NIS2-Umsetzungsgesetz: Wo die vier Märkte im Mai 2026 stehen

Achtzehn Monate nach der Frist ist der Stand des NIS2-Umsetzungsgesetzes in den vier Märkten, die diese Redaktion abdeckt — Frankreich, Deutschland, Spanien, Italien — uneinheitlich genug, dass Vorstände in diesen Ländern in grundlegend verschiedenen operativen Realitäten arbeiten. Die Richtlinie selbst ist am 16. Januar 2023 in Kraft getreten, mit einer nationalen Umsetzungsfrist zum 17. Oktober 2024 nach Artikel 41 der Richtlinie (EU) 2022/2555. Einer der vier Mitgliedstaaten hat vollständig umgesetzt. Die anderen drei arbeiten heute mit Entwürfen, Übergangsmaßnahmen oder Rechtsvorschriften aus der NIS-1-Ära.

Dieser Beitrag bietet keinen Streifzug durch nationale Gesetze, sondern einen Entscheidungsrahmen. Für jeden Markt drei Koordinaten: das nachprüfbare Umsetzungsinstrument (oder dessen Fehlen), die zuständige Behörde und die operative Frage, die in diesem Monat für eine in diesem Land ansässige wesentliche oder wichtige Einrichtung folgt. Das Vereinigte Königreich wird als Referenzmarkt einbezogen — außerhalb der EU, nicht mehr NIS2-pflichtig, aber relevant, weil britische Vorstände mit EU-Tochtergesellschaften denselben Kalender bedienen.

1. Italien — umgesetzt, ACN am Steuer

Italien ist der einzige der vier Märkte, dessen nationale Umsetzungsebene verbindlich steht. Das Decreto Legislativo 4 settembre 2024, n. 138 — Recepimento della direttiva (UE) 2022/2555 — wurde am 1. Oktober 2024 in der Gazzetta Ufficiale veröffentlicht und trat kurz danach in Kraft. Zuständige Behörde ist die Agenzia per la Cybersicurezza Nazionale (ACN), die die Aufsichtsbefugnisse und das Registrierungsverfahren nach Artikel 3 der Richtlinie erbt.

Das Dekret schreibt ein Selbstregistrierungsfenster vor — Einrichtungen mussten sich bis zum 28. Februar 2025 über das nationale Portal bei der ACN registrieren — und einen gestaffelten Implementierungskalender, der Pflichten zu Governance, Risikomanagement und Vorfallmeldung über 2025 und 2026 verteilt. Die ACN hat sektorale Leitlinien veröffentlicht und führt bereits Aufsichtsgespräche, ohne dass bisher eine öffentlich bekannt gewordene NIS2-Geldbuße verhängt wurde.

Die operative Frage für italienische Vorstände im Mai 2026 lautet nicht mehr, ob die Pflichten greifen, sondern ob der Eintrag im registro NIS aktuell ist und ob die Vorfall-Klassifikationsmatrix der Einrichtung an den Schwellenwerten der Durchführungsverordnung 2024/2690 anschlägt, soweit diese gilt. Die ACN hat öffentlich angekündigt, dass Aufsichtsprüfungen bevorzugt Einrichtungen erfassen, deren Registrierung statisch wirkt oder deren erster Berichtszyklus unvollständig war.

2. Deutschland — noch nicht beschlossen, BMI federführend

Deutschland hat sein NIS2-Umsetzungsgesetz nicht beschlossen. Die Seite des Bundesamts für Sicherheit in der Informationstechnik (BSI) formuliert es ausdrücklich: „Ein nationales Gesetz zur Umsetzung der NIS-2-Richtlinie ist noch nicht verabschiedet." Federführend für das Gesetzgebungsverfahren ist das Bundesministerium des Innern und für Heimat (BMI); der Arbeitstitel des Entwurfs ist weiterhin NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG).

