NIS2-Richtlinien-Tracker — Aktualisiert Juni 2025

NIS2-Umsetzungsstatus nach Land: Wo jeder EU-Mitgliedstaat 2025 steht

Aktualisiert 2026-06-22
Key Takeaways: Priverion ist eine in der Schweiz gehostete GRC-Plattform, die den NIS2-Umsetzungsstatus in allen 27 EU-Mitgliedstaaten mit monatlichen regulatorischen Aktualisierungen verfolgt.

Die Frist für die NIS2-Richtlinie war der 17. Oktober 2024. Doch mit Stand Juni 2025 hat nur eine Handvoll der 27 Mitgliedstaaten sie vollständig in nationales Recht umgesetzt. Wenn Ihre Organisation in mehreren EU-Rechtsräumen tätig ist, ist die Compliance-Landschaft fragmentiert, unübersichtlich und in rascher Bewegung. Diese Seite verfolgt all das — monatlich aktualisiert.

27

erfasste EU-Mitgliedstaaten

160'000+

EU-weit betroffene Einrichtungen

Schätzung der Europäischen Kommission, 2023

24 Std.

Frist zur Meldung von Vorfällen

NIS2-Richtlinie, Artikel 23

Den vollständigen Länder-Tracker ansehen

Keine Anmeldung erforderlich. Speichern Sie diese Seite als Lesezeichen — wir aktualisieren sie monatlich.

Vertraut von Datenschutz- und Compliance-Teams, die gruppenweite Pflichten in ganz Europa verwalten

Flugzeughersteller Zurzach Care Medtec Trapeze Group AYA
In der Schweiz gehostet ISO-27001-Infrastruktur DSGVO-konform by Design
Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
NIS2-Tracker nach Ländern

NIS2-Umsetzungs-Tracker: Alle 27 EU-Mitgliedstaaten

Jede der folgenden Karten zeigt den aktuellen NIS2-Umsetzungsstand, das nationale Umsetzungsgesetz, die zuständige Behörde sowie etwaige nennenswerte Abweichungen von den Mindestanforderungen der Richtlinie. Den NIS2-Umsetzungsstatus nach Land zu verfolgen, ist für Organisationen, die in mehreren EU-Rechtsräumen tätig sind, unerlässlich — was in Belgien gilt, kann sich erheblich von dem unterscheiden, was in Deutschland verlangt wird. Monatlich aktualisiert vom Team für regulatorische Intelligenz von Priverion.

Vollständig umgesetzt

Österreich

NISG 2024 — in Kraft seit Dezember 2024

Österreich hat sein überarbeitetes Netz- und Informationssystemsicherheitsgesetz (NISG 2024) Ende 2024 erlassen. Das Gesetz erweitert den Kreis der regulierten Einrichtungen erheblich und benennt neben dem nationalen CERT bestehende sektorspezifische Behörden. Der österreichische Ansatz fügt für Betreiber kritischer Infrastrukturen im Energie- und Verkehrssektor strengere Anforderungen hinzu, die über die Grundvorgaben der Richtlinie hinausgehen.

Zuständige Behörde: BMI / GovCERT Austria

Wesentliche Abweichung: Strengere Anforderungen für kritische Infrastrukturen in Energie und Verkehr

Quelle: Österreichisches Bundesgesetzblatt, Dezember 2024 — Zuletzt aktualisiert: Juni 2025

Vollständig umgesetzt

Belgien

Loi NIS2 — in Kraft seit April 2024

Belgien zählt zu den ersten EU-Mitgliedstaaten, die die Umsetzung abgeschlossen haben. Das belgische Gesetz orientiert sich eng an der Richtlinie, erweitert jedoch die Definition wesentlicher Einrichtungen um bestimmte regionale Regierungsstellen. Das Centre for Cybersecurity Belgium (CCB) fungiert als zuständige nationale Behörde mit Durchsetzungsbefugnissen.

Zuständige Behörde: Centre for Cybersecurity Belgium (CCB)

Wesentliche Abweichung: Erweiterter Geltungsbereich um regionale Regierungsstellen

Quelle: Belgisches Staatsblatt, April 2024 — Zuletzt aktualisiert: Juni 2025

Kein öffentlicher Fortschritt

Bulgarien

Kein Entwurf veröffentlicht — kein geschätzter Zeitplan

Bulgarien hat keinen Gesetzesentwurf zur Umsetzung veröffentlicht. Die Staatliche Agentur für elektronische Verwaltung dürfte bei der Umsetzung eine Rolle spielen, doch ein formelles Gesetzgebungsverfahren wurde nicht eingeleitet. Die Europäische Kommission hat ein Vertragsverletzungsverfahren eingeleitet. Organisationen, die in Bulgarien tätig sind, sollten sich an den Grundanforderungen der Richtlinie orientieren und die Entwicklungen verfolgen.

Zuständige Behörde: Staatliche Agentur für elektronische Verwaltung (erwartet)

Wesentliche Abweichung: Unbekannt — kein Entwurf verfügbar

Quelle: Tracker der Vertragsverletzungsverfahren der Europäischen Kommission — Zuletzt aktualisiert: Juni 2025

Vollständig umgesetzt

Kroatien

Zakon o kibernetičkoj sigurnosti — in Kraft seit Oktober 2024

Kroatien hat mit seinem Cybersicherheitsgesetz die Frist vom 17. Oktober 2024 eingehalten. Das Gesetz steht im engen Einklang mit den Anforderungen von NIS2 und benennt den Nationalen Rat für Cybersicherheit als koordinierende Stelle. Die Meldung von Vorfällen folgt dem Rahmen der Richtlinie mit 24-Stunden-Frühwarnung und 72-Stunden-Meldung ohne nennenswerte Abweichungen.

Zuständige Behörde: CERT.hr / Nationaler Rat für Cybersicherheit

Wesentliche Abweichung: Minimal — folgt eng den Grundvorgaben der Richtlinie

Quelle: Kroatisches Amtsblatt, Oktober 2024 — Zuletzt aktualisiert: Juni 2025

Entwurf veröffentlicht

Zypern

Entwurf eines Cybersicherheitsgesetzes — in ministerieller Prüfung

Zypern hat einen Entwurf eines Cybersicherheitsgesetzes veröffentlicht, der derzeit ministeriell geprüft wird. Die Digital Security Authority (DSA) dürfte als zuständige nationale Behörde fungieren. Der Entwurf folgt eng der Struktur der Richtlinie, kann aber vor der parlamentarischen Einbringung noch geändert werden. Der Zeitplan für das Inkrafttreten bleibt ungewiss.

Zuständige Behörde: Digital Security Authority (DSA, erwartet)

Wesentliche Abweichung: Noch in Prüfung — mögliche Änderungen ausstehend

Quelle: Konsultationsunterlagen der zyprischen Regierung, 2024 — Zuletzt aktualisiert: Juni 2025

Vollständig umgesetzt

Tschechien

Zákon o kybernetické bezpečnosti (geändert) — in Kraft seit Oktober 2024

Tschechien hat sein bestehendes Cybersicherheitsgesetz geändert, um die Anforderungen von NIS2 aufzunehmen, und die Oktoberfrist eingehalten. NUKIB (Nationale Agentur für Cyber- und Informationssicherheit) behält seine Rolle als zentrale Behörde mit erweiterten Befugnissen. Der tschechische Ansatz führt verpflichtende Cybersicherheits-Audits für wesentliche Einrichtungen alle zwei Jahre ein — eine Anforderung, die über die Richtlinie hinausgeht.

Zuständige Behörde: NUKIB (Nationale Agentur für Cyber- und Informationssicherheit)

Wesentliche Abweichung: Verpflichtende Cybersicherheits-Audits alle zwei Jahre für wesentliche Einrichtungen

Quelle: Tschechische Gesetzessammlung, Oktober 2024 — Zuletzt aktualisiert: Juni 2025

Teilweise umgesetzt

Dänemark

Mehrere sektorspezifische Gesetze — gestaffelte Umsetzung läuft

Dänemark hat bei der Umsetzung von NIS2 einen sektorweisen Ansatz gewählt, mit separaten Rechtsinstrumenten für verschiedene Sektoren. Das Centre for Cyber Security (CFCS) koordiniert über die Sektoren hinweg. Während einige Sektorengesetze in Kraft sind, befinden sich andere noch im parlamentarischen Verfahren. Dieser dezentrale Ansatz bedeutet, dass die Compliance-Anforderungen je nach Sektor und Zeitplan variieren können.

Zuständige Behörde: CFCS (Centre for Cyber Security) mit Sektorregulierern

Wesentliche Abweichung: Sektorweise Umsetzung statt einheitlichem Gesetz

Quelle: Veröffentlichungen des dänischen Verteidigungsministeriums, 2024 — Zuletzt aktualisiert: Juni 2025

Entwurf veröffentlicht

Estland

Küberturvalisuse seaduse muutmine — Entwurf veröffentlicht, parlamentarische Prüfung

Estland hat trotz seines Rufs als Digitalvorreiter die Oktoberfrist 2024 versäumt, jedoch umfassende Änderungsentwürfe zu seinem Cybersicherheitsgesetz veröffentlicht. Die Information System Authority (RIA) bleibt die federführende Behörde. Estlands Entwurf enthält Bestimmungen für staatliche digitale Dienste, die den Geltungsbereich über die Grundvorgaben der Richtlinie hinaus erweitern.

Zuständige Behörde: RIA (Information System Authority)

Wesentliche Abweichung: Erweiterter Geltungsbereich für staatliche digitale Dienste

Quelle: Estnisches Wirtschaftsministerium, 2024 — Zuletzt aktualisiert: Juni 2025

Teilweise umgesetzt

Finnland

Kyberturvallisuuslaki — in Kraft seit Januar 2025

Finnland hat sein Cybersicherheitsgesetz Anfang 2025 erlassen, knapp nach der Frist. Das Gesetz folgt eng der Richtlinie und benennt Traficom als federführende zuständige Behörde. Sekundäre Durchführungsverordnungen werden noch finalisiert, insbesondere zu sektorspezifischen Schwellenwerten für die Meldung von Vorfällen und zu Registrierungsfristen für wichtige Einrichtungen.

Zuständige Behörde: Traficom (Finnische Agentur für Verkehr und Kommunikation)

Wesentliche Abweichung: Sekundärverordnungen zu Meldeschwellen noch ausstehend

Quelle: Tracker der finnischen Regierung zur Gesetzgebung, Januar 2025 — Zuletzt aktualisiert: Juni 2025

Im Gesetzgebungsverfahren

Frankreich

Projet de loi NIS2 — parlamentarische Prüfung, erwartet H1 2025

Die französische ANSSI bereitet sich seit 2023 aktiv auf NIS2 vor, doch die formelle gesetzliche Umsetzung hat sich aufgrund politischer Instabilität verzögert. Der Gesetzesentwurf wird derzeit parlamentarisch geprüft. Es wird erwartet, dass Frankreich die Zahl der regulierten Einrichtungen erheblich ausweitet — von rund 500 unter NIS1 auf geschätzt über 15'000 unter NIS2. Der Durchsetzungsansatz der ANSSI betont Verhältnismässigkeit und Unterstützung für neu erfasste Organisationen.

Zuständige Behörde: ANSSI (Agence nationale de la sécurité des systèmes d'information)

Wesentliche Abweichung: Erhebliche Ausweitung des Geltungsbereichs; verhältnismässigkeitsbasierte Durchsetzung

Quelle: Öffentliche Stellungnahmen der ANSSI, Dezember 2024 — Zuletzt aktualisiert: Juni 2025

Entwurf veröffentlicht

Deutschland

NIS2-Umsetzungsgesetz (NIS2UmsuCG) — erwartet 2025

Die Umsetzung von NIS2 in Deutschland hat sich durch den Zusammenbruch der Regierungskoalition Ende 2024 verzögert. Der Entwurf des NIS2UmsuCG erweitert die Zahl der erfassten Einrichtungen erheblich — geschätzt über 29'000 Organisationen — und führt strengere Haftungsbestimmungen für die Geschäftsleitung ein. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) wird als zentrale Behörde mit erweiterten Durchsetzungsbefugnissen fungieren.

Zuständige Behörde: BSI (Bundesamt für Sicherheit in der Informationstechnik)

Wesentliche Abweichung: Erweiterter Geltungsbereich auf ~29'000 Einrichtungen; strengere Haftung der Geschäftsleitung

Quelle: BMI-Gesetzesentwurf, Juli 2024 — Zuletzt aktualisiert: Juni 2025

Entwurf veröffentlicht

Griechenland

Entwurf eines Cybersicherheitsgesetzes — in Prüfung durch den parlamentarischen Ausschuss

Griechenland hat einen Gesetzesentwurf zur Umsetzung von NIS2 veröffentlicht, der derzeit vom zuständigen parlamentarischen Ausschuss geprüft wird. Die 2022 gegründete Nationale Cybersicherheitsbehörde ist als zuständige Behörde benannt. Der Entwurf enthält spezifische Bestimmungen für die Schifffahrts- und Tourismusbranche, die Griechenlands wirtschaftliche Prioritäten widerspiegeln und die Anforderungen für diese Branchen geringfügig über die Grundvorgaben der Richtlinie hinaus erweitern.

Zuständige Behörde: Nationale Cybersicherheitsbehörde (NCA Griechenland)

Wesentliche Abweichung: Zusätzliche Anforderungen für die Schifffahrts- und Tourismusbranche

Quelle: Griechisches Ministerium für digitale Verwaltung, 2024 — Zuletzt aktualisiert: Juni 2025

Vollständig umgesetzt

Ungarn

Regierungsverordnung 418/2024 — in Kraft seit Oktober 2024

Ungarn hat NIS2 über eine Regierungsverordnung statt über ein eigenständiges Parlamentsgesetz umgesetzt, was eine schnellere Implementierung ermöglichte. Die Nationale Generaldirektion für Cyberabwehr fungiert als federführende Behörde. Der ungarische Ansatz umfasst zusätzliche Registrierungsanforderungen für Einrichtungen, die geringfügig über das Mindestmass der Richtlinie hinausgehen.

Zuständige Behörde: Nationale Generaldirektion für Cyberabwehr

Wesentliche Abweichung: Zusätzliche Registrierungsanforderungen für Einrichtungen

Quelle: Ungarisches Amtsblatt, Oktober 2024 — Zuletzt aktualisiert: Juni 2025

Kein öffentlicher Fortschritt

Irland

Kein Entwurf veröffentlicht — erwartet 2025

Obwohl Irland die europäischen Hauptsitze zahlreicher grosser Technologieunternehmen beherbergt, hat es bislang keinen Gesetzesentwurf zur Umsetzung veröffentlicht. Das NCSC Ireland dürfte als zuständige Behörde fungieren. Angesichts der Bedeutung Irlands als Drehscheibe für die Datenverarbeitung könnte das künftige nationale Gesetz überdurchschnittliche Auswirkungen auf Technologie- und Cloud-Dienstleister haben, die in ganz Europa tätig sind. Die Europäische Kommission hat ein Vertragsverletzungsverfahren eingeleitet.

Zuständige Behörde: NCSC Ireland (erwartet)

Wesentliche Abweichung: Unbekannt — erhebliche Auswirkungen auf den Technologiesektor erwartet

Quelle: Vertragsverletzungsverfahren der Europäischen Kommission, November 2024 — Zuletzt aktualisiert: Juni 2025

Im Gesetzgebungsverfahren

Italien

Decreto Legislativo NIS2 — in Kraft seit Oktober 2024, Umsetzung läuft

Italien hat sein Umsetzungsdekret im Oktober 2024 veröffentlicht und damit die Frist technisch eingehalten. Wesentliche Durchführungsbestimmungen — einschliesslich der Registrierungsanforderungen für Einrichtungen und detaillierter Verfahren zur Meldung von Vorfällen — werden jedoch noch über Sekundärrecht finalisiert. Die ACN (Nationale Cybersicherheitsagentur) führt die Umsetzung mit gestaffelten Compliance-Meilensteinen bis 2025 an. Der italienische Ansatz enthält Übererfüllungen bei den Anforderungen an das Risikomanagement der Lieferkette.

Zuständige Behörde: ACN (Agenzia per la Cybersicurezza Nazionale)

Wesentliche Abweichung: Strengeres Risikomanagement der Lieferkette; gestaffelte Umsetzung

Quelle: Italienisches Amtsblatt, Oktober 2024 — Zuletzt aktualisiert: Juni 2025

Vollständig umgesetzt

Lettland

Kiberdrošības likums — in Kraft seit September 2024

Lettland gehörte zu den frühen Umsetzern und erliess sein Cybersicherheitsgesetz noch vor der Oktoberfrist 2024. CERT.LV fungiert als nationales CSIRT mit erweiterten Koordinationsaufgaben. Das lettische Gesetz folgt eng der Richtlinie mit minimalen Abweichungen und bietet eine klare Compliance-Grundlage für Einrichtungen, die im Baltikum tätig sind.

Zuständige Behörde: CERT.LV / Verteidigungsministerium

Wesentliche Abweichung: Minimal — folgt eng den Grundvorgaben der Richtlinie

Quelle: Lettisches Amtsblatt, September 2024 — Zuletzt aktualisiert: Juni 2025

Vollständig umgesetzt

Litauen

Kibernetinio saugumo įstatymas (geändert) — in Kraft seit Oktober 2024

Litauen hat sein bestehendes Cybersicherheitsgesetz geändert, um die NIS2-Frist einzuhalten. Das National Cyber Security Centre (NKSC) behält seine federführende Rolle. Der litauische Ansatz führt eine nationale Cybersicherheits-Zertifizierungsregelung für Lieferanten kritischer Infrastrukturen ein, die über die Grundvorgaben der Richtlinie hinausgeht und den Fokus des Landes auf die Resilienz der Lieferkette angesichts seiner geopolitischen Lage widerspiegelt.

Zuständige Behörde: NKSC (National Cyber Security Centre)

Wesentliche Abweichung: Nationale Zertifizierungsregelung für Lieferanten kritischer Infrastrukturen

Quelle: Protokolle des litauischen Seimas, Oktober 2024 — Zuletzt aktualisiert: Juni 2025

Entwurf veröffentlicht

Luxemburg

Projet de loi NIS2 — Entwurf veröffentlicht, parlamentarische Prüfung

Luxemburg hat seinen Gesetzesentwurf zur Umsetzung von NIS2 veröffentlicht, der sich derzeit in der parlamentarischen Prüfung befindet. Angesichts der Rolle Luxemburgs als bedeutende Drehscheibe für Finanzdienstleistungen enthält der Entwurf spezifische Bestimmungen, welche die NIS2-Compliance mit den bestehenden Anforderungen der DORA (Digital Operational Resilience Act) abstimmen. Es wird erwartet, dass sich ILR und CSSF die Zuständigkeit über die Sektoren hinweg teilen.

Zuständige Behörde: ILR / CSSF (geteilt, sektorabhängig)

Wesentliche Abweichung: Abgestimmter NIS2-DORA-Compliance-Rahmen für den Finanzsektor

Quelle: Protokolle der luxemburgischen Abgeordnetenkammer, 2024 — Zuletzt aktualisiert: Juni 2025

Kein öffentlicher Fortschritt

Malta

Kein Entwurf veröffentlicht — erwartet 2025

Malta hat bislang keinen Gesetzesentwurf zur Umsetzung veröffentlicht. Die Malta Information Technology Agency (MITA) und das Critical Infrastructure Protection Directorate dürften bei der Umsetzung eine Rolle spielen. Angesichts der wachsenden iGaming- und Fintech-Branche Maltas, die beide in den Geltungsbereich von NIS2 fallen könnten, ist eine fristgerechte Umsetzung wirtschaftlich bedeutsam. Die Europäische Kommission hat ein Vertragsverletzungsverfahren eingeleitet.

Zuständige Behörde: MITA / Critical Infrastructure Protection Directorate (erwartet)

Wesentliche Abweichung: Unbekannt — mögliche Auswirkungen auf die iGaming- und Fintech-Branche

Quelle: Tracker der Vertragsverletzungsverfahren der Europäischen Kommission — Zuletzt aktualisiert: Juni 2025

Teilweise umgesetzt

Niederlande

Cyberbeveiligingswet (Cbw) — Entwurf eingebracht, erwartet H1 2025

Die Niederlande haben ihren Entwurf eines Cybersicherheitsgesetzes (Cbw) zur Ablösung des bestehenden Wbni veröffentlicht, doch die parlamentarische Zustimmung steht noch aus. Der niederländische Ansatz benennt sektorspezifische Regulierer als zuständige Behörden statt einer einzigen zentralen Stelle — also unterschiedliche Regulierer für Energie, Gesundheit, Verkehr und digitale Infrastruktur. Dieses dezentrale Modell erhöht die Komplexität für sektorübergreifend in den Niederlanden tätige Organisationen.

