NIS2-Umsetzungsstatus

    Verfolgen Sie den Umsetzungsfortschritt der NIS2-Richtlinie in allen EU-Mitgliedstaaten, einschließlich zuständiger Behörden und Durchsetzungszeitpläne.

    Stand: April 2026

    NIS2-Umsetzungsstatus-Momentaufnahme

    Vollständig gemeldet (16)
    Angenommen (6)
    Entwurf (5)
    MitgliedstaatStatusZuständige BehördeAnmerkungen
    Österreich
    Angenommen
    		Federal Ministry of the Interior (BMI) / Bundesamt für Cybersicherheit (operational 1 October 2026)NISG 2026 am 23. Dezember 2025 verkündet; tritt am 1. Oktober 2026 in Kraft; Frist für die Registrierung der Einrichtungen: 1. Januar 2027 — Vollständigkeit der Notifizierung wird von der Kommission geprüft.
    Belgien
    Vollständig gemeldet
    		Centre for Cybersecurity Belgium (CCB) — CyFun® / Safeonweb@WorkNIS2-Gesetz seit 18. Oktober 2024 in Kraft; Registrierung über Safeonweb@Work am 18. März 2025 abgeschlossen; CyFun®-Selbstbewertung oder ISO-27001-SoA-Frist 18. April 2026 (inzwischen abgelaufen); vollständige Zertifizierung bis 18. April 2027.
    Bulgarien
    Angenommen
    		Multiple national competent authorities (Ministry of Defence, Ministry of Interior, State Agency for National Security) — Minister of e-Government maintains national registerÄnderungen des Cybersicherheitsgesetzes seit 17. Februar 2026 in Kraft; reduzierte Sanktionen für Verstöße vor dem 1. Juni 2026; Methodik des Ministerrats zur Benennung von Einrichtungen bis ca. 17. August 2026 — administratives Benennungsmodell.
    Kroatien
    Vollständig gemeldet
    		Security and Intelligence Agency (SOA) — National Cybersecurity Center (NCSC-HR); CERT.hr (CARNET) for incident reporting via PiXi; autonomous sector supervisors (HNB, HANFA, HACZ)Cybersicherheitsgesetz (NN 14/2024) seit 15. Februar 2024 in Kraft — eine der frühesten Umsetzungen in der EU; Cybersicherheitsverordnung (NN 135/2024) seit 30. November 2024 in Kraft; behördlich gesteuertes Benennungsmodell mit 12-monatiger Compliance-Frist; nationale Abweichungen umfassen den Bildungssektor, eine zweijährliche Selbstbewertung für wichtige Einrichtungen und strengere technische Kontrollen.
    Zypern
    Angenommen
    		Digital Security Authority (DSA) — primary; Commissioner of Communications also designated as supervisory authorityGesetz zur Änderung der Sicherheit von Netz- und Informationssystemen 60(I)/2025 am 10. April 2025 erlassen, seit 25. April 2025 in Kraft; nationale Abweichungen umfassen eine Frühwarnfrist von 6 Stunden (strenger als die 24 Stunden der Richtlinie) und ein behördengeführtes Identifizierungsmodell der DSA (keine Selbstregistrierung); Vollständigkeit der Notifizierung an die Kommission wird noch geprüft.
    Tschechische Republik
    Angenommen
    		National Cyber and Information Security Agency (NUKIB)Gesetz Nr. 264/2025 Slg. über Cybersicherheit seit dem 1. November 2025 in Kraft; Selbstidentifikation über das NÚKIB-Portal (Registrierungsfrist 31. Dezember 2025 für Einheiten im Anwendungsbereich); 12-monatige Compliance-Frist für Sicherheits- und Meldemaßnahmen ab der Registrierungsentscheidung; wesentliche Einrichtungen müssen alle Vorfälle mit Cyberbezug melden (strenger als die Richtlinie); NÚKIB ist befugt, unsichere Lieferketten-Anbieter für strategisch wichtige Einrichtungen zu beschränken oder zu untersagen.
    Dänemark
    Angenommen
    		Ministry for Societal Resilience and Contingency (MSSB) — coordinator; sector regulators (Danish Energy Agency, Finanstilsynet, telecom regulators) — primary supervisors; CFCS — National CSIRTNIS2-Gesetz (L 141) seit dem 1. Juli 2025 in Kraft, ohne Übergangsfrist; Selbstregistrierung über Virk.dk (Frist 1. Oktober 2025 — abgelaufen); Mindestumsetzungsansatz (ohne Gold-Plating); nationale Abweichungen: keine direkten Verwaltungsgeldbußen (Sanktionen erfolgen über die Staatsanwaltschaft im Strafverfahren) und keine Umsetzung der persönlichen Managementhaftung (geregelt durch die Sorgfaltspflicht nach dem dänischen Gesellschaftsgesetz); Vollständigkeit der Notifizierung an die Kommission wird noch geprüft.
    Estland
    Vollständig gemeldet
    		Estonian Information System Authority (RIA)Geändertes Cybersicherheitsgesetz seit 1. Januar 2026 in Kraft; ~3.500 → ~6.500 betroffene Unternehmen; Forschungseinrichtungen als nationaler Sektor zusätzlich zur Richtlinien-Baseline; Risikomanagement an E-ITS-Baseline-Kontrollen ausgerichtet; phasenweise Einhaltung — Selbstregistrierung über RIA Frist ca. 1. April 2026 (inzwischen abgelaufen), Governance-Kontrollen bis 1. Januar 2027, vollständige technische Einhaltung und erste Audits bis 1. Januar 2028.
    Finnland
    Vollständig gemeldet
    		Traficom (NCSC-FI) — coordinator; sector authorities superviseCybersicherheitsgesetz (124/2025) seit 8. April 2025 in Kraft; Registrierungsfrist 8. Mai 2025 und Frist für Risikomanagement 8. Juli 2025 beide verstrichen; dezentralisierte Aufsicht durch sieben sektorspezifische Behörden, koordiniert durch Traficoms NCSC-FI; Bußgelder werden von einem separat eingerichteten Sanktionsausschuss auf Vorschlag der Aufsichtsbehörde verhängt; öffentliche Stellen können nicht mit Bußgeldern belegt werden; Finanzsektor ausgeschlossen (durch DORA abgedeckt).
    Frankreich
    Entwurf
    		ANSSI (French National Agency for Information Systems Security)Loi Résilience (Konsolidierung von NIS2, CER, DORA) am 12. März 2025 vom Senat und am 10. September 2025 vom Sonderausschuss der Nationalversammlung angenommen; endgültige Abstimmung und Verkündung stehen aus, erwartet H1–H2 2026 (Stand April 2026 noch nicht erlassen). Mit Gründen versehene Stellungnahme der EK vom 7. Mai 2025. MonEspaceNIS2-Vorregistrierungsportal von ANSSI bereits aktiv; ~15.000–18.000 Einrichtungen in 18 Sektoren werden im Anwendungsbereich erwartet.
    Deutschland
    Vollständig gemeldet
    		Bundesamt für Sicherheit in der Informationstechnik (BSI)NIS2UmsuCG seit 6. Dezember 2025 ohne Übergangsfrist in Kraft; ca. 4.500 → ca. 29.000–30.000 Einrichtungen im Anwendungsbereich; BSI-Registrierungsfrist 6. März 2026 ist abgelaufen; zweistufige Registrierung über BSI-Portal / Mein Unternehmenskonto (MUK); verpflichtende dreijährige Cybersicherheitsschulung der Geschäftsleitung; Ausnahme für "unerhebliche Tätigkeiten" nach § 28 Abs. 3 BSIG.
    Griechenland
    Vollständig gemeldet