Für deutsche Einrichtungen entfalten mehrere Bestimmungen der Richtlinie unmittelbare Wirkung — der Gerichtshof zieht diese Folge regelmäßig für klare und unbedingte Artikel, sobald die Umsetzungsfrist verstrichen ist —, doch die Aufsichtsarchitektur, der Bußgeldkatalog und das Registrierungsverfahren bleiben unklar, solange das Bundesgesetz nicht verabschiedet ist. Das BSI handelt de facto als zuständige Behörde im Bereich Cybersicherheit, doch seine Durchsetzungsbefugnisse im Sinne des Artikels 32 sind auf NIS2-Niveau noch nicht kodifiziert.

Die operative Frage für den deutschen Vorstand im Mai 2026 ist, was heute schon schriftlich zugesagt wird. Die vertretbare Haltung besteht darin, die Anforderungen der Richtlinie unmittelbar zu spiegeln — die Governance-Pflichten aus Artikel 20, die Maßnahmen aus Artikel 21, die Meldekadenz aus Artikel 23 — unter der Arbeitsannahme, dass das NIS2UmsuCG, wenn es verabschiedet ist, sie nicht absenkt. Bequem ist das für die Rechtsabteilung nicht; vor dem Hintergrund persönlicher Haftung ist es die sichere Position.

Vorstände in Deutschland und Spanien arbeiten allein mit dem Richtlinientext — die nationale Aufsicht existiert, der nationale Bußgeldkatalog noch nicht.

3. Frankreich — projet de loi Résilience, ANSSIs ReCyF als Brücke

Frankreich hat sein Umsetzungsgesetz nicht ausgefertigt. Nach Auskunft der Agence nationale de la sécurité des systèmes d'information (ANSSI) ist das gesetzgeberische Vehikel das projet de loi Résilience, mit operativem Anker in dessen Artikel 14. Zum Datum dieser Veröffentlichung hat der Entwurf das Parlament noch nicht endgültig durchlaufen; die ANSSI-Seite spricht von einem projet, nicht von einer loi.

Um das Intervall zu überbrücken, hat die ANSSI 2026 das Référentiel Cyber France (ReCyF) veröffentlicht — einen nicht verpflichtenden Referenzrahmen, der die Sicherheitsmaßnahmen aufzählt, die die ANSSI als Nachweis der Erfüllung der materiellen NIS2-Anforderungen akzeptieren wird, sobald das Gesetz beschlossen ist. Einrichtungen, die das ReCyF anwenden, können dies bei einer späteren Inspektion als gage de conformité geltend machen. Die ANSSI ist die designierte zuständige Behörde, gestützt von sektoralen CSIRTs.

Die operative Frage für französische Vorstände im Mai 2026 lautet, ob jetzt bereits am ReCyF ausgerichtet werden soll — in Kauf nehmend, dass sich Details bei der Verabschiedung verschieben können — oder ob abgewartet wird. Die meisten großen Einrichtungen haben begonnen — die Doppelrolle der ANSSI als Regelschreiberin und Aufsichtsbehörde macht frühe Ausrichtung in der Praxis zum risikoärmsten Pfad.

4. Spanien — Umsetzung ausstehend, INCIBE-CERT als operative Schnittstelle

Spanien hat NIS2 noch nicht umgesetzt. Das Instituto Nacional de Ciberseguridad (INCIBE) formuliert es in seiner öffentlichen FAQ klar: Auf die Frage, welche Einrichtung die spanische zuständige Behörde für die Listen wesentlicher und wichtiger Einrichtungen sein wird, lautet die Antwort „Para responder a esta pregunta es necesario esperar a la trasposición de la directiva." Der nationale Rahmen bleibt das Real Decreto-ley 12/2018 und seine Durchführungsverordnung Real Decreto 43/2021 — die NIS-1-Umsetzung, nicht NIS-2.

Das INCIBE-CERT funktioniert weiter als operatives CSIRT für die Privatwirtschaft und ist heute der praktische zentrale Ansprechpartner für Vorfallmeldungen. Das Centro Criptológico Nacional (CCN-CERT) deckt den öffentlichen Sektor ab. Die Architekturentscheidung zwischen einer einzigen zuständigen Behörde oder einer sektoralen Aufteilung — und die Frage, ob dem Departamento de Seguridad Nacional eine koordinierende Rolle zufällt — wird der Umsetzungstext klären, sobald er im Boletín Oficial del Estado veröffentlicht ist.

Die operative Frage für spanische Vorstände im Mai 2026 spiegelt die deutsche. Die materiellen Pflichten der Richtlinie heute anwenden, einschließlich der 24h–72h–1-Monats-Kadenz an INCIBE-CERT, und akzeptieren, dass das formale Sanktionsregime später folgt. Eine unter der Schwelle bleibende Nichtkonformität ist heute für den Regulator unsichtbar; sie ist nicht unsichtbar für eine künftige Aufsicht, die ein Risikoregister von 2026 rückblickend liest.

5. Vereinigtes Königreich — außerhalb des Anwendungsbereichs, doch der Kalender wirkt mit

Das Vereinigte Königreich unterliegt NIS2 nicht. Der britische Rahmen bleibt die Network and Information Systems Regulations 2018, mit dem National Cyber Security Centre (NCSC) als technischer Behörde und sektorspezifischen zuständigen Behörden (Ofcom, ICO, Ofgem u. a.) in der Aufsicht. Im September 2024 hat die britische Regierung das Cyber Security and Resilience Bill angekündigt — ein Vorhaben, das die NIS Regs in eine Richtung erweitert, die NIS2 grob folgt: mehr Sektoren, schärfere Meldepflichten, schärfere Durchsetzung.

Für Vorstände britischer Konzerne mit EU-Tochtergesellschaften oder mit in der EU bezogenen Diensten gelten die NIS2-Pflichten über diese EU-Niederlassungen nach Artikel 26 der Richtlinie — also über die italienischen, deutschen, französischen oder spanischen Einheiten der Gruppe, auf dem Kalender, auf den die jeweilige Jurisdiktion einschwenkt. Die umgekehrte Richtung gilt ebenfalls: Eine EU-Konzernmutter mit britischer Tochter folgt den NIS Regs 2018 und in Kürze dem Cyber Security and Resilience Bill.

Die operative Frage für den Referenzmarkt UK ist die der Beschaffung und der konzernweiten Berichterstattung. Ein einziges Vorfallmeldungs-Playbook, das die 24/72-Stunden-Kadenz von NIS2 erfüllt, erfüllt in den meisten Fällen auch die 72-Stunden-Pflicht der NIS Regs 2018 — die Schwellendefinitionen unterscheiden sich jedoch, und die Vorfallmatrix des Vorstands sollte beide explizit abgleichen.

Wie gute Umsetzung aussieht

Drei Artefakte tauchen in der Aufsichtspraxis von ACN, ANSSI, BSI und INCIBE konsistent auf. Keines erfordert das Warten auf den fehlenden nationalen Text:

1. Eine vom Vorstand gezeichnete Jurisdiktionskarte — ein einseitiges Dokument, datiert in den letzten zwölf Monaten, das jede betroffene Niederlassung, ihre zuständige Behörde, den Registrierungsstand bei dieser Behörde (Italien: registriert; DE/ES: ausstehend; FR: Vorab-Registrierung über das ANSSI-Portal, soweit anwendbar) und die Rechtsgrundlage auflistet, die der Vorstand heute als bindend behandelt.
2. Ein Memo zur unmittelbaren Wirkung der Rechtsabteilung — eine kurze Notiz zu den Risikomanagementmaßnahmen aus Artikel 21 und der Meldekadenz aus Artikel 23, die der Vorstand heute schon umsetzt — in der Annahme, dass die deutschen und spanischen Umsetzungsgesetze sie nicht absenken werden. Die Notiz verweist auf die fünf nicht delegierbaren Aufsichtspflichten aus Artikel 20 und wird bei jeder nationalen Verabschiedung überprüft.
3. Ein Regulator-Änderungsprotokoll — eine gemeinsame Datei, die nach Datum jede öffentliche Äußerung von ACN, ANSSI, BSI und INCIBE festhält, die Anwendungsbereich, Meldung oder Sanktionen betrifft. Vom Prüfungsausschuss in jeder Quartalssitzung gesichtet. Eine statische Compliance-Haltung verfällt schnell in Jