Obwohl NIS2 einen gemeinsamen Rahmen vorgibt, verläuft die nationale Umsetzung in den Mitgliedstaaten uneinheitlich. Die Anforderungen auf nationaler Ebene unterscheiden sich nach wie vor, weshalb Entwicklungen in einzelnen Ländern ein nützlicher Indikator dafür sind, wohin die behördliche Aufmerksamkeit tendiert.

Der Mai 2026 hat diesen Wandel deutlich gemacht: Bulgarien hat sein Sanktionsregime aktiviert, Luxemburg hat eine Pflichtregistrierung eingeführt, die NIS-Kooperationsgruppe hat gemeinsame Meldevorlagen für Sicherheitsvorfälle verabschiedet, ENISA hat seine sektorale Reifegradbewertung aktualisiert, und die Niederlande sowie Irland haben ihre lange verzögerte Umsetzung vorangetrieben.

Bulgarien: Vollständige Durchsetzung hat begonnen

Ab dem 1. Juni 2026 setzt Bulgarien sein NIS2-konformes Cybersicherheitsgesetz vollständig durch. Die bisherige 50-prozentige Bußgeldreduzierung entfällt.

Das Gesetz erfasst Einrichtungen der Anhang-I- und -II-Sektoren ab mittlerer Unternehmensgröße sowie bestimmte kritische Anbieter unabhängig von ihrer Größe. Auch Kommunen fallen als wesentliche Einrichtungen in den Anwendungsbereich.

Eine Lücke bleibt: Die Mindestsicherheitsmaßnahmen sind noch nicht per Verordnung definiert. Dennoch gelten alle Pflichten bereits, Sanktionen werden verhängt.

Von Organisationen wird erwartet, dass sie eine Lückenanalyse durchführen und sich an Rahmenwerken wie ISO 27001 und ISO 22301 ausrichten.

Leitungsorgane haften persönlich: Einzelne Mitglieder können mit 500 bis 5.000 Euro belegt werden, Unternehmen mit bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes. In schwerwiegenden Fällen ist ein gerichtliches Verbot von Leitungsfunktionen möglich.

Aufsichtsbehörden prüfen konkrete Nachweise: Beschlüsse des Leitungsorgans, Richtlinien, Audits und dokumentierte Schulungen.

Quelle: Bulgarisches Staatsblatt, 2026; Capital.bg, 2026

Ein einheitliches Meldeformat für die gesamte EU

Am 26. Mai 2026 hat die NIS-Kooperationsgruppe gemeinsame Vorlagen für die NIS2-Vorfallsmeldung vereinbart. Sie ersetzen die fragmentierten nationalen Formulare und sollen per Durchführungsrechtsakt verbindlich werden.

Die Meldefristen nach Artikel 23 bleiben unverändert: Frühwarnung binnen 24 Stunden, Meldung binnen 72 Stunden, Abschlussbericht nach einem Monat. Nur das Einreichungsformat ändert sich. Wer Incident-Response-Prozesse auf nationalen Formularen aufgebaut hat, sollte die Aktualisierung jetzt einplanen.

Quelle: Europäische Kommission, 2026

ENISA identifiziert Hochrisikosektoren

Am 28. Mai 2026 hat ENISA seinen dritten NIS360-Bericht veröffentlicht, der den Cybersicherheitsreifegrad in den kritischen Sektoren gemäß Anhang I der NIS2-Richtlinie bewertet.

Der Bericht bewertet gesamte Sektorökosysteme, nicht einzelne Organisationen, und hebt Lücken zwischen der Kritikalität und der tatsächlichen Sicherheitsbereitschaft hervor.

Acht Sektoren werden als Hochrisikobereiche eingestuft: Gesundheitswesen, Schienenverkehr, Seeverkehr, IKT-Dienstleistungsmanagement, Raumfahrt, öffentliche Verwaltung, Trinkwasserversorgung und Abwasserentsorgung.

Für IT- und Sicherheitsverantwortliche in diesen Sektoren ist die NIS360-Bewertung ein nützlicher Referenzpunkt. Wer in der Risikoliste erscheint, sollte mit erhöhter Aufsichtsaufmerksamkeit rechnen: Behörden nutzen sektorale Reifegradsdaten, um ihre Prüfpläne zu priorisieren.

Quelle: ENISA, 2026

Luxemburg: Registrierung ist nun Pflicht

Das luxemburgische NIS2-Gesetz wurde am 6. Mai 2026 veröffentlicht und trat am 10. Mai in Kraft, womit es den NIS1-Rahmen ablöst.

Es gilt für Organisationen mit 50+ Beschäftigten oder 10 Mio. Euro Jahresumsatz in 18 kritischen Sektoren. Wesentliche Einrichtungen unterliegen proaktiver Aufsicht und Bußgeldern bis zu 10 Mio. Euro oder 2 % des Umsatzes, wichtige Einrichtungen reaktiver Aufsicht mit Obergrenzen bis zu 7 Mio. Euro oder 1,4 %.

Alle Einrichtungen müssen dieselben grundlegenden Sicherheitsmaßnahmen umsetzen (Risikomanagement, Incident Response, Geschäftskontinuität, Lieferkettensicherheit, Zugangssteuerung, MFA usw.) und die NIS2-Meldefristen einhalten (24 Stunden, 72 Stunden, 1 Monat).

Eine wichtige Frist ist der 10. Juli 2026 für die obligatorische Selbstregistrierung bei der zuständigen Behörde (ILR oder CSSF, je nach Sektor). Das Versäumnis der Registrierung ist selbst sanktionierbar.

Quelle: Journal officiel du Grand-Duché de Luxembourg, 2026

Niederlande: Cyberbeveiligingswet erreicht Plenarphase im Senat

Das niederländische Repräsentantenhaus hat das Cyberbeveiligingswet (NIS2-Umsetzungsgesetz) am 15. April 2026 mit breiter Mehrheit von 140 zu 10 Stimmen verabschiedet. Der Gesetzentwurf befindet sich nach der Ausschussberatung im Mai 2026 nun in der Plenarphase des Senats.

Das Gesetz, das im Juni 2025 nach Versäumnis der EU-Frist eingebracht wurde, wird parallel zur Umsetzung der CER-Richtlinie bearbeitet. Die Durchsetzung wird von bestehenden Sektoraufsichtsbehörden und nicht von einer einzigen zentralen Behörde übernommen.

Die Zustimmung des Senats ist der letzte Schritt. Danach legt die Regierung das Inkrafttreten fest, und die Pflichten (Risikomanagement, Meldung von Sicherheitsvorfällen, Verantwortlichkeit des Leitungsorgans) gelten unmittelbar für betroffene Organisationen.

Quellen: Eerste Kamer, Gesetzentwurf 36764; Tweede Kamer, Gesetzentwurf 36764

Irland: National Cyber Security Bill als NIS2-Umsetzungsinstrument bestätigt

Irland hat im Mai 2026 bestätigt, dass der National Cyber Security Bill das NIS2-Umsetzungsgesetz wird und im Sommer 2026 veröffentlicht werden soll. Das NCSC wird darin als zuständige Behörde und CSIRT benannt.

Trotz verpasster EU-Frist sind Sektoraufsichtsbehörden bereits aktiv und bereiten sich auf ihre Durchsetzungsrollen vor. Für Organisationen mit Aktivitäten in Irland gilt: Das Fehlen eines in Kraft getretenen Gesetzes entbindet nicht von der Vorbereitungspflicht.

Quelle: Oireachtas, schriftliche Anfrage, Mai 2026; NCSC Irland, Juni 2025

DigitalEurope: NIS2 erfordert weitergehende Harmonisierung

Am 13. Mai 2026 hat DigitalEurope ein Positionspapier veröffentlicht, in dem argumentiert wird, dass das EU-Cybersicherheitspaket die zentralen Herausforderungen bei der NIS2-Umsetzung noch unzureichend adressiert.

Die Organisation hat fünf Bereiche hervorgehoben, die einer stärkeren Harmonisierung bedürfen:
Anwendungsbereich — Begrenzung der NIS2-Pflichten auf Kerngeschäftsaktivitäten
Größenschwellenwerte — Reduzierung nationaler Unterschiede bei der Einstufung von Einrichtungen
Meldung von Sicherheitsvorfällen — Vereinheitlichung von Meldefeldern, Fristen und Einreichungsprozessen
Hauptniederlassungsregeln — Klärung, welche Behörde die primäre Zuständigkeit für grenzüberschreitend tätige Organisationen hat
Konformitätsbewertungen — Angleichung der Compliance-Anforderungen in den Mitgliedstaaten

Zudem wurde eine stärkere koordinierende Rolle für ENISA gefordert. Während die neuen gemeinsamen Meldevorlagen für Sicherheitsvorfälle eines dieser Probleme angehen, bleiben die meisten Harmonisierungslücken ungelöst.

Quelle: DigitalEurope, Mai 2026

Was diese Entwicklungen im Vorfeld von NIS2-Prüfungen bedeuten

Erstens: Governance-Dokumentation. Zugewiesene Verantwortlichkeiten, dokumentierte Entscheidungen und abgeschlossene Schulungen — die persönliche Haftung gilt nun in Bulgarien und Luxemburg, wenn diese Nachweise fehlen.

Zweitens: Incident Response. Aktualisieren Sie Ihre Prozesse für die bevorstehenden EU-weiten Meldevorlagen. Das Format wird sich nach Verabschiedung des Durchführungsrechtsakts ändern — es ist daher einfacher, die Aktualisierung jetzt in bestehende Pläne zu integrieren.

Drittens: Sektorale Risikoexposition. Prüfen Sie, ob Sie oder wichtige Kunden unter einen der acht in ENISA NIS360 2026 als Hochrisiko eingestuften Sektoren fallen. Diese Sektoren werden im zweiten Halbjahr 2026 voraussichtlich verstärkte Aufsicht erfahren.

Der Rahmen ist weitgehend festgelegt. Der Fokus liegt nun darauf, ob Schutzmaßnahmen vorhanden, operativ und nachweisbar sind.

Passwork ist ein europäisches Unternehmen, das selbst gehostete und cloudbasierte Passwortmanagement-Lösungen für Unternehmen und Behörden entwickelt. Das Unternehmen operiert nach EU-Recht, ist ISO-27001-zertifiziert und vollständig NIS2-, ENS- und DSGVO-konform.

Erfahren Sie, wie Passwork die NIS2-Prüfungsvorbereitung unterstützt: passwork.pro/nis2