Zuständige Behörde: Sektorspezifische Regulierer (dezentrales Modell)

Wesentliche Abweichung: Dezentrale Durchsetzung über Sektorregulierer

Quelle: Konsultation des niederländischen Justizministeriums, September 2024 — Zuletzt aktualisiert: Juni 2025

Entwurf veröffentlicht

Polen

Nowelizacja ustawy o KSC — Entwurf veröffentlicht, parlamentarisches Verfahren

Polen hat Änderungsentwürfe zu seinem Gesetz über das nationale Cybersicherheitssystem (ustawa o KSC) veröffentlicht, doch die parlamentarische Verabschiedung hat sich verzögert. Der Entwurf erweitert den Kreis der erfassten Einrichtungen erheblich und führt ein neues nationales System zur Klassifizierung von Cybersicherheitsvorfällen ein. NASK und sektorspezifische CSIRTs werden sich die Zuständigkeiten teilen. Der polnische Ansatz umfasst erweiterte Anforderungen für Einrichtungen der öffentlichen Verwaltung.

Zuständige Behörde: NASK / Sektor-CSIRTs

Wesentliche Abweichung: Neues Klassifizierungssystem für Vorfälle; erweiterter Geltungsbereich für die öffentliche Verwaltung

Quelle: Polnisches Ministerium für Digitales, 2024 — Zuletzt aktualisiert: Juni 2025

Kein öffentlicher Fortschritt

Portugal

Kein Entwurf veröffentlicht — kein geschätzter Zeitplan

Portugal zählt zu den Mitgliedstaaten ohne öffentlich verfügbaren Gesetzesentwurf zur Umsetzung von NIS2. Das National Cybersecurity Centre (CNCS) dürfte als zuständige Behörde fungieren, doch ein formeller Zeitplan für gesetzgeberisches Handeln wurde nicht kommuniziert. Organisationen, die in Portugal tätig sind, sollten die Entwicklungen genau verfolgen und sich in der Zwischenzeit an den Grundanforderungen der Richtlinie orientieren.

Zuständige Behörde: CNCS (erwartet)

Wesentliche Abweichung: Unbekannt — kein Entwurf verfügbar

Quelle: Tracker der Vertragsverletzungsverfahren der Europäischen Kommission — Zuletzt aktualisiert: Juni 2025

Entwurf veröffentlicht

Rumänien

Proiect de lege NIS2 — Entwurf in Prüfung durch die Regierung

Rumänien hat einen Gesetzesentwurf zur Umsetzung von NIS2 veröffentlicht, der derzeit vor der parlamentarischen Einbringung von der Regierung geprüft wird. Die DNSC (Nationale Direktion für Cybersicherheit) ist als zuständige Behörde benannt. Der Entwurf enthält Bestimmungen für ein nationales Cybersicherheits-Übungsprogramm und verpflichtende Risikobewertungen für Einrichtungen, die kritische Infrastrukturen betreiben, und geht damit geringfügig über die Grundvorgaben der Richtlinie hinaus.

Zuständige Behörde: DNSC (Nationale Direktion für Cybersicherheit)

Wesentliche Abweichung: Verpflichtendes nationales Cybersicherheits-Übungsprogramm

Quelle: Gesetzgebungsportal der rumänischen Regierung, 2024 — Zuletzt aktualisiert: Juni 2025

Entwurf veröffentlicht

Slowakei

Zákon o kybernetickej bezpečnosti (Änderung) — Entwurf veröffentlicht

Die Slowakei hat Änderungsentwürfe zu ihrem Cybersicherheitsgesetz veröffentlicht, die derzeit das Gesetzgebungsverfahren durchlaufen. Die National Security Authority (NBU) ist als zentrale zuständige Behörde benannt. Der slowakische Entwurf folgt eng der Richtlinie, sieht jedoch einen beschleunigten Zeitplan für die Registrierung von Einrichtungen vor, der eine Compliance innerhalb von 90 Tagen nach Inkrafttreten des Gesetzes verlangt.

Zuständige Behörde: NBU (National Security Authority)

Wesentliche Abweichung: Beschleunigte 90-Tage-Registrierungspflicht für Einrichtungen

Quelle: Slowakisches Ministerium für Investitionen, Regionalentwicklung und Informatisierung, 2024 — Zuletzt aktualisiert: Juni 2025

Teilweise umgesetzt

Slowenien

Zakon o informacijski varnosti (ZInfV-1) — in Kraft seit Ende 2024, Sekundärmassnahmen ausstehend

Slowenien hat sein überarbeitetes Informationssicherheitsgesetz Ende 2024 erlassen, doch die sekundären Durchführungsmassnahmen werden noch erarbeitet. Das Amt der Regierung der Republik Slowenien für Informationssicherheit (URSIV) fungiert als koordinierende Stelle. Das Gesetz deckt die Kernanforderungen von NIS2 ab, verschiebt jedoch mehrere operative Details auf Verordnungen, die für 2025 erwartet werden.

