Die EU-Kommission bereitet rechtliche Schritte gegen mehrere Mitgliedsstaaten vor, die die NIS2-Richtlinie noch immer nicht in nationales Recht umgesetzt haben. Besonders Frankreich, Spanien, die Niederlande und Irland stehen im Fokus.
Verzug gefährdet Cybersicherheit in Europa
Obwohl die ursprüngliche Umsetzungsfrist bereits im Oktober 2024 ablief, haben nur vier EU-Staaten die Vorgaben fristgerecht erfüllt. Die Kommission will nun Verfahren vor dem Europäischen Gerichtshof einleiten. In Frankreich steckt das entsprechende Gesetz, das „Projet de loi Résilience“, seit Monaten im Parlament fest.
Anzeige: Wer die NIS2-Frist am 30. Juni im Blick hat, muss jetzt handeln – die Geschäftsführung haftet direkt. Dieser Report liefert die drei dringendsten Werkzeuge: Checkliste, Patch-Plan und Business-Continuity-Muster. Jetzt kostenlosen NIS2-Report anfordern
Für Unternehmen wird die Lage zunehmend brisant. Die Richtlinie sieht empfindliche Strafen vor: Wesentliche Einrichtungen müssen mit Bußgeldern von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes rechnen. Für wichtige Einrichtungen drohen sieben Millionen Euro oder 1,4 Prozent des globalen Umsatzes.
Deutschland als Vorreiter – mit neuen Pflichten
Anders als viele Nachbarn hat Deutschland seine Hausaufgaben gemacht. Das NIS2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft. Rund 30.000 Unternehmen sind hierzulande betroffen – aus 18 verschiedenen Sektoren. Die Regelungen gelten für Organisationen ab 50 Mitarbeitern oder einem Jahresumsatz von zehn Millionen Euro.
Erst am Dienstag dieser Woche startete das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Umfrage, um den Unterstützungsbedarf kleiner und mittlerer Unternehmen zu ermitteln. Die BSI-Registrierungsfrist endete bereits am 6. März 2026. Klar ist: Die Geschäftsführung haftet künftig direkt für Sicherheitslücken.
Personalmangel als größte Hürde
Ein aktueller Bericht der EU-Agentur für Cybersicherheit (ENISA) aus dem Frühjahr 2026 zeigt die operativen Schwierigkeiten der Unternehmen. Zwar bleiben die Investitionen in Cybersicherheit stabil bei durchschnittlich neun Prozent des IT-Budgets – das entspricht einem Median von 1,5 Millionen Euro. Doch die Mittel fließen zunehmend von Personal in Technik.
Der Grund: 76 Prozent der Organisationen finden keine qualifizierten Fachkräfte. Auch technische Schwachstellen sind weit verbreitet. Rund 28 Prozent der Unternehmen benötigen mehr als drei Monate, um kritische Sicherheitsupdates einzuspielen. Ein Drittel der Befragten hat im vergangenen Jahr überhaupt kein Cybersicherheits-Audit durchgeführt.
Die größten Herausforderungen bei der NIS2-Umsetzung sind:
– Patch-Management (50 Prozent der Unternehmen)
– Business-Continuity-Planung (49 Prozent)
– Lieferkettensicherheit (37 Prozent)
Fristen laufen – neue Regeln kommen
Anzeige: 76 Prozent der Organisationen finden keine qualifizierten Fachkräfte – doch die NIS2-Pflichten gelten trotzdem. Mit diesem Report erhalten Sie einen Schritt-für-Schritt-Patch-Management-Plan und ein Muster für die Business-Continuity-Planung, die Sie ohne zusätzliches Personal umsetzen können. NIS2-Report mit Praxis-Werkzeugen sichern
Für Unternehmen, die bereits unter nationalen NIS2-Regelungen stehen, tickt die Uhr. In einigen Ländern endet die Frist für die jährliche Kategorisierung von Aktivitäten und Diensten bereits am 30. Juni 2026. Diese Meldepflicht gilt für alle Firmen in den nationalen NIS-Registern. Bis zum 31. Oktober 2026 müssen zudem grundlegende Sicherheitsmaßnahmen umgesetzt sein.
Parallel dazu zeichnet sich eine weitere Regulierung ab: Das EU-Weltraumgesetz (EU Space Act), das sich seit Mai 2026 im Gesetzgebungsprozess befindet, verlangt künftig „Security-by-Design“-Vorgaben und führt eine zivilrechtliche Haftung für Dienstanbieter ein – unabhängig vom Standort ihrer Satelliten.
Branchenexperten kommen vom 16. bis 18. Juni 2026 auf dem ISA OT Cybersecurity Summit in Prag zusammen, um die Verzahnung von NIS2 mit dem Cyber Resilience Act und internationalen Standards wie ISA/IEC 62443 zu diskutieren. Im Fokus steht die Sicherheit von Betriebstechnologie und Lieferketten in kritischen Infrastrukturen wie Energie und Wasser.
