt die NIS-2-Umsetzung in betroffenen oeffentlichen Verwaltungseinrichtungen.

BSI|enforcementkritis
DE

BSI veroeffentlicht G7-Richtlinie zu Software Bill of Materials for AI

BSI und Italiens ACN haben gemeinsam unter den G7-Cybersicherheitsbehoerden und mit der EU-Kommission die Leitlinie 'Software Bill of Materials (SBOM) for Artificial Intelligence' mit Mindestelementen erarbeitet. Das Dokument legt Mindestanforderungen in sieben Informationskategorien fest, darunter KI-Modelle, Trainingsdatenquellen und potenzielle Verzerrungen. BSI-Praesidentin Claudia Plattner: Transparenz ueber die KI-Lieferkette bildet die Grundlage fuer robuste KI-Cybersicherheit. Direkt relevant fuer NIS-2-Lieferkettenrisikomanagement nach Art 21(2)(d) und fuer den AI-Act-Compliance-Pfad.

BSI|guidancepublicationsupply-chain
DE

BMI/BKA Bundeslagebild Cybercrime 2025: rund 335.000 Faelle, 202,4 Mrd. Euro Schaden fuer die deutsche Wirtschaft

Bundesinnenminister Alexander Dobrindt und BKA-Vizepraesidentin Martina Link stellen am 12. Mai 2026 das Bundeslagebild Cybercrime 2025 vor. Rund 335.000 Cybercrime-Faelle im engeren Sinn wurden 2025 registriert; zwei Drittel (207.888) aus dem Ausland oder von unbekannten Orten begangen. Geschaetzter Schaden fuer die deutsche Wirtschaft: 202,4 Mrd. Euro, rund 4,5 Prozent des Bruttoinlandsprodukts. KI-Werkzeuge werden von Angreifern zunehmend eingesetzt; Unternehmen, Behoerden und Kritische Infrastrukturen sind die Hauptziele. Dobrindt rahmt die Antwort im Sinne der NIS-2-Durchsetzung: 'Der Staat darf im digitalen Raum kein Zuschauer sein.' Liefert die politische Kulisse fuer den Eintritt des BSI in die aktive NIS-2-Pruefungsphase ab Mai 2026.

BMI|publicationenforcement
Markt

BSI Cybersicherheitsmonitor 2026: Jede zehnte Person in Deutschland im Vorjahr von Cyberkriminalitaet betroffen

Gemeinsame Umfrage von BSI und ProPK ergibt, dass 27% der Deutschen schon einmal Opfer von Cyberkriminalitaet wurden, davon 11% in den letzten zwoelf Monaten. Haeufigste Delikte: Betrug beim Onlineshopping und -banking, Fremdzugriffe auf Konten und Phishing. Nur 14% informieren sich regelmaessig ueber Cybersicherheit; 33% der Betroffenen berichten von finanziellen Verlusten. Der Bericht untermauert die breite Awareness-Luecke, die NIS-2-Aufsicht und BSI-Aufklaerungsprogramme verbraucherseitig adressieren.

BSI|publicationmarket
EU

Luxemburg setzt NIS 2 um: Gesetz vom 5. Mai 2026 in Kraft

Das luxemburgische Gesetz vom 5. Mai 2026 ueber Massnahmen zur Gewaehrleistung eines hohen Cybersicherheitsniveaus ist am 10. Mai 2026 in Kraft getreten und setzt die NIS-2-Richtlinie um, das frueher gueltige NIS-1-Gesetz wird aufgehoben. Das Institut Luxembourgeois de Regulation (ILR) ist zustaendige Behoerde. Ein Selbstregistrierungsportal fuer betroffene Einrichtungen ist online. Bemerkenswert, weil Luxemburg zu den Nachzueglern gehoerte und wenige Tage zuvor am 29. April 2026 im parallelen CER-Vertragsverletzungsverfahren vor dem EuGH verklagt wurde. Betroffene Einrichtungen muessen sich selbst beim ILR registrieren.

European Commission|transpositionlegislation
EU

AI Act Digital Omnibus: vorlaeufige politische Einigung erzielt

Rat und Europaeisches Parlament haben am 7. Mai 2026 eine vorlaeufige politische Einigung zum AI Act Digital Omnibus erzielt. Annex III-Hochrisiko-Pflichten verschoben auf den 2. Dezember 2027, Annex I-eingebettete Hochrisiko-Pflichten auf den 2. August 2028. Wasserzeichen-Pflicht nach Art 50(2) verschoben auf den 2. Dezember 2026. Neues Verbot in Art 5 fuer KI zur Erzeugung nicht-einvernehmlicher intimer Aufnahmen und Material zum sexuellen Missbrauch von Kindern. SME-Erleichterungen werden auf kleine Mid-Caps ausgeweitet. Foermliche Annahme durch Rat und Parlament vor dem 2. August 2026 erforderlich.

European Parliament|legislationamendment
DE

BSI veroeffentlicht ersten Bericht zur IT-Sicherheit der oeffentlichen Ladeinfrastruktur

BSI und Bundesministerium fuer Verkehr veroeffentlichen den ersten gemeinsamen Bericht zur IT-Sicherheit der oeffentlichen Ladeinfrastruktur in Deutschland. Der Bericht untersucht Schwachstellen in den Protokollen ISO 15118 und OCPP sowie Software-Schwaechen bei Ladepunktbetreibern und schlaegt konkrete Sicherheitsmassnahmen vor. Das BSI positioniert Ladeinfrastruktur an der Schnittstelle der NIS-2-Sektoren Verkehr und Energie: Ausfaelle reichen von Mobilitaetsstoerungen bis hin zu Auswirkungen auf das Stromnetz.

BSI|guidancepublicationkritis
DE

BSI startet CyberGovSecure: koordinierte NIS-2-Umsetzung in der Bundesverwaltung

BSI, CISO Bund und das Bundesministerium fuer Digitales und Staatsmodernisierung haben am 4. Mai 2026 CyberGovSecure gestartet, ein strukturiertes ressortuebergreifendes Programm zur Umsetzung von Cybersicherheitsmassnahmen in allen Bundesbehoerden. BSI-Praesidentin Claudia Plattner bezeichnet es als zentralen Baustein der NIS-2-Umsetzung in der Bundesverwaltung. Umsetzungsverantwortung liegt bei jeder Behoerde; das BSI begleitet technisch und organisatorisch.

BSI|guidancekritis
DE

BSI und Brandenburg unterzeichnen Kooperationsvereinbarung zur Cybersicherheit

BSI-Praesidentin Claudia Plattner und der brandenburgische Staatssekretaer Ernst Buerger unterzeichnen eine formale Kooperationsvereinbarung mit zehn Handlungsfeldern: operative Cybersicherheit (Informationsmanagement, Sicherheitstests und -uebungen), gemeinsame Awareness- und Schulungsprogramme sowie wechselseitiger Austausch zum Aufbau von Fachkompetenz. Staerkt die Bund-Laender-Koordination zur Unterstuetzung der NIS2-Umsetzung in betroffenen oeffentlichen Verwaltungseinrichtungen.

BSI|enforcementkritis
EU

Kommission verklagt 7 Mitgliedstaaten vor dem EuGH wegen fehlender CER-Umsetzung

Die Europaeische Kommission hat am 29. April 2026 entschieden, Bulgarien, Frankreich, Luxemburg, die Niederlande, Polen, Spanien und Schweden vor dem EuGH wegen fehlender Umsetzung der CER-Richtlinie (EU 2022/2557) zu verklagen und in allen Faellen finanzielle Sanktionen zu beantragen. CER und NIS 2 teilen die gleiche Umsetzungsfrist vom 17. Oktober 2024. Erste grosse EuGH-Durchsetzung im Paket. Verfahrensablauf: Aufforderungsschreiben November 2024, mit Gruenden versehene Stellungnahme Juli 2025, EuGH-Klage April 2026. Starkes Durchsetzungssignal fuer das parallele NIS-2-Vertragsverletzungsverfahren.

European Commission|enforcementtranspositionpenalty
DE

BSI veroeffentlicht C3A-Kriterienrahmen fuer Cloud-Souveraenitaet

BSI veroeffentlicht das Rahmenwerk Criteria enabling Cloud Computing Autonomy (C3A), das transparente Souveraenitaetsstandards fuer Cloud-Dienste festlegt. C3A ergaenzt den bestehenden C5-Katalog und adressiert 'Cyber Dominance', die Faehigkeit von Cloud-Herstellern, dauerhaften Zugang zu Kundensystemen und -daten zu behalten. Cloud-Anbieter muessen C5-Voraussetzungen erfuellen; das Rahmenwerk laesst Flexibilitaet bei der Datenlokalisierung (Deutschland oder EU). Ausgerichtet am European Cloud Sovereignty Framework (EU CSF). Nicht regulatorisch verpflichtend; ergaenzt, ersetzt aber NIS2-Cloud-Zertifizierungswege nicht.

BSI|publicationcertificationguidance
EU

Oeffentliche Feedbackfrist fuer vorgeschlagene NIS2-Richtlinienaenderungen endet

Die oeffentliche Feedbackfrist fuer die von der Europaeischen Kommission vorgeschlagenen NIS2-Aenderungen (veroeffentlicht am 20. Januar 2026) endet heute. Vorschlaege umfassen Seekabel-Infrastruktur im Anwendungsbereich, Kategorie kleine Midcap-Unternehmen, Ransomware-Meldedetails, verstaerkte ENISA-Rolle bei grenzueberschreitender Aufsicht und zertifizierungsbasierte Compliance-Pfade. Es folgt das ordentliche Gesetzgebungsverfahren in Parlament und Rat.

European Commission|amendmentdeadline
ENISA

ENISA veroeffentlicht National Capabilities Assessment Framework 2.0

ENISA hat NCAF 2.0 veroeffentlicht, eine aktualisierte Methodik zur Bewertung nationaler Cybersicherheitsfaehigkeiten und Strategiereife. Ausgerichtet auf den NIS2-Artikel-19-Peer-Review-Prozess. Unterstuetzt Mitgliedstaaten bei der Identifizierung von Staerken, Luecken und Prioritaetsbereichen in der Cybersicherheit.

ENISA|guidancepublication
EU

Belgien setzt erste NIS2-Compliance-Frist durch: wesentliche Einrichtungen muessen Cybersicherheitsstatus nachweisen

Belgien wird das erste EU-Land mit Ex-ante-NIS2-Aufsicht. Bis zum 18. April muessen wesentliche Einrichtungen verifizierte Cybersicherheitsdokumentation ueber einen von drei Wegen einreichen: CyberFundamentals (CyFun)-Verifizierung, ISO/IEC 27001-Zertifizierung oder direkten CCB-Inspektionsantrag. Bei Nichteinhaltung drohen Verwaltungsmassnahmen und Bussgelder bis 10 Mio. EUR oder 2% des Umsatzes. Volle Zertifizierung bis 18. April 2027.

CCB Belgium|enforcementcertificationdeadline
DE

BSI veroeffentlicht Handreichung v1.0 zur Geschaeftsleitungs-Schulungspflicht nach §38(3) BSIG

Das BSI hat am 17. April 2026 die Version 1.0 der 24-seitigen Handreichung 'Schulung fuer Geschaeftsleitungen' veroeffentlicht und damit die vorlaeufige v0.9 vom September 2025 nach Abstimmung mit Bitkom, DIHK, GI, VDMA, Zentralverband Handwerk und ZVEI aktualisiert. Das Dokument definiert die Erwartungen der Aufsicht an die Schulungspflicht nach §38(3) BSIG in drei Bloecken: Schulungsorganisation (Adressaten, Intervall, Formate, Anbieter, Nachweis), empfohlene Inhalte (SOLL/KANN-Struktur zu Risikoanalyse, Risikomanagementpraktiken und Auswirkungen) und einen strukturierten Selbst-Check (10 Abschnitte mit Leitfragen samt hilfreichen vs Alarm-Antworten). Acht Schulungsformate werden ausdruecklich empfohlen, u.a. Risikomanagement-Quarterlies mit dem ISB, Tabletop-Uebungen, Audit-Simulationen und Management Red/Blue Teaming. Die Dokumentation muss Anbieter, Teilnehmende mit Rolle, Datum/Uhrzeit/Dauer und behandelte Inhalte mit Bezug zu den gesetzlichen Vorgaben enthalten.