Zuständige Behörde: URSIV / SI-CERT

Wesentliche Abweichung: Gestaffelte Umsetzung mit ausstehenden Sekundärmassnahmen

Quelle: Slowenisches Amtsblatt, 2024 — Zuletzt aktualisiert: Juni 2025

Entwurf veröffentlicht

Spanien

Anteproyecto de Ley NIS2 — Entwurf veröffentlicht, Prüfung durch den Staatsrat

Spanien hat seinen Gesetzesentwurf zur Umsetzung von NIS2 (anteproyecto) veröffentlicht, der vor der parlamentarischen Einbringung vom Staatsrat geprüft wird. CCN-CERT und INCIBE teilen sich je nach Einrichtungstyp die Zuständigkeit. Der spanische Entwurf führt eine nationale Compliance-Zertifizierungsregelung ein und enthält spezifische Bestimmungen für die Tourismus- und Gastgewerbebranche.

Zuständige Behörde: CCN-CERT / INCIBE (geteilt)

Wesentliche Abweichung: Nationale Compliance-Zertifizierung; Bestimmungen für die Tourismusbranche

Quelle: Spanisches Ministerium für digitale Transformation, 2024 — Zuletzt aktualisiert: Juni 2025

Teilweise umgesetzt

Schweden

Cybersäkerhetslag — in Kraft seit Anfang 2025, Sekundärverordnungen in Arbeit

Schweden hat sein Cybersicherheitsgesetz Anfang 2025 nach einer gründlichen behördlichen Untersuchung erlassen. Die MSB (Schwedische Behörde für Zivilschutz) fungiert als zentrale koordinierende Behörde, während Sektorregulierer die Durchsetzung übernehmen. Sekundärverordnungen mit detaillierten Compliance-Anforderungen für unterschiedliche Einrichtungskategorien werden noch finalisiert; der Abschluss wird für Mitte 2025 erwartet.

Zuständige Behörde: MSB (Schwedische Behörde für Zivilschutz) mit Sektorregulierern

Wesentliche Abweichung: Durchsetzungsmodell über Sektorregulierer; Sekundärverordnungen ausstehend

Quelle: Offizielle Berichte der schwedischen Regierung, 2024 — Zuletzt aktualisiert: Juni 2025

200+

Stunden bei der Compliance-Dokumentation eingespart

Medtec sparte über 200 Stunden bei der Vorbereitung auf die ISO-27001-Zertifizierung, indem manuelle Dokumentation durch automatisierte Compliance-Workflows ersetzt wurde — innerhalb des ersten Jahres mit Priverion.

60%

Weniger administrativer Compliance-Aufwand

Ein Flugzeughersteller reduzierte den administrativen Compliance-Aufwand in den ersten 6 Monaten um 60% — mit planbaren Preisen auf Basis von Einrichtungen statt Kostenfallen pro Nutzer oder pro Modul.

3 Mon.

Vorsprung beim Zeitplan für ISO 27001

Medtec schloss die ISO-27001-Vorbereitung drei Monate vor dem geplanten Zeitplan ab — mit auditbereiten Nachweispaketen und automatisierter Dokumentation von Priverion.

Vergleich

Warum Mid-Market-Teams von OneTrust zu Priverion wechseln

Enterprise-Datenschutzplattformen wurden für die Budgets und die Komplexität von Fortune-500-Unternehmen entwickelt. Wenn Sie Compliance über 5 bis 50 Tochtergesellschaften hinweg verwalten, brauchen Sie etwas anderes — nicht etwas Kleineres.

Typische Enterprise-Plattform

Was Sie mit OneTrust erhalten

Preise pro Modul, pro Nutzer

Die Kosten steigen unvorhersehbar, wenn Sie Tochtergesellschaften, Nutzer oder Funktionen hinzufügen. Budgetgespräche finden quartalsweise statt, nicht jährlich.

US-Hauptsitz, globales Hosting

Daten werden möglicherweise in den USA oder anderen aussereuropäischen Rechtsräumen verarbeitet. Nach Schrems II entsteht dadurch ein fortlaufendes rechtliches Risiko bei grenzüberschreitenden Übermittlungen.

200+ Integrationen, geringe Tiefe

Beeindruckende Anzahl an Konnektoren, doch viele erfordern eine individuelle Konfiguration und laufende Wartung, die Mid-Market-IT-Teams überlasten.

Für Fortune-500-Käufer entwickelt

Funktionsreich, aber überwältigend für Teams unter 20 Personen. Datenschutzbeauftragte berichten, dass sie Wochen im Onboarding verbringen, nur um Module zu konfigurieren, die sie gar nicht brauchen.

Monatelange Implementierung

Enterprise-Einführungen dauern regelmässig 6 bis 12 Monate, bevor Teams einen Nutzen sehen. Die Kosten für professionelle Dienstleistungen summieren sich schnell.

Für den Mid-Market mit mehreren Einheiten gebaut

Was Sie mit Priverion erhalten

Planbare Preise nach Anzahl der Unternehmen

Keine Lizenzen pro Nutzer, keine Upsells pro Modul. Eine Plattform, alle Funktionen inbegriffen. Ihr CFO erhält eine Zahl, die sich nicht unterjährig ändert.

In der Schweiz entwickelt, in der Schweiz gehostet — garantiert

Alle Daten werden innerhalb der Schweizer Infrastruktur verarbeitet. Europäische Datenresidenz ist keine Konfigurationsoption — sie ist

Über diese Seite — Quellen, Definitionen und FAQs

Key Takeaways — Tracker zum NIS2-Umsetzungsstatus

Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) verpflichtete alle 27 EU-Mitgliedstaaten, ihre Cybersicherheitsanforderungen bis zum 17. Oktober 2024 in nationales Recht umzusetzen. Mit Stand Mitte 2025 hat nur eine kleine Zahl von Ländern die Umsetzung vollständig abgeschlossen. Die Europäische Kommission hat gegen 23 Mitgliedstaaten Vertragsverletzungsverfahren eingeleitet. Dieser Tracker überwacht den gesetzgeberischen Fortschritt jedes Landes, die zuständigen Behörden und Abweichungen von den Grundvorgaben der Richtlinie — monatlich aktualisiert vom Team für regulatorische Intelligenz von Priverion.

Was ist die NIS2-Richtlinie?

NIS2-Richtlinie (formell Richtlinie (EU) 2022/2555) ist der überarbeitete Rahmen der Europäischen Union zur Erreichung eines hohen gemeinsamen Cybersicherheitsniveaus in allen Mitgliedstaaten. Sie ersetzte die ursprüngliche NIS-Richtlinie (2016/1148) und wurde am 27. Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht. NIS2 erweitert den Kreis der regulierten Sektoren erheblich von 7 auf 18, führt grössenbasierte Schwellenwerte für die Einstufung von Einrichtungen ein und schreibt strengere Fristen für die Meldung von Vorfällen sowie eine Rechenschaftspflicht der Leitungsorgane vor. Quelle: EUR-Lex — Richtlinie (EU) 2022/2555

Was bedeutet Umsetzung im EU-Recht?

Umsetzung ist der Prozess, durch den EU-Mitgliedstaaten die Bestimmungen einer EU-Richtlinie in ihre nationalen Rechtsrahmen übernehmen. Anders als EU-Verordnungen, die unmittelbar gelten, erfordern Richtlinien von jedem Mitgliedstaat den Erlass nationaler Vorschriften, welche die Ziele der Richtlinie erreichen, während sie Spielraum bei den Umsetzungsmethoden lassen. Quelle: EUR-Lex — Arten von EU-Recht

Wann war die Frist zur Umsetzung von NIS2?

Artikel 41 der NIS2-Richtlinie legte den 17. Oktober 2024 als Frist für alle 27 EU-Mitgliedstaaten fest, um die zur Einhaltung der Richtlinie erforderlichen nationalen Massnahmen zu erlassen und zu veröffentlichen. Die Mitgliedstaaten waren zudem verpflichtet, diese Massnahmen ab dem 18. Oktober 2024 anzuwenden. Mit Stand November 2024 versandte die Europäische Kommission Aufforderungsschreiben an 23 Mitgliedstaaten, die keine vollständige Umsetzung gemeldet hatten. Quelle: EUR-Lex — NIS2-Richtlinie, Artikel 41

Wie viele Einrichtungen sind von NIS2 betroffen?

Laut der Folgenabschätzung der Europäischen Kommission von 2023 fallen EU-weit über 160'000 Einrichtungen in den erweiterten Geltungsbereich von NIS2. Die Richtlinie umfasst 18 Sektoren, darunter Energie, Verkehr, Bankwesen, Gesundheit, Trinkwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten, öffentliche Verwaltung und Raumfahrt. Der NIS-Investitionsbericht der ENISA von 2024 stellte fest, dass das mittlere Cybersicherheitsbudget für Einrichtungen im Geltungsbereich von NIS2 bei rund 1,4 Mio. € lag, was etwa 9% der gesamten IT-Ausgaben entspricht. Quelle: ENISA — NIS Investments Report 2024

Welche Meldepflichten für Vorfälle gelten unter NIS2?

Artikel 23 NIS2 etabliert einen mehrstufigen Rahmen zur Meldung von Vorfällen: Einrichtungen müssen nach Kenntniserlangung von einem erheblichen Vorfall eine Frühwarnung innerhalb von 24 Stunden abgeben, gefolgt von einer vollständigen Meldung des Vorfalls innerhalb von 72 Stunden und einem Abschlussbericht innerhalb eines Monats. Die ENISA koordiniert die grenzüberschreitende Reaktion auf Vorfälle über das EU-CyCLONe-Netzwerk. Laut dem Threat-Landscape-Bericht der ENISA von 2024 blieben Ransomware- und DDoS-Angriffe die beiden wichtigsten Bedrohungskategorien für NIS-regulierte Sektoren. Quelle: ENISA — Threat Landscape 2024

Was passiert, wenn ein Mitgliedstaat NIS2 nicht fristgerecht umsetzt?

Gemäss Artikel 258 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) kann die Europäische Kommission Vertragsverletzungsverfahren gegen Mitgliedstaaten einleiten, die Richtlinien nicht fristgerecht umsetzen. Im November 2024 versandte die Kommission Aufforderungsschreiben an 23 der 27 Mitgliedstaaten, weil sie keine vollständige Umsetzung von NIS2 gemeldet hatten. Hält die Nichteinhaltung an, kann die Kommission die Fälle an den Gerichtshof der Europäischen Union verweisen, der finanzielle Sanktionen verhängen kann. Quelle: EUR-Lex — NIS2-Richtlinie

Gilt NIS2 auch für Unternehmen ausserhalb der EU?

Ja. NIS2 hat eine extraterritoriale Reichweite. Artikel 26 verlangt, dass Einrichtungen ausserhalb der EU, die Dienstleistungen innerhalb der EU erbringen und in den Geltungsbereich fallen, in einem der Mitgliedstaaten, in denen sie tätig sind, einen Vertreter benennen. Dies entspricht der Vertreterpflicht nach Artikel 27 DSGVO. Die Nichtbenennung eines Vertreters befreit die Einrichtung nicht von den NIS2-Pflichten. Quelle: EUR-Lex — NIS2-Richtlinie, Artikel 26

Was ist der Unterschied zwischen wesentlichen und wichtigen Einrichtungen unter NIS2?

NIS2 stuft Einrichtungen anhand von Sektor und Grösse in zwei Kategorien ein. Wesentliche Einrichtungen umfassen Betreiber in Sektoren wie Energie, Verkehr, Bankwesen, Gesundheit, Trinkwasser, digitale Infrastruktur und öffentliche Verwaltung. Wichtige Einrichtungen decken Sektoren wie Postdienste, Abfallwirtschaft, Chemikalien, Lebensmittelproduktion und verarbeitendes Gewerbe ab. Beide Kategorien müssen dieselben Pflichten zum Cybersicherheits-Risikomanagement und zur Meldung von Vorfällen erfüllen (Artikel 21 und 23). Wesentliche Einrichtungen unterliegen jedoch einer proaktiven, vorab erfolgenden Aufsicht — einschliesslich regelmässiger Audits und Vor-Ort-Inspektionen — während wichtige Einrichtungen einer reaktiven, nachträglichen Aufsicht unterliegen, die durch Hinweise auf Nichteinhaltung ausgelöst wird. Quelle: EUR-Lex — NIS2-Richtlinie, Artikel 32–33

NIS2-Umsetzungsstatistiken und -Zeitplan

  • 17. Oktober 2024 — Umsetzungsfrist für alle 27 EU-Mitgliedstaaten (Artikel 41 NIS2)
  • November 2024 — Europäische Kommission versendet Aufforderungsschreiben an 23 Mitgliedstaaten wegen Nichtumsetzung
  • 160'000+ Einrichtungen geschätzt im Geltungsbereich EU-weit (Europäische Kommission, 2023)
  • 18 Sektoren unter NIS2 abgedeckt, gegenüber 7 unter der ursprünglichen NIS-Richtlinie
  • 24 Stunden — Frist für die Frühwarnung bei erheblichen Vorfällen (Artikel 23 NIS2)
  • 72 Stunden — Frist für die vollständige Meldung von Vorfällen (Artikel 23 NIS2)
  • 10 Mio. € oder 2% des weltweiten Umsatzes — maximale Verwaltungsgeldbusse für wesentliche Einrichtungen (Artikel 34 NIS2)
  • 7 Mio. € oder 1,4% des weltweiten Umsatzes — maximale Verwaltungsgeldbusse für wichtige Einrichtungen (Artikel 34 NIS2)

NIS2 vs. ursprüngliche NIS-Richtlinie — Vergleich

AspektNIS-Richtlinie (2016/1148)NIS2-Richtlinie (2022/2555)
Sektoren im Geltungsbereich7 Sektoren18 Sektoren
Einstufung von EinrichtungenBetreiber wesentlicher Dienste (OES) + Anbieter digitaler Dienste (DSP)Wesentliche Einrichtungen + wichtige Einrichtungen (grössenbasierte Schwellenwerte)
Meldung von VorfällenOhne unangemessene Verzögerung24-Std.-Frühwarnung, 72-Std.-Meldung, Abschlussbericht nach 1 Monat
Maximale GeldbussenVon den Mitgliedstaaten festgelegt (stark variierend)10 Mio. € / 2% Umsatz (wesentliche); 7 Mio. € / 1,4% Umsatz (wichtige)
Rechenschaftspflicht der LeitungNicht ausdrücklich geregeltLeitungsorgane müssen Cybersicherheitsmassnahmen genehmigen und überwachen (Artikel 20)
Sicherheit der LieferketteBegrenzte BestimmungenVerpflichtende Risikobewertungen der Lieferkette (Artikel 21 Abs. 2 Buchst. d)
AufsichtsmodellJe nach Mitgliedstaat unterschiedlichVorab für wesentliche; nachträglich für wichtige Einrichtungen
Grenzüberschreitende KoordinationKooperationsgruppe + CSIRTs-NetzwerkErweitert: EU-CyCLONe + Peer-Reviews + koordinierte Offenlegung von Schwachstellen

Massgebliche Quellen und Referenzen