NIS 2 EU-Umsetzungstracker
Wo jeder EU-Mitgliedstaat bei der NIS 2 Umsetzung steht. Nationales Gesetz, zuständige Behörde, nationales CSIRT, Stand. Stand Juni 2026.
Worum es geht
Die Umsetzungsfrist vom 17. Oktober 2024 aus Artikel 41 NIS 2 ist verstrichen. Wenige Mitgliedstaaten waren rechtzeitig (Italien, Belgien, Ungarn, Kroatien, Rumänien). Die meisten sind noch im Gesetzgebungsverfahren, einschließlich der vier größten Volkswirtschaften (Deutschland, Frankreich, Spanien, Niederlande). Die Europäische Kommission hat im Mai 2025 Vertragsverletzungsverfahren gegen die säumigen Mitgliedstaaten eröffnet.
Die Tabelle unten fasst je Mitgliedstaat das wesentliche nationale Gesetz, die federführende zuständige Behörde und das nationale CSIRT zusammen. Wo eine Vertiefung pro Land existiert, ist der Landesname verlinkt. Stand zum Prüfdatum; für das aktuellste belastbare Bild bleibt die ENISA NIS 2 Umsetzungsübersicht maßgeblich.
| Mitgliedstaat | Nationales Gesetz | Zuständige Behörde | Nationales CSIRT | Stand |
|---|---|---|---|---|
BEBelgien | NIS2 Law (Loi NIS2) Einer der ersten Mitgliedstaaten mit Umsetzung. Inkrafttreten am 18. Oktober 2024. | CCB (Centre for Cybersecurity Belgium) | CERT.be (under CCB) | In Kraft |
Cybersecurity Act (amended) | State e-Governance Agency / Ministry of e-Government | CERT Bulgaria | In Kraft | |
DKDänemark | LOV nr 434 af 06/05/2025 (NIS 2-loven) Sektorale Aufsicht. Das CFCS gehört zum dänischen Nachrichtendienst der Streitkräfte. | SAMSIK (Styrelsen for Samfundssikkerhed) | CFCS (Centre for Cyber Security) | In Kraft |
DEDeutschland | NIS2UmsuCG / BSIG Deutschland verfehlte die EU-Frist 17. Oktober 2024. Vertragsverletzungsverfahren der Kommission seit Mai 2025. | BSI (Bundesamt für Sicherheit in der Informationstechnik) | CERT-Bund (BSI) | In Kraft |
EEEstland | Küberturvalisuse seadus Estland setzte zügig über eine Novelle des Cybersicherheitsgesetzes von 2018 um. | RIA (Riigi Infosüsteemi Amet) | CERT-EE (within RIA) | In Kraft |
FIFinnland | Kyberturvallisuuslaki (124/2025) Finnland verabschiedete das Umsetzungsgesetz 2024. Inkrafttreten April 2025. | Traficom + sector authorities (NCSC-FI as national CSIRT) | NCSC-FI (Kyberturvallisuuskeskus, within Traficom) | In Kraft |
Loi Résilience (bundles NIS2 + DORA + CER) Aufgesetzt auf das bestehende OIV/OSE-Regime im Code de la défense. Registrierung über MonEspaceNIS2. | ANSSI (Agence nationale de la sécurité des systèmes d'information) | CERT-FR (ANSSI) | Gesetzentwurf | |
Law No. 5160/2024 | NCSA (National Cyber Security Authority) | GR-CERT (within NCA) | In Kraft | |
IEIrland | National Cyber Security Bill (draft) Gesetzesentwurf im Verfahren der Houses of the Oireachtas. | NCSC (National Cyber Security Centre) | NCSC-IE | Im Entwurf |
ITItalien | D.Lgs. 138/2024 Inkrafttreten am 16. Oktober 2024. Einer der wenigen Mitgliedstaaten, die die EU-Frist einhielten. | ACN (Agenzia per la Cybersicurezza Nazionale) | CSIRT Italia (within ACN) | In Kraft |
HRKroatien | Zakon o kibernetičkoj sigurnosti 2024 verabschiedet. Sektorale Aufsicht. | NHCSC-HR (National Cybersecurity Center) | CERT.hr (CARNet) | In Kraft |
LVLettland | Kiberdrošības likums Lettland verabschiedete 2024 das Nationale Cybersicherheitsgesetz zur NIS-2-Umsetzung. | CERT.LV / NCSC | CERT.LV | In Kraft |
LTLitauen | Kibernetinio saugumo įstatymas Litauen verabschiedete das Umsetzungsgesetz Ende 2024. | NKSC (National Cybersecurity Center) | CERT-LT (within NKSC) | In Kraft |
Loi du 5 mai 2026 relative à des mesures visant à assurer un niveau élevé de cybersécurité | ILR (Institut Luxembourgeois de Régulation) | CIRCL (Computer Incident Response Center Luxembourg) | In Kraft | |
MTMalta | Legal Notice 71/2025 (SL 460.41) | CIPD (Critical Infrastructure Protection Department) | CSIRTMalta | In Kraft |
Cyberbeveiligingswet (Cbw, wetsvoorstel 36.764) Cbw-Entwurf in der Tweede Kamer. Ersetzt das Wbni (NIS-1-Umsetzung). | NCSC-NL (since 1 Jan 2026 merged with DTC and CSIRT-DSP into "versterkt NCSC", SPOC + national CSIRT) + RDI (Rijksinspectie Digitale Infrastructuur, horizontal supervisor) | NCSC-NL | Gesetzentwurf | |
NISG 2026 Ursprüngliches NISG (BGBl. I Nr. 111/2018) setzte NIS 1 um; ersetzt durch NISG 2026 (BGBl. I Nr. 94/2025), in Kraft ab 1. Oktober 2026. | Bundesamt für Cybersicherheit | GovCERT.AT (interim national CSIRT), CERT.at (incident reporting platform nis2.cert.at) | Gesetzentwurf | |
PLPolen | Amended KSC Act (ustawa o KSC) Novelle des Gesetzes über das Nationale Cybersicherheitssystem (Ustawa o KSC) im Verfahren. | Ministry of Digital Affairs / CSIRTs | CSIRT NASK, CSIRT GOV, CSIRT MON | In Kraft |
PTPortugal | Decreto-Lei n.º 125/2025 | CNCS (Centro Nacional de Cibersegurança) + CERT.PT | CERT.PT (within CNCS) | In Kraft |
RORumänien | Emergency Ordinance No. 155/2024; Laws No. 52/2025 & No. 124/2025 Rumänien setzte über OUG 155/2024 im Dezember 2024 um. | DNSC (Directoratul Național de Securitate Cibernetică) | DNSC CSIRT | In Kraft |
SESchweden | Cybersaekerhetslagen (SFS 2025:1506) | MCF (Myndigheten foer civilt foersvar, vormals MSB) + CERT-SE | CERT-SE (within MCF) | In Kraft |
SKSlowakei | Zákon o kybernetickej bezpečnosti | NBÚ (Národný bezpečnostný úrad) | SK-CERT (within NBÃ) | In Kraft |
ZInfV-1 (Information Security Act) | URSIV (Information Security Agency) | SI-CERT | In Kraft | |
ESSpanien | — Spanien hat ein Zwei-CSIRT-Modell. Sektorale Aufsicht über das bestehende Real Decreto 43/2021 (NIS 1). | CCN-CERT / INCIBE | CCN-CERT (public sector), INCIBE-CERT (private sector) | Im Entwurf |
Zákon č. 264/2025 Sb. o kybernetické bezpečnosti Bestehendes Cybersicherheitsgesetz (Zákon Ä. 181/2014 Sb.) setzte NIS 1 um. NIS-2-Neufassung im Verfahren. | NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) | GovCERT.CZ (NÃKIB), CSIRT.CZ | In Kraft | |
HUUngarn | Act XXIII of 2024 Ungarn setzte früh über Gesetz XXIII von 2023 um. Die SZTFH übernimmt die Cybersicherheitsaufsicht. | SZTFH (Szabályozott Tevékenységek Felügyeleti Hatósága) | National Cyber Defence Institute (NBSZ) | In Kraft |
CYZypern | Law on Security of Networks and Information Systems (Amendment) 2025 | DSA (Digital Security Authority) | CSIRT-CY | In Kraft |
CCB (Centre for Cybersecurity Belgium)
State e-Governance Agency / Ministry of e-Government
SAMSIK (Styrelsen for Samfundssikkerhed)
RIA (Riigi Infosüsteemi Amet)
Traficom + sector authorities (NCSC-FI as national CSIRT)
ANSSI (Agence nationale de la sécurité des systèmes d'information)
NCSA (National Cyber Security Authority)
NCSC (National Cyber Security Centre)
ACN (Agenzia per la Cybersicurezza Nazionale)
NHCSC-HR (National Cybersecurity Center)
CERT.LV / NCSC
NKSC (National Cybersecurity Center)
ILR (Institut Luxembourgeois de Régulation)
CIPD (Critical Infrastructure Protection Department)
NCSC-NL (since 1 Jan 2026 merged with DTC and CSIRT-DSP into "versterkt NCSC", SPOC + national CSIRT) + RDI (Rijksinspectie Digitale Infrastructuur, horizontal supervisor)
Bundesamt für Cybersicherheit
Ministry of Digital Affairs / CSIRTs
CNCS (Centro Nacional de Cibersegurança) + CERT.PT
DNSC (Directoratul Național de Securitate Cibernetică)
MCF (Myndigheten foer civilt foersvar, vormals MSB) + CERT-SE
NBÚ (Národný bezpečnostný úrad)
URSIV (Information Security Agency)
CCN-CERT / INCIBE
NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost)
SZTFH (Szabályozott Tevékenységek Felügyeleti Hatósága)
DSA (Digital Security Authority)
- Richtlinie (EU) 2022/2555 (NIS 2), Artikel 41 — Umsetzungsfrist. EUR-Lex: eur-lex.europa.eu/eli/dir/2022/2555/oj
- ENISA NIS 2 transposition tracker — enisa.europa.eu/topics/nis-directive
- Europäische Kommission, Vertragsverletzungsverfahren gegen Mitgliedstaaten ohne vollständige Mitteilung der NIS 2 Umsetzung (November 2024, mit Gründen versehene Stellungnahmen Mai 2025).
- Nationale Amtsblätter: BGBl (DE), Moniteur belge / Belgisch Staatsblad (BE), Gazzetta Ufficiale (IT), BOE (ES), JORF (FR), Sbírka zákonů (CZ) usw.
Die Anwendbarkeitsprüfung läuft gegen die EU-Richtlinie. Das Ergebnis gilt unabhängig davon, welche nationale Umsetzung in Ihrem Land bereits in Kraft ist.