    		National Cybersecurity Authority (NCSA)Gesetz 5160/2024 in Kraft seit 28. November 2024; ergänzt durch MD 1645/2025 (Registrierung) und MD 1689/2025 (22-Themen-Sicherheitsrahmen); Registrierungsfristen (28. März 2025 für digitale Infrastruktur; 30. September 2025 allgemein) sind abgelaufen; verpflichtende ICSSO-Bestellung (mit DPO-Rolle unvereinbar); NCSA-Audits seit Q4 2025.
    Ungarn
    Angenommen
    		SZTFH (primary) / NKI/NCSC (CSIRT)Gesetz LXIX von 2024 seit 1. Januar 2025 in Kraft; SZTFH ist die primäre Regulierungsbehörde (Registrierung, Prüferregister, Aufsichtsgebühren); NKI/NCSC ist das nationale CSIRT; Bankwesen, Finanzmarktinfrastruktur und öffentliche Verwaltung sind vom Anwendungsbereich ausgenommen; Registrierungs- und Prüfervertragsfristen verstrichen; erste Cybersicherheits-Auditfrist 30. Juni 2026 (bevorstehend); EC mit Gründen versehene Stellungnahme vom 7. Mai 2025 — Bewertung der Kommission dauert an.
    Irland
    Entwurf
    		National Cyber Security Centre (NCSC-IE)National Cyber Security Bill 2024 zum Stand April 2026 noch nicht in Kraft; Irland hat die EU-Umsetzungsfrist vom 17. Oktober 2024 verpasst und unterliegt Vertragsverletzungsverfahren der Europäischen Kommission; NIS1 (S.I. 360 of 2018) gilt weiterhin; föderiertes Aufsichtsmodell vorgeschlagen (NCSC-Leitung + CRU, ComReg, Central Bank of Ireland); Inkrafttreten und Registrierungsportal werden für 2026 erwartet.
    Italien
    Vollständig gemeldet
    		Italian National Cybersecurity Authority (ACN) + sector regulatorsGesetzesdekret Nr. 138/2024 in Kraft seit dem 16. Oktober 2024. Die ACN ist die zuständige Primärbehörde und betreibt ein zentrales digitales Portal für Registrierung und Meldungen. Italien hat den Anwendungsbereich über die Mindestvorgaben der Richtlinie hinaus durch die nationalen Anhänge III und IV (zentrale Regierungsstellen, kommunaler öffentlicher Nahverkehr, Einrichtungen von kulturellem Interesse) erweitert und sieht eine Schutzklausel für ICT-unabhängige Konzerntochtergesellschaften vor. Die Compliance ist gestaffelt: Die Registrierungsfristen Anfang 2025 sind abgelaufen, die verpflichtende Vorfallmeldung an ACN/CSIRT Italia gilt seit dem 1. Januar 2026, und die vollständige Compliance mit den Sicherheitsmaßnahmen ist bis zum 1. Oktober 2026 erforderlich. Italien ist vollständig an die Europäische Kommission notifiziert.
    Lettland
    Vollständig gemeldet
    		National Cybersecurity Centre (NCSC)Lettlands Nationales Cybersicherheitsgesetz ist seit dem 1. September 2024 in Kraft (ersetzt das frühere Gesetz über die Sicherheit der Informationstechnologie); die Verordnung Nr. 397 (Mindestanforderungen an die Cybersicherheit) ist seit dem 2. Juli 2025 in Kraft; die mit Gründen versehene Stellungnahme der Kommission vom Mai 2025 wurde erledigt. Das Nationale Zentrum für Cybersicherheit (NCSC) — Verteidigungsministerium mit CERT.LV — ist die primäre Aufsichtsbehörde; das Verfassungsschutzbüro beaufsichtigt kritische ICT-Infrastruktur. Einrichtungen müssen einen Cybersicherheitsbeauftragten bestellen, Systeme in drei Stufen (A/B/C) klassifizieren und jährliche ICT-Sicherheitsüberprüfungen durchführen. Alle Anfangstermine (Registrierung, Cybersicherheitsbeauftragter, erste Selbstbewertung) sind abgelaufen; Umsetzung vollständig notifiziert.
    Litauen
    Vollständig gemeldet
    		National Cyber Security Centre (NCSC)Das geänderte Cybersicherheitsgesetz Litauens trat am 18. Okt. 2024 in Kraft; die Regierungsverordnung zur Umsetzung folgte am 12. Nov. 2024. Das NCSC hat das Erstregister von 1.443 Einrichtungen um den 17. Apr. 2025 herum benachrichtigt; gestaffelte Compliance folgt (organisatorische Maßnahmen ~17. Apr. 2026 — unmittelbar bevorstehend; technische Maßnahmen ~17. Apr. 2027). Litauen erweitert den Anwendungsbereich über die Richtlinie hinaus (kommunale öffentliche Verwaltung, kritische F&E-Einrichtungen, Anbieter von elektronischen Informationshostingdiensten), schreibt die Ernennung eines Cybersicherheitsmanagers vor und verlangt von wesentlichen Einrichtungen eine alle drei Jahre stattfindende unabhängige Konformitätsbewertung. Vollständig an die Europäische Kommission notifiziert.
    Luxemburg
    Entwurf
    		ILR (proposed) / CSSF (financial, proposed); HCPN coordinationGesetzentwurf 8364 am 13. März 2024 eingebracht, mit Stand April 2026 noch nicht in Kraft; EU-Frist 17. Oktober 2024 versäumt; mit Gründen versehene EU-Stellungnahme vom 7. Mai 2025; ergänzende Stellungnahme des Staatsrats Dezember 2025; NIS1-Rahmen gilt weiter; vorgeschlagenes geteiltes Aufsichtsmodell (ILR die meisten Sektoren / CSSF Finanzbereich / HCPN Koordination); erweiterter Anwendungsbereich (~6.000–8.000 Einrichtungen); SERIMA-Plattform vom ILR eingeführt; Inkrafttreten im Laufe von 2026 erwartet.
    Malta
    Vollständig gemeldet
    		CIPD (primary) / MCA (digital + postal); CSIRT Malta (incidents)NIS2 umgesetzt durch Legal Notice 71 of 2025 (S.L. 460.41), veröffentlicht am 8. April 2025 und seit 23. Januar 2026 durch L.N. 22 of 2026 vollständig in Kraft; ersetzt NIS1 (L.N. 216/2018). CIPD ist primäre Aufsichtsbehörde; MCA ist zuständig für digitale Infrastruktur sowie Post-/Kurierdienste; CSIRT Malta (innerhalb des CIPD) übernimmt die Reaktion auf Sicherheitsvorfälle; CIPAB berät zu Sanktionen. Einrichtungen müssen sich beim CIPD selbst registrieren und ein internes/autonomes CSIRT benennen; erste formale Audits werden für H2 2027 erwartet.
    Niederlande
    Entwurf
    		Sector-specific competent authorities (proposed under Cbw); NCSC (CSIRT)Die Niederlande setzen NIS2 durch das Cyberbeveiligingswet (Cbw) um, ein neues Gesetz, das das Wbni ersetzt. Das Cbw wurde am 4. Juni 2025 in die Tweede Kamer eingebracht und ist mit Stand April 2026 noch nicht in Kraft; das Inkrafttreten wird für Q2 2026 erwartet (unmittelbar bevorstehend). Die Niederlande haben die Umsetzungsfrist vom 17. Oktober 2024 verpasst und am 7. Mai 2025 eine begründete Stellungnahme der EU-Kommission erhalten. Das Cbw etabliert ein Mehrregulierer-Aufsichtsmodell mit sektorspezifischen zuständigen Behörden (z. B. RDI für digitale Infrastruktur, ILT für Verkehr); das NCSC fungiert als nationales CSIRT und Koordinator. Die Vorfallmeldung begründet eine doppelte Verpflichtung (NCSC + Sektorbehörde); eine Cybersicherheits-Schulung für Leitungsorgane ist verpflichtend. Die freiwillige Registrierung über mijn.ncsc.nl ist seit dem 17. Oktober 2024 aktiv.
    Polen
    Vollständig gemeldet