BSI|guidancepublication
DE

21. Deutscher IT-Sicherheitskongress abgeschlossen: 8.000 Teilnehmer, NIS2 und KI-Sicherheit im Fokus

Das BSI veranstaltet den 21. IT-Sicherheitskongress in Bonn am 15.-16. April unter dem Motto 'Cybernation Deutschland'. Acht Sessions behandeln NIS-2-Umsetzung, KI-Sicherheit, Post-Quanten-Kryptografie, Zero Trust, sichere Lieferketten und digitale Identitaet. Hybrid-Workshops befassen sich mit Grundschutz++ 'Stand der Technik' und EUDI-Wallet-Themen. Kongressinhalte bleiben bis 15. Mai abrufbar.

BSI|guidancepublication
EU

Niederlande verabschieden Cyberbeveiligingswet (NIS2-Umsetzung) in der Zweiten Kammer

Die niederlaendische Tweede Kamer hat am 15. April 2026 die Cyberbeveiligingswet und die Wet weerbaarheid kritieke entiteiten (CER-Umsetzung) verabschiedet. Die Cyberbeveiligingswet ersetzt das bestehende Wbni und setzt NIS2-Pflichten um, einschliesslich Sorgfaltspflichten, Meldepflichten und Registrierung. Inkrafttreten voraussichtlich 1. Juli 2026 nach Zustimmung des Senats.

Rijksoverheid|legislationtransposition
DE

BSI-Kongress zeigt NIS-2-Umsetzung weit hinter Erwartungen: Unternehmen vermeiden bewusst Registrierung

Auf dem 21. IT-Sicherheitskongress enthuellte BSI-Beamter Manuel Bach, dass die NIS-2-Registrierung weit hinter den Erwartungen zurueckbleibt. Fast 50% der deutschen Unternehmen hatten den Begriff 'NIS-2' bis Ende 2025 noch nie gehoert. Manche Unternehmen vermeiden bewusst die Registrierung nach Ruecksprache mit Geschaeftsfuehrung und Rechtsberatung. Bach verglich Nichteinhaltung mit Steuerpflicht: 'Man kann nicht selbst entscheiden, ob es gilt.'

heise Security|enforcementregistration
DE

DENIC startet Phase-2-Risikoprüfung fuer .de-Domains unter NIS2

DENIC aktiviert Phase 2 der NIS2-Umsetzung fuer .de-Domain-Registrierungen. Ein automatisiertes Risikobewertungssystem nach Ampelprinzip (Niedrig/Verdaechtig/Hohes Risiko) klassifiziert nun alle Kontakt- und Domain-Auftraege. Auffaelligkeiten in Registrierungsdaten loesen Verifizierungsanfragen an das zustaendige DENIC-Mitglied aus. Nicht verifizierte Domains droht DNS-Quarantaene und Loeschung. Phase 1 (6. Dezember 2025) hatte bereits Inhaberdaten juristischer Personen im WHOIS oeffentlich gemacht. Betrifft alle ~17 Millionen .de-Domains.

heise Security|enforcementregistration
DE

BSI veroeffentlicht Kriterienkatalog C5:2026 fuer Cloud-Computing

Das BSI hat den C5:2026 veroeffentlicht, die aktualisierte Version des Kriterienkatalogs fuer sicheres Cloud-Computing als Nachfolger der Fassung von 2020. Die neue Edition deckt Container-Management, Post-Quanten-Kryptographie und Confidential Computing ab, ist am europaeischen EUCS-Zertifizierungsschema ausgerichtet und beruecksichtigte ausdruecklich die NIS2-Richtlinie sowie ISO/IEC 27001:2022 und die CSA Cloud Controls Matrix v4 bei der Entwicklung. Wird erstmals auch in maschinenlesbarem Format bereitgestellt.

BSI|publicationcertificationpost-quantum
EU

Polens novelliertes KSC-Gesetz tritt in Kraft: 42.000 Einrichtungen nun betroffen

Polens novelliertes Gesetz ueber das nationale Cybersicherheitssystem (KSC) tritt am 3. April 2026 in Kraft und erweitert den NIS2-Anwendungsbereich von ~400 auf ~42.000 Organisationen, darunter ~28.000 oeffentliche Einrichtungen. Neue Sektoren: Lebensmittelproduktion, Abfallwirtschaft, Chemie, Postdienste, Fertigung. Einrichtungsregister am 13. April ueber S46-Plattform gestartet. Selbstregistrierungsfrist: 3. Oktober 2026. Volle Compliance bis 3. April 2027.

ISAP Sejm|legislationtranspositionregistration
Mitgliedstaat

Portugal: Decreto-Lei n.º 125/2025 tritt in Kraft

Die portugiesische NIS 2 Umsetzung tritt am 3. April 2026 in Kraft, 120 Tage nach Veroeffentlichung. Benennung des Cybersicherheitsverantwortlichen innerhalb von 20 Arbeitstagen nach Inkrafttreten. CNCS betreibt die elektronische Registrierungsplattform.

Diário da República|pttranspositionin-force
Mitgliedstaat

Polen: UKSC-Novelle vom 23. Januar 2026 tritt in Kraft

Die polnische UKSC-Novelle tritt am 3. April 2026 in Kraft. Ministerstwo Cyfryzacji ist die federfuehrende zustaendige Behoerde; drei nationale CSIRTs arbeiten parallel (CSIRT NASK fuer Privatwirtschaft, CSIRT GOV bei der ABW, CSIRT MON fuer den militaerischen Bereich). Zwoelfmonatige Frist zur Umsetzung der Sicherheitsmassnahmen aus Kapitel 3 (bis 3. April 2027).

ISAP Sejm|pltranspositionin-force
Grundschutz

BSI veroeffentlicht Grundschutz++ Methodikleitfaden: PDCA-basiertes ISMS-Rahmenwerk

BSI veroeffentlicht den ersten Methodikleitfaden fuer Grundschutz++, der ein zukunftsorientiertes Rahmenwerk fuer den systematischen Aufbau eines ISMS auf Basis des PDCA-Zyklus etabliert. Der Leitfaden integriert strategische Verankerung, Anforderungsanalyse, Umsetzung, Ueberwachung und kontinuierliche Verbesserung. Derzeit nur fuer Pilotprojekte vorgesehen. Edition 2023 bleibt bis 2028 die gueltige Audit-Referenz.

BSI|publicationguidance
EU

EDPB und EDSB verabschieden gemeinsame Stellungnahme 4/2026 zu NIS2-Änderungen und Cybersecurity Act 2

EU-Datenschutzbehörden befürworten formell die Stärkung der Cybersicherheit und fordern zugleich Datenschutz-Leitplanken: Begrüßung von Digital-Identity-Wallet-Anbietern als wesentliche Einrichtungen, Forderung nach ENISA-EDPB-Konsultation vor Verabschiedung von Zertifizierungsschemata mit Personendatenbezug, Empfehlung einer zentralen Meldestelle für Datenpannen zur Reduktion des Verwaltungsaufwands und Klarstellung der Überschneidung von DSGVO- und Cybersicherheitszertifizierung.

EDPB|amendmentguidance
DE

BSI und Govdigital kündigen 'Cyberdome' an: automatisierte Cyberabwehr für 10 Bundesländer

BSI und der öffentliche IT-Dienstleisterverbund Govdigital kündigen Cyberdome an: sensorbasierte automatisierte Cyberabwehr-Infrastruktur in 10 Bundesländern und Kommunen mit BSI-vernetzter Echtzeitüberwachung.

heise Security|enforcement
DE

KRITIS-Dachgesetz tritt in Kraft: physische Sicherheit zusätzlich zu NIS2-Cyberanforderungen

Deutschlands CER-Richtlinien-Umsetzung (KRITIS-Dachgesetz) tritt in Kraft und ergänzt NIS2-Cybersicherheit um physische Sicherheits- und Resilienzanforderungen. Erfordert BCMS neben ISMS, physische Sicherheitskontrollen und dreijährige Audits. Bußgelder bis 1 Mio. €.

OpenKRITIS|legislationkritis
Markt

Cyber Security Report 2026: 92% der kleinen deutschen Unternehmen unterschatzen NIS2-Betroffenheit

Der Cyber Security Report 2026 von Schwarz Digits befragt 1.001 deutsche Unternehmen und stellt fest, dass 48% irrtümlich annehmen, nicht von NIS2 betroffen zu sein. Bei kleinen Unternehmen (10-49 Mitarbeiter, >10 Mio. € Umsatz) erreicht die Fehleinschätzung 92%, obwohl sie die regulatorische Schwelle erfüllen.

Schwarz Digits|marketguidance
DE

BSI veröffentlicht NIS2-FAQ speziell für die öffentliche Verwaltung

BSI veröffentlicht eine spezielle FAQ zu NIS2-Anwendbarkeit und Compliance-Anforderungen für Bundes-, Landes- und Kommunalverwaltungen.

BSI|guidance
DE

BSI veroeffentlicht NIS-2-Checkliste zur schrittweisen Umsetzungspruefung

Das BSI hat am 13. Maerz 2026 eine herunterladbare NIS-2-Checkliste veroeffentlicht, die als praktisches Schritt-fuer-Schritt-Werkzeug die Umsetzung der NIS-2-/BSIG-Pflichten in betroffenen Einrichtungen pruefbar macht. Die Checkliste ist Teil des #nis2know-Downloads-Pakets, neben dem Betroffenheits-Entscheidungsbaum und der zeitgleich veroeffentlichten FAQ fuer die oeffentliche Verwaltung. Mittlerweile in Version 9, was auf laufende Iteration nach Praxis-Rueckmeldungen hinweist. Adressiert Registrierung, Governance, Risikomanagement, Lieferkette, Meldepflichten und Schulungen.

BSI|guidancepublication
ENISA

ENISA veröffentlicht technischen Leitfaden zur sicheren Nutzung von Paketmanagern

Neuer Leitfaden zum sicheren Software-Entwicklungszyklus mit Fokus auf Paketmanager-Sicherheit, direkt relevant für NIS2-Lieferkettensicherheitsanforderungen (Art. 21(2)(d)).

ENISA|guidancepublicationsupply-chain
EU

22 von 27 EU-Mitgliedstaaten haben NIS2-Umsetzung abgeschlossen

Cullen International meldet: 22 EU-Staaten haben NIS2 umgesetzt. Funf fehlen noch: Frankreich, Irland, Luxemburg, Niederlande (Gesetzgebung im Parlament) und Spanien (kein Entwurf eingereicht). Spanien ist am weitesten zuruckgeblieben.

ECSO|transpositionlegislation
DEMeilenstein

BSI-Registrierungsfrist läuft ab: Bußgelder für Nicht-Registrierung jetzt möglich

Drei Monate nach Inkrafttreten des BSIG läuft die Pflicht-Registrierungsfrist am BSI-Portal ab. Verspätete Registrierung wird noch angenommen, aber Bußgelder bis 10 Mio. € oder 2% des Jahresumsatzes sind nun rechtlich durchsetzbar.

heise Security|deadlineregistration
DE

Nur ~11.500 von ~29.500 betroffenen Einrichtungen haben sich bis zur Frist registriert

Bis zur Frist am 6. März haben sich rund 11.500 Behörden, Unternehmen und kritische Einrichtungen unter NIS2 beim BSI registriert, etwa 18.000 der 29.500 verpflichteten Einrichtungen fehlen noch. Laut BSI-Sprecher bleibt unklar, ob die ursprüngliche Schätzung zu hoch war oder ob viele Betroffene ihrer Meldepflicht nicht nachgekommen sind.

heise Security|registrationenforcement
Grundschutz

BOS-Digitalfunk-Betreiber erhält ISO 27001/IT-Grundschutz-Zertifizierung

Der Betreiber des deutschen BOS-Digitalfunknetzes für Behörden und Organisationen mit Sicherheitsaufgaben erreicht ISO 27001-Zertifizierung auf IT-Grundschutz-Basis.

BSI|certification
Mitgliedstaat

Polen veroeffentlicht UKSC-Novelle im Dziennik Ustaw (Dz.U. 2026 poz. 252)

Am 23. Januar 2026 vom Sejm verabschiedet, am 19. Februar 2026 vom Praesidenten unterzeichnet, wird die Novelle des polnischen Cybersicherheitsgesetzes (UKSC) am 2. Maerz 2026 als Dz.U. 2026 poz. 252 im Dziennik Ustaw veroeffentlicht. Aendert 21 Gesetze einschliesslich des UKSC von 2018. Inkrafttreten am 3. April 2026.

ISAP Sejm|pltranspositionpublication
EU

Öffentliche Kommentierungsphase für technische CRA-Compliance-Richtlinie eröffnet

BSI eröffnet öffentliche Kommentierungsphase für die technische Compliance-Richtlinie zum Cyber Resilience Act (CRA), die Produktsicherheitsanforderungen mit NIS2-Lieferkettenplichten verbindet.

BSI|guidance
DE

BMI veröffentlicht Entwurf des Cybersicherheitsstärkungsgesetzes: neue Pflichten für NIS2-regulierte Unternehmen

Bundesinnenministerium stellt den Entwurf des Gesetzes zur Stärkung der Cybersicherheit vor. BKA, Bundespolizei und BSI erhalten aktive Cyberabwehr-Befugnisse einschließlich Störung von Angreifer-Infrastruktur. Neue Pflichten für NIS2-regulierte Unternehmen: Kooperationspflicht bei staatlichen Cyberoperationen, BSI-vernetzte Angriffserkennung und DNS-basierter Kundenschutz. Bußgelder bis 20 Mio. € oder 2% des weltweiten Jahresumsatzes. ~375 neue Stellen bis 2030 nötig.

netzpolitik.org|legislationenforcement
EU

Polen unterzeichnet NIS2-Umsetzung: tritt am 2. April 2026 in Kraft

Präsident Nawrocki unterzeichnet die Novelle des polnischen Gesetzes über das nationale Cybersicherheitssystem (UKSC) zur NIS2-Umsetzung. Inkrafttreten am 2. April nach einmonatiger Vacatio legis. Registrierungsfrist: 3. Oktober 2026. Volle Compliance-Frist: 3. April 2027. Der Präsident verweist gleichzeitig Regelungen zu Hochrisiko-Anbietern und Sanktionen an das Verfassungsgericht.

ECSO|transpositionlegislation
ENISA

ENISA veröffentlicht Methodik-Rahmenwerk für Cybersicherheitsübungen

Neue Methodik für Planung, Durchführung und Auswertung von Cybersicherheitsübungen, relevant für NIS2-Einrichtungen, die Incident-Response-Fähigkeiten nach Art. 21 testen müssen.

ENISA|guidancepublication
EU

NIS-Kooperationsgruppe verabschiedet ICT-Lieferketten-Sicherheits-Toolbox

Die NIS-Kooperationsgruppe veroeffentlicht ein gemeinsames Rahmenwerk zur Identifikation, Bewertung und Minderung von Cybersicherheitsrisiken in IKT-Lieferketten. Die Toolbox umfasst Risikoszenarien, Minderungsmassnahmen und Leitlinien zur Reduzierung von Abhaengigkeiten von Hochrisiko-Lieferanten. Begleitet von sektorspezifischen Risikobewertungen fuer vernetzte Fahrzeuge und Detektionsgeraete.

European Commission|guidancesupply-chainpublication
Mitgliedstaat

Bulgarien: NIS-2-Umsetzung (Aenderung des Cybersicherheitsgesetzes) verkuendet und in Kraft

Die NIS-2-Richtlinie (EU) 2022/2555 wird in Bulgarien durch das Gesetz zur Aenderung und Ergaenzung des Cybersicherheitsgesetzes umgesetzt, am 5. Februar 2026 von der Nationalversammlung verabschiedet und im Staatsanzeiger (Darzhaven vestnik) Ausgabe 17 vom 13. Februar 2026 verkuendet. Es teilt die verpflichteten Organisationen in wesentliche und wichtige Einrichtungen und fuehrt Verantwortlichkeit der Leitung sowie Risikomanagementpflichten ein; fuer erste Verstoesse gelten bis 1. Juli 2026 ermaessigte Bussgelder.

European Commission|bgtranspositionin-forcelegislation
ENISA

ENISA veröffentlicht internationale Strategie für Cybersicherheitskooperation

ENISA veröffentlicht ihre internationale Kooperationsstrategie, die beschreibt, wie die Agentur mit Nicht-EU-Partnern bei Cybersicherheitsstandards und Bedrohungsinformationsaustausch zusammenarbeitet.

ENISA|publication
Grundschutz

Südwestfalen-IT erhält ISO 27001-Zertifizierung auf Basis von IT-Grundschutz

Nach dem verheerenden Ransomware-Angriff 2023 erreicht der kommunale IT-Dienstleister Südwestfalen-IT die ISO 27001-Zertifizierung auf Basis von IT-Grundschutz als Nachweis der Wiederherstellung und Sicherheitsreife.

BSI|certification
EU

EU schlägt NIS2-Änderungen vor: neue Einrichtungstypen, Harmonisierungsgrenze, PQC-Migration

Europäische Kommission stellt Cybersicherheitspaket mit gezielten NIS2-Änderungen vor: Seekabel-Infrastruktur und Digital-Wallet-Anbieter aufgenommen, neue Kategorie 'kleine Midcap' (~22.500 Unternehmen), verpflichtende Ransomware-Meldedetails und Post-Quanten-Kryptografie-Migrationsfristen (2030/2035).

Freshfields|amendmentlegislation
Mitgliedstaat

Schweden: Cybersäkerhetslagen (SFS 2025:1506) tritt in Kraft

Die schwedische NIS 2 Umsetzung tritt am 15. Januar 2026 in Kraft. Das alte NIS 1 Gesetz von 2018 wird aufgehoben, gilt aber weiterhin fuer Sachverhalte vor diesem Datum.

Sveriges Riksdag|setranspositionin-force
EU

Erstes EUCC-Cybersicherheitszertifikat unter EU-Rahmenwerk ausgestellt

Das erste europäische Cybersicherheitszertifikat (EUCC) wird ausgestellt und etabliert ein gemeinsames EU-weites Zertifizierungsschema, mit dem NIS2-Einrichtungen Compliance nachweisen können.

BSI|certification
DEMeilenstein

BSI-NIS2-Registrierungsportal geht online

BSI startet portal.bsi.bund.de für NIS2-Registrierung und Vorfallsmeldung. Registrierung erfordert ein ELSTER-Organisationszertifikat (5-10 Werktage Bearbeitungszeit).

BSI|registration
GrundschutzMeilenstein

Grundschutz++ Übergangsphase beginnt: Parallelbetrieb bis 2029

BSI startet offiziell die Modernisierungs-Übergangsphase für Grundschutz++. Maschinenlesbares OSCAL/JSON-Format ersetzt PDF/Excel. Edition 2023 bleibt während der Übergangsphase bis 2029 für Audits gültig.

ISMS-Ratgeber|publication
Mitgliedstaat

Daenemark: CFCS wird Teil von SAMSIK

Am 1. Januar 2026 wird das Center for Cybersikkerhed (CFCS) Teil der neu gegruendeten Behoerde fuer Gesellschaftssicherheit (SAMSIK) unter dem Ministerium fuer Gesellschaftssicherheit und Bereitschaft. CFCS betreibt weiterhin das nationale CSIRT unter Forsvarets Efterretningstjeneste; cfcs.dk leitet jetzt auf samsik.dk weiter.

CFCS Denmark|dkorganisational
Mitgliedstaat

Schweden: MSB wird in MCF (Myndigheten för civilt försvar) umbenannt

Am 1. Januar 2026 wird die schwedische Behoerde fuer Gesellschaftsschutz und Bereitschaft (MSB) in Myndigheten för civilt försvar (MCF) umbenannt. MCF betreibt weiterhin CERT-SE als nationales CSIRT und ist EU-Anlaufstelle fuer NIS 2.

Sveriges Riksdag|seorganisational
Mitgliedstaat

Estland: geaenderte Kuberturvalisuse seadus (NIS-2-Umsetzung) tritt in Kraft

Die NIS-2-Richtlinie (EU) 2022/2555 wird in Estland durch das Gesetz zur Aenderung der Kuberturvalisuse seadus und weiterer Gesetze (Kueberturvalisuse seaduse ja teiste seaduste muutmise seadus) umgesetzt, das am 1. Januar 2026 in Kraft trat und den Kreis der wesentlichen und wichtigen Einrichtungen mit Cybersicherheitspflichten erweitert.

RIA (Riigi Infosuesteemi Amet)|eetranspositionin-forcelegislation

2025

Mitgliedstaat

Oesterreich erlaesst NIS-2-Umsetzung (NISG 2026)

Die NIS-2-Richtlinie (EU) 2022/2555 wurde durch das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026), BGBl. I Nr. 94/2025, in oesterreichisches Recht umgesetzt, veroeffentlicht am 23. Dezember 2025. Das Gesetz wurde erlassen, tritt aber erst am 1. Oktober 2026 in Kraft. Bis dahin gilt weiterhin das NISG 2018.

Mitgliedstaat

Schweden: Cybersäkerhetslagen (SFS 2025:1506) ausgefertigt

Cybersäkerhetslagen (SFS 2025:1506) (Schwedens NIS 2 Umsetzung) wird am 11. Dezember 2025 auf Basis der Proposition 2025/26:28 'Ett starkt skydd för nätverks- och informationssystem' ausgefertigt. Inkrafttreten am 15. Januar 2026. Dezentrale Aufsicht ueber Sektorregulatoren; MCF (Myndigheten för civilt försvar) ist nationale Anlaufstelle und Traeger von CERT-SE.

Sveriges Riksdag|setranspositionpublication
DEMeilenstein

BSIG tritt in Kraft: NIS2 ist Gesetz in Deutschland

Das novellierte BSIG tritt am Nikolaustag in Kraft, über ein Jahr nach der EU-Umsetzungsfrist. Keine Übergangszeit: alle Pflichten gelten sofort für ~29.500 betroffene Einrichtungen.

OpenKRITIS|legislation
DEMeilenstein

NIS2UmsuCG im Bundesgesetzblatt veröffentlicht (BGBl. 2025 I Nr. 301)

Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz wird im Bundesgesetzblatt veröffentlicht und tritt am Folgetag in Kraft.

OpenKRITIS|legislationpublication
Mitgliedstaat

Portugal veroeffentlicht Decreto-Lei n.º 125/2025 im Diário da República

Die portugiesische NIS 2 Umsetzung erscheint am 4. Dezember 2025 im Diário da República. Decreto-Lei n.º 125/2025 begruendet das Regime Jurídico da Cibersegurança mit dem CNCS (Centro Nacional de Cibersegurança) als federfuehrender Behoerde und CERT.PT als nationalem CSIRT (in das CNCS integriert). Inkrafttreten am 3. April 2026 (120 Tage nach Veroeffentlichung).

Diário da República|pttranspositionpublication
DEMeilenstein

Bundestag verabschiedet NIS2UmsuCG: Deutschlands NIS2-Umsetzungsgesetz

Der Bundestag verabschiedet das NIS2UmsuCG in 2. und 3. Lesung. Stimmen: CDU/CSU + SPD + AfD dafür, Grüne dagegen, Die Linke enthält sich. Rund 29.500 Einrichtungen fallen nun unter BSI-Aufsicht.

heise Security|legislation
DEMeilenstein

Koalition einigt sich auf NIS2UmsuCG-Kompromisse: Ex-post-Modell für kritische Komponenten

CDU/CSU-SPD-Koalition einigt sich: Regulierung kritischer Komponenten wechselt von Ex-ante-Genehmigung zu Ex-post-Meldung. CISO-Rolle des Bundes an BSI in Bonn übertragen.

heise Security|legislation
Mitgliedstaat

Tschechien: Zákon č. 264/2025 Sb. o kybernetické bezpečnosti tritt in Kraft

Zákon č. 264/2025 Sb. tritt am 1. November 2025 in Kraft. Erste Welle (Einrichtungen, die zum Stichtag im Anwendungsbereich sind) muss sich bis 31. Dezember 2025 ueber portal.nukib.gov.cz selbst identifizieren und registrieren. Spaeter erfasste Einrichtungen haben 60 Tage.

NÚKIB|cztranspositionin-force
GrundschutzMeilenstein

BSI veröffentlicht Grundschutz++ Vorschau auf GitHub (OSCAL/JSON)

BSI veröffentlicht die Stand-der-Technik-Bibliothek auf GitHub mit Vorschau abstrakter Anforderungen im OSCAL/JSON-Format. Nicht produktionsreif: nur erster Entwurf, konkrete Maßnahmen werden noch ergänzt.

BSI|publication
Mitgliedstaat

Tschechien veroeffentlicht Cybersicherheitsgesetz 264/2025 Sb. in der Sbírka zákonů

Am 11. Juni 2025 verabschiedet, am 4. August 2025 in der tschechischen Gesetzessammlung veroeffentlicht, loest das neue Zákon č. 264/2025 Sb. o kybernetické bezpečnosti das Cybersicherheitsgesetz von 2014 ab und setzt NIS 2 um. NÚKIB ist die federfuehrende Aufsicht; GovCERT.CZ ist Teil des NÚKIB; CSIRT.CZ wird von CZ.NIC betrieben. Zweistufiges Modell (hoehere / niedrigere Bedeutung). Sanktionsobergrenze 250 Mio. CZK fuer das hoehere Regime.

NÚKIB|cztranspositionpublication
DEMeilenstein

Bundeskabinett beschließt NIS2UmsuCG-Gesetzentwurf

Das Bundeskabinett beschließt den Entwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes und leitet ihn an das Parlament weiter. Das Gesetz wurde wegen der verpassten EU-Frist im Eilverfahren behandelt.

Bundesregierung|legislation
Mitgliedstaat

Rumaenien: NIS-2-Umsetzung (OUG 155/2024, bestaetigt durch Gesetz 124/2025) tritt in Kraft

Die NIS-2-Richtlinie (EU) 2022/2555 wird in Rumaenien durch die Dringlichkeitsverordnung OUG 155/2024 vom 30. Dezember 2024 (Monitorul Oficial Nr. 1332 vom 31. Dezember 2024) umgesetzt, mit Aenderungen bestaetigt durch Gesetz 124/2025 (Monitorul Oficial Nr. 638 vom 7. Juli 2025), in Kraft seit 10. Juli 2025. Das DNSC ist die zustaendige nationale Cybersicherheitsbehoerde fuer wesentliche und wichtige Einrichtungen.

Portal Legislativ|rotranspositionin-forcelegislation
Mitgliedstaat

Daenemark: NIS 2-loven (LOV nr 434) tritt in Kraft

Vom Folketing am 29. April 2025 verabschiedet, am 6. Mai 2025 unterzeichnet, tritt das daenische NIS 2 Gesetz (Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau) am 1. Juli 2025 in Kraft. Selbstregistrierung ueber virk.dk mit MitID bis 1. Oktober 2025. Energiesektor folgt dem parallelen LOV nr 258 vom 6. Maerz 2025.

Retsinformation|dktranspositionin-force
ENISAMeilenstein

ENISA veröffentlicht NIS2-Leitfaden zur technischen Umsetzung v1.0

170-seitiges Dokument, das CIR 2024/2690 in praktische Maßnahmen in 13 Themenbereichen mit Nachweisbeispielen und Standards-Zuordnungen übersetzt. Primäre Referenz für die NIS2-Compliance-Umsetzung.

ENISA|guidancepublication
Mitgliedstaat

Slowenien: Informationssicherheitsgesetz (ZInfV-1) (NIS-2-Umsetzung) tritt in Kraft

Die NIS-2-Richtlinie (EU) 2022/2555 wird in Slowenien durch das Informationssicherheitsgesetz (Zakon o informacijski varnosti, ZInfV-1) umgesetzt, veroeffentlicht im Uradni list RS 40/25 am 4. Juni 2025 und in Kraft seit 19. Juni 2025. Es definiert wesentliche und wichtige Einrichtungen und weist die Aufsicht der nationalen Informationssicherheitsbehoerde URSIV zu.

Uradni list RS|sitranspositionin-forcelegislation
EUMeilenstein

EK sendet mit Gründen versehene Stellungnahmen an 19 Mitgliedstaaten wegen verspäteter NIS2-Umsetzung

Die Europäische Kommission verschärft Vertragsverletzungsverfahren gegen 19 Mitgliedstaaten, die die NIS2-Richtlinie nicht fristgerecht bis Oktober 2024 umgesetzt haben.

ECSO|enforcementtransposition
EU

Kommission sendet mit Gruenden versehene Stellungnahme an 19 Mitgliedstaaten wegen NIS 2 Umsetzungsversaeumnis

Schritt 2 des Vertragsverletzungsverfahrens: 19 Mitgliedstaaten, die die NIS 2 Umsetzung bis zur Frist am 17. Oktober 2024 nicht vollstaendig notifiziert hatten, erhalten von der Kommission eine mit Gruenden versehene Stellungnahme. Auf der Liste stehen Deutschland, Frankreich, Spanien, Niederlande, Schweden, Finnland, Daenemark, Portugal, Irland, Polen und weitere. Naechster Schritt: Klage beim EuGH.

European Commission|enforcementinfringement
Mitgliedstaat

Zypern setzt NIS 2 mit Gesetz 60(I)/2025 um

Die NIS-2-Richtlinie (EU) 2022/2555 wurde durch das Gesetz ueber die Sicherheit von Netz- und Informationssystemen (Aenderung) von 2025, Gesetz 60(I)/2025, in zyprisches Recht umgesetzt. Es aendert das Gesetz 89(I)/2020 und trat am 25. April 2025 in Kraft. Die Aenderung erweitert den Kreis der wesentlichen und wichtigen Einrichtungen und verschaerft die Pflichten zu Risikomanagement und Vorfallsmeldung.

CyLaw|cytranspositionin-forcelegislation
Mitgliedstaat

Finnland: Kyberturvallisuuslaki 124/2025 tritt in Kraft

Das finnische Parlament hat die Kyberturvallisuuslaki am 13. Maerz 2025 verabschiedet; sie tritt als Gesetz 124/2025 am 8. April 2025 in Kraft. Erste Registrierungsfrist 8. Mai 2025. Traficom koordiniert; NCSC-FI ist nationales CSIRT und EU-Anlaufstelle. Dezentrale Aufsicht ueber Sektorregulatoren (Energiavirasto, Finanssivalvonta, Tukes).

Finlex|fitranspositionin-force
Mitgliedstaat

Malta erlaesst NIS-2-Umsetzung durch Legal Notice 71 von 2025

Die NIS-2-Richtlinie (EU) 2022/2555 wurde durch die Verordnung ueber Massnahmen fuer ein hohes gemeinsames Cybersicherheitsniveau in der Europaeischen Union (Malta) von 2025, Legal Notice 71 von 2025 (S.L. 460.41), in maltesisches Recht umgesetzt, veroeffentlicht im Regierungsanzeiger Nr. 21.418 vom 8. April 2025. Ihre Bestimmungen treten zu vom zustaendigen Minister festgelegten Zeitpunkten in Kraft (gestufte Inkraftsetzung).

Laws of Malta|mttranspositionlegislation
Mitgliedstaat

Ungarn: Gesetz LXIX von 2024 ueber Cybersicherheit tritt in Kraft

Die NIS-2-Richtlinie (EU) 2022/2555 wird in Ungarn durch das Gesetz LXIX von 2024 ueber die Cybersicherheit Ungarns (2024. evi LXIX. torveny) umgesetzt, vom Parlament am 20. Dezember 2024 verabschiedet und seit 1. Januar 2025 in Kraft. Es loest die fruehere Teilumsetzung (Gesetz XXIII von 2023) ab und buendelt die ungarische Cybersicherheitsregelung in einem von der SZTFH beaufsichtigten Rahmen.

Nemzeti Jogszabalytar|hutranspositionin-forcelegislation
Mitgliedstaat

Slowakei: Gesetz 366/2024 Z.z. zur Aenderung des Cybersicherheitsgesetzes (NIS-2-Umsetzung) tritt in Kraft

Die NIS-2-Richtlinie (EU) 2022/2555 wird in der Slowakei durch das Gesetz 366/2024 Z.z. zur Aenderung des Gesetzes 69/2018 Z.z. ueber Cybersicherheit (zakon o kybernetickej bezpecnosti) umgesetzt, in Kraft seit 1. Januar 2025. Es erweitert den Kreis der regulierten Einrichtungen und weist die Aufsicht der Nationalen Sicherheitsbehoerde (NBU) zu.

Slov-Lex|sktranspositionin-forcelegislation

2024

Mitgliedstaat

Griechenland setzt NIS 2 mit Gesetz 5160/2024 um

Die NIS-2-Richtlinie (EU) 2022/2555 wurde durch das Gesetz 5160/2024 in griechisches Recht umgesetzt, veroeffentlicht im Regierungsanzeiger FEK A' 195 vom 27. November 2024 und seither in Kraft. Das Gesetz ordnet den nationalen Cybersicherheitsrahmen unter der nationalen Cybersicherheitsbehoerde neu und erweitert den Kreis der wesentlichen und wichtigen Einrichtungen.

Greek National Cyber Security Authority|grtranspositionin-forcelegislation
CIRMeilenstein

CIR 2024/2690 tritt in Kraft

Die Durchführungsverordnung wird 20 Tage nach Veröffentlichung in allen EU-Mitgliedstaaten verbindlich und legt die technische Grundlage für NIS2-Compliance fest.

EUR-Lex|legislation
CIRMeilenstein

CIR 2024/2690 veröffentlicht: Durchführungsverordnung zu technischen NIS2-Anforderungen

Durchführungsverordnung (EU) 2024/2690 veröffentlicht. Sie legt technische und methodische Anforderungen an NIS2-Cybersicherheits-Risikomanagementmaßnahmen für digitale Infrastruktur- und Dienstleister fest.

EUR-Lex|legislationpublication
Mitgliedstaat

Belgien: Gesetz vom 26. April 2024 (NIS 2) tritt in Kraft

Belgien haelt die EU-Frist ein. Das Loi du 26 avril 2024 (im Moniteur belge am 17. Mai 2024 veroeffentlicht) tritt am 18. Oktober 2024 in Kraft. Das CCB betreibt Safeonweb@Work als nationales Registrierungsportal; CERT.be liegt innerhalb des CCB.

CCB Belgium|betranspositionin-force
Mitgliedstaat

Litauen: geaendertes Cybersicherheitsgesetz (NIS-2-Umsetzung) tritt in Kraft

Die NIS-2-Richtlinie (EU) 2022/2555 wird in Litauen durch das Cybersicherheitsgesetz (Kibernetinio saugumo istatymas, Nr. XII-1428 in der durch Gesetz XIV-2902 geaenderten Fassung) umgesetzt, das am 11. Juli 2024 verabschiedet wurde und seit 18. Oktober 2024 in Kraft ist.

European Commission|lttranspositionin-forcelegislation
EUMeilenstein

NIS2-Umsetzungsfrist läuft ab: die meisten Mitgliedstaaten verpassen sie

Mitgliedstaaten mussten NIS2 bis zu diesem Datum in nationales Recht umsetzen. Die meisten, einschließlich Deutschland, verpassen die Frist. Nur Belgien hat vollständig umgesetzt und mit der Durchsetzung begonnen.

ECSO|deadlinetransposition
Mitgliedstaat

Italien veroeffentlicht Decreto Legislativo n. 138/2024 (NIS 2 Umsetzung)

Italien gehoert zu den ersten Mitgliedstaaten mit formaler NIS 2 Umsetzung. D.Lgs. 138/2024 vom 4. September 2024 benennt die ACN (Agenzia per la Cybersicurezza Nazionale) als alleinige zustaendige Behoerde und Traegerin von CSIRT Italia. Inkrafttreten am 16. Oktober 2024.

ACN Italy|ittranspositionpublication
Mitgliedstaat

Lettland: Nationales Cybersicherheitsgesetz (NIS-2-Umsetzung) tritt in Kraft

Die NIS-2-Richtlinie (EU) 2022/2555 wird in Lettland durch das Nationale Cybersicherheitsgesetz (Nacionalas kiberdrosibas likums) umgesetzt, das die Saeima am 20. Juni 2024 verabschiedete, das am 4. Juli 2024 in Latvijas Vestnesis veroeffentlicht wurde und seit 1. September 2024 in Kraft ist.

Latvijas Vestnesis|lvtranspositionin-forcelegislation
Mitgliedstaat

Kroatien: Zakon o kibernetickoj sigurnosti (NIS-2-Umsetzung) tritt in Kraft

Kroatien setzt die NIS-2-Richtlinie (EU) 2022/2555 um. Das Cybersicherheitsgesetz (Zakon o kibernetickoj sigurnosti), veroeffentlicht in Narodne novine 14/2024, tritt am 15. Februar 2024 in Kraft. Kroatien gehoert damit zu den fruehesten Mitgliedstaaten mit Umsetzung. Das Gesetz definiert wesentliche und wichtige Einrichtungen und regelt die Aufsicht im nationalen Cybersicherheitsrahmen.

Narodne novine|hrtranspositionin-forcelegislation

2023

GrundschutzMeilenstein

IT-Grundschutz-Kompendium Edition 2023 veröffentlicht

BSI veröffentlicht das IT-Grundschutz-Kompendium Edition 2023, der aktuelle Produktionsstandard für Informationssicherheitsmanagement in Deutschland. Bleibt die gültige Audit-Referenz während der Grundschutz++-Übergangsphase.

BSI|publication
EUMeilenstein

NIS2-Richtlinie tritt in Kraft

Die NIS2-Richtlinie tritt 20 Tage nach Veröffentlichung in Kraft. Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit zur Umsetzung in nationales Recht.

EUR-Lex|legislation

2022

EUMeilenstein

NIS2-Richtlinie im Amtsblatt veröffentlicht

Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union im Amtsblatt der EU veröffentlicht.

EUR-Lex|legislationpublication