    		Ministry of Digital Affairs (lead) / sectoral ministries (supervision); CSIRT GOV, NASK, MON (incidents)Polen hat die NIS2-Umsetzung durch Änderung des UKSC (Gesetz über das nationale Cybersicherheitssystem) abgeschlossen; vom Sejm am 23.01.2026 angenommen; vom Präsidenten am 19.02.2026 unterzeichnet; seit dem 03.04.2026 in Kraft (einmonatige vacatio legis); ~18 Monate nach Ablauf der Frist vom 17.10.2024; begründete Stellungnahme der EK am 07.05.2025 — Vertragsverletzungsverfahren mit Abschluss der Umsetzung erledigt. Behördenübergreifendes Modell — Ministerium für Digitales führt + führt das Register; sektorspezifische Fachministerien beaufsichtigen; drei nationale CSIRTs (GOV/NASK/MON) + sektorale CSIRTs bearbeiten Vorfälle. Verpflichtendes ISMS (PN-EN ISO/IEC 27001 + ISO 22301); zweijährliches Audit; nicht delegierbare Vorstandsschulung + persönliche Haftung; sektorübergreifender Hochrisiko-Lieferantenmechanismus (Prüfung durch das Verfassungsgericht); erhöhte Strafen bis 100 Mio. PLN (~24 Mio. €). Gestaffelte Compliance: Registrierung bis 03.10.2026; vollständiges ISMS bis 03.04.2027; erstes Audit bis 03.04.2028.
    Portugal
    Vollständig gemeldet
    		CNCS (lead) / sectoral + special supervisory authorities; Crisis Office (coordination)Portugal hat die NIS2-Umsetzung mit dem Dekretgesetz Nr. 125/2025 (Regime Jurídico da Cibersegurança) abgeschlossen; veröffentlicht am 4. Dezember 2025; in Kraft seit 3. April 2026 (120 Tage nach Veröffentlichung); ersetzt Gesetz 46/2018 und Dekretgesetz 65/2021 vollständig; Frist vom 17. Oktober 2024 versäumt; mit Gründen versehene Stellungnahme der EK vom 7. Mai 2025 mit Veröffentlichung erledigt. Mehrschichtiges Aufsichtsmodell — CNCS als Federführung + Sektor- und Sonderaufsichtsbehörden + neues Crisis Office. Verpflichtender Cybersicherheitsbeauftragter (Mitglied des Leitungsorgans oder direkt unterstellt) sowie ständiger 24/7-CNCS-Kontaktpunkt, beide fällig bis 4. Mai 2026 (20 Arbeitstage nach Inkrafttreten — bevorstehend). Klassifizierung öffentlicher Stellen als Gruppe A / Gruppe B. Phasenweise Compliance — CNCS-Plattformregistrierung 60 Tage nach Plattformstart (Datum noch offen); wesentliche Pflichten (Risikomanagement, Lieferkette, Jahresberichte) gelten 24 Monate nach Veröffentlichung der CNCS-Durchführungsverordnungen.
    Rumänien
    Vollständig gemeldet
    		National Cybersecurity Directorate (DNSC)Rumänien hat die NIS2-Umsetzung über GEO 155/2024 abgeschlossen (verabschiedet am 30.12.2024; in Kraft seit 31.12.2024); verfeinert durch Gesetz 124/2025 (in Kraft seit 10.07.2025), das den Gesundheitssektor auf pharmazeutische Lieferketten und Apotheken im Einzelhandel (NACE 4773) erweitert; operationalisiert durch DNSC-Verordnungen 1/2025 (Registrierung) und 2/2025 (Risikobewertung), beide in Kraft seit 20.08.2025; Sanktionsbestimmungen ab 30.01.2025; primäre Behörde DNSC; verdoppelte Höchstgeldstrafen in erschwerenden Fällen (einschl. Obergrenzen von 10 Mio. € / 2 %); verpflichtende Benennung einer für Cybersicherheit verantwortlichen Person (unabhängig vom operativen IT-Leiter) und verpflichtende Cybersicherheitsschulung des Managements; Registrierung über die NIS2@RO-Plattform — anfängliche Frist ~19.09.2025 (abgelaufen); nur Registrierungen nach dem 20.08.2025 sind rechtsgültig; vierstufige Compliance-Kette — Registrierung → Risikostufen-Selbstbewertung → Reifebewertung (innerhalb von 60 Tagen) → Sanierungsplan (innerhalb von 30 Tagen); Einrichtungen der nationalen Verteidigung, öffentlichen Ordnung, nationalen Sicherheit, des Außenministeriums und der Strafverfolgung sind ausgenommen.
    Slowakei
    Vollständig gemeldet
    		NBÚ (lead) / sector ministries (supervision); SK-CERT (incidents)Die Slowakei hat die NIS2-Umsetzung über das <strong>Gesetz Nr. 366/2024 Slg.</strong> abgeschlossen, das das Cybersicherheitsgesetz Nr. 69/2018 Slg. ändert; Annahme durch den Nationalrat am 28.11.2024; Veröffentlichung in der Gesetzessammlung am 19.12.2024; in Kraft seit 1.1.2025; die Slowakei ist der 4. EU-Mitgliedstaat, der die Umsetzung abgeschlossen hat; ca. 3.500–14.000 Einrichtungen werden voraussichtlich erfasst; primäre Behörde NBÚ (Národný bezpečnostný úrad); SK-CERT (National Cyber Security Centre, innerhalb der NBÚ) ist für die Reaktion auf Vorfälle zuständig; sektorspezifische Ministerien (z. B. Gesundheit, Verkehr) haben ergänzende Rollen; der Rahmen ist an der ISO-27000-Normenfamilie ausgerichtet; eine ergänzende Verordnung über Sicherheitsmaßnahmen wurde 2025 entwickelt; Drittparteien in der Lieferkette werden ausdrücklich als direkte Einrichtungen reguliert (über das Mindestmaß der Richtlinie hinaus); Registrierung über die JISKB-Plattform — anfängliche Frist ~1.3.2025 (abgelaufen); neue Einrichtungen 60 Tage ab Eintritt in den Anwendungsbereich; vollständige Einhaltung aller Pflichten erforderlich bis 31.12.2026; ein Zwischenbericht kann von SK-CERT zwischen der 72-Stunden-Meldung und dem Abschlussbericht angefordert werden.
    Slowenien
    Vollständig gemeldet
    		URSIV (lead/NCC-SI/SPOC); SI-CERT (private) / SIGOV-CERT (gov) (incidents)Slowenien hat die NIS2-Umsetzung über das Informationssicherheitsgesetz (ZInfV-1) (Zakon o informacijski varnosti) abgeschlossen; am 23. Mai 2025 von der Nationalversammlung verabschiedet; am 4. Juni 2025 im Amtsblatt Nr. 40/25 veröffentlicht; in Kraft seit 19. Juni 2025; neues umfassendes Gesetz, das das vorherige ZInfV (2018) ersetzt; im Eilverfahren angenommen, nachdem die EU-Kommission am 7. Mai 2025 eine mit Gründen versehene Stellungnahme abgegeben hatte; federführende Behörde URSIV (Regierungsstelle für Informationssicherheit), zugleich NCC-SI und nationale zentrale Anlaufstelle; SI-CERT (betrieben von ARNES) als nationales CSIRT für den privaten Sektor; SIGOV-CERT für Regierungsbehörden; Anwendungsbereich über das Mindestmaß der Richtlinie hinaus erweitert auf Forschungs- und Hochschuleinrichtungen; Rahmen für Cybersicherheitsanforderungen dem Gesetz als Anhang beigefügt; ISO/IEC 27001 als anwendbarer Standard genannt; ISMS + BCMS verpflichtend; URSIV-Registrierungsfrist 19. Dezember 2025 (abgelaufen); neue Einrichtungen 30 Tage ab Eintritt in den Anwendungsbereich; gestaffelte Risikomanagement-Fristen — 19. Juni 2026 (Anbieter wesentlicher Dienste nach vorherigem ZInfV) / 19. Dezember 2026 (alle anderen wesentlichen/wichtigen Einrichtungen); Konformitätsbewertung durch akkreditierte CAB mindestens alle 2 Jahre für wesentliche Einrichtungen.
    Spanien
    Entwurf
    		CNC (proposed lead/SPOC); CCN-CERT (public) / INCIBE-CERT (private) / ESPDEF-CERT (defence) (CSIRTs)Spanien hat seine NIS2-Umsetzung noch nicht erlassen; das Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad wurde am 14. Januar 2025 vom Ministerrat verabschiedet; ausstehende parlamentarische Beratung in den Cortes Generales (Stand April 2026); Frist vom 17. Oktober 2024 versäumt; mit Gründen versehene Stellungnahme der EU-Kommission vom 7. Mai 2025; eine Befassung des EuGH bleibt möglich; der bestehende NIS1-Rahmen (RD-Law 12/2018) gilt weiterhin; der Entwurf richtet ein neues Centro Nacional de Ciberseguridad (CNC) als federführende Behörde, einzige EU-Anlaufstelle und Krisenkoordinator ein; drei referenzielle CSIRTs benannt — CCN-CERT (öffentlicher Sektor), INCIBE-CERT (private Einrichtungen), ESPDEF-CERT (Streitkräfte); Meldung von Vorfällen über die Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes; Anwendungsbereich über das Mindestmaß der Richtlinie hinaus erweitert auf Universitäten, Forschungseinrichtungen, große Gemeinden, private Sicherheitsunternehmen, Einrichtungen mit Bedeutung für die nationale Verteidigung sowie ausländische Unternehmen mit Niederlassung in Spanien; gestaffelte nationale Bußgeldstruktur (geringfügig €10.000–€100.000; schwer €100.001–€500.000; sehr schwer €500.001–€2 Mio.; höhere NIS2-konforme Obergrenzen für die schwersten Fälle); nach Inkrafttreten ist ein Responsable de Seguridad de la Información je Einrichtung erforderlich.
    Schweden
    Vollständig gemeldet
    		MSB/MCF (lead/coordinator/SPOC/CSIRT); PTS (digital sectors); sector authoritiesSchweden hat seine NIS2-Umsetzung mit dem Cybersäkerhetslagen (Cybersicherheitsgesetz, SFS 2025:1506) abgeschlossen, das der Riksdag am 10. Dezember 2025 verabschiedet hat und seit dem 15. Januar 2026 in Kraft ist — ein neues umfassendes Gesetz, das das Informationssicherheitsgesetz 2018:1174 ersetzt; parallel wurde die Cybersäkerhetsförordningen erlassen. Schweden verpasste die Frist vom 17. Oktober 2024 und erhielt am 7. Mai 2025 eine mit Gründen versehene Stellungnahme der EU-Kommission (nach Inkrafttreten erledigt). MSB (Myndigheten för samhällsskydd och beredskap) wurde zum 1. Januar 2026 in MCF (Myndigheten för civilt försvar — Schwedische Agentur für zivilen Verteidigungs- und Resilienzschutz) umbenannt; MSB/MCF fungiert als nationaler Koordinator, zentrale EU-Anlaufstelle und nationales CSIRT. Schweden betreibt ein dezentrales Aufsichtsmodell — sektorspezifische Behörden beaufsichtigen ihre jeweiligen Sektoren, wobei PTS (Post- och telestyrelsen — Schwedische Post- und Telekommunikationsbehörde) digitale Infrastruktur, digitale Anbieter, ICT-Service-Management (B2B), Raumfahrt sowie Post- und Kurierdienste mitregulierung. Whole-Entity-Ansatz — die gesamte IT-Landschaft betroffener Einrichtungen muss compliant sein. Verpflichtende Schulungen der Leitungsorgane sind sanktionsbewehrt. Vertrauensdiensteanbieter müssen sowohl Frühwarnung als auch Vorfallmeldung innerhalb von 24 Stunden einreichen (Abweichung von 72h). Zeitlich befristetes Verbot der Wahrnehmung von Leitungsfunktionen für Mitglieder der Leitungsorgane wesentlicher Einrichtungen möglich. Registrierungsfrist 16. Februar 2026 (verstrichen); MSB/MCF-Meldeportal seit 2. Februar 2026 aktiv; alle Pflichten gelten unmittelbar ab 15. Januar 2026 ohne allgemeine Übergangsfrist.

    Viele dieser Mitgliedstaaten haben primäre Gesetze verabschiedet, benötigen aber noch die vollständige sekundäre Gesetzgebung und die Benachrichtigung der Kommission, bevor die Durchsetzung als abgeschlossen gilt.

    Statuslegende

    • Vollständig gemeldet = nationale Umsetzung angenommen und keine offene begründete Stellungnahme der Kommission bezüglich unvollständiger Meldung.
    • Angenommen = nationales Umsetzungsgesetz angenommen (oder veröffentlicht), aber die Kommission hat weitere Informationen / die Vollständigkeit der Meldung angefordert (oder die Meldung muss noch bestätigt werden). Wenn das Gesetz bereits in Kraft ist, die Meldung aber noch zur Überprüfung ansteht, wird dies angegeben.
    • Entwurf = Gesetzgebungsverfahren läuft / kein endgültiges nationales Gesetz veröffentlicht.
    Länder- und Branchenleitfäden ansehen

    Wichtige Umsetzungshinweise

    Frist & Maßnahmen der Kommission

    Alle Mitgliedstaaten mussten NIS2 bis zum 17. Oktober 2024 umsetzen; die meisten haben diese Frist verpasst. Am 7. Mai 2025 hat die Europäische Kommission an 19 Mitgliedstaaten begründete Stellungnahmen gerichtet, weil sie die vollständige Umsetzung nicht mitgeteilt haben.

    „Angenommen“ vs. „Vollständig gemeldet“

    Einige Mitgliedstaaten haben nationale Gesetze erlassen, aber noch nicht alle Durchführungsmaßnahmen vollständig an die Kommission gemeldet. Andere Mitgliedstaaten befinden sich noch im Entwurfs- oder Gesetzgebungs-/Parlamentsprüfungsverfahren.

    Durchsetzung & Regulatorische Bereitschaft

    Sofern nationales Recht in Kraft ist, werden die Registrierung von Unternehmen, die Meldung von Vorfällen, Aufsichtsbefugnisse und Sanktionen (bis zu 10 Millionen Euro oder 2 % des Umsatzes für wesentliche Einrichtungen) durch sekundäre Vorschriften schrittweise eingeführt.

    Anstehende Durchsetzung

    In Mitgliedstaaten mit dem Status „Angenommen“ oder „Entwurf“ sind Registrierungs- und Meldepflichten noch nicht durchsetzbar, bevor nationales Recht in Kraft ist und Behörden Rechtsinstrumente und Portale veröffentlicht haben. Dies hindert fleißige KMU nicht daran, schon jetzt mit ihren NIS2-Compliance-Bemühungen zu beginnen.

    Erläuterungen zu den zuständigen Behörden

    In der gesamten EU benennen die Mitgliedstaaten eine oder mehrere zuständige Behörden, die für die NIS2-Umsetzung und -Durchsetzung verantwortlich sind.

    Überwachung der Einhaltung

    Überwachung der Einhaltung der NIS2-Verpflichtungen bei wesentlichen und wichtigen Einrichtungen

    Entgegennahme von Vorfallsmeldungen

    Bearbeitung und Koordinierung von Reaktionen auf Meldungen von Cybersicherheitsvorfällen

    Führung von Unternehmenslisten

    Führung von Registern über wesentliche und wichtige Einrichtungen in ihrem Zuständigkeitsbereich

    Durchsetzung von Anforderungen

    Umsetzung von Risikomanagement- und Governance-Anforderungen durch regulatorische Maßnahmen

    Typische Behördentypen

    • Nationale Cybersicherheitsbehörden/-agenturen oder spezialisierte Cybersicherheitsregulatoren (z. B. CCB, ACN, NUKIB, ANSSI)
    • Sektorale Regulierungsbehörden für Finanzen, Telekommunikation, Energie, sofern Verantwortlichkeiten delegiert sind
    • CSIRTs übernehmen Koordinierungs- und Meldefunktionen nach nationalem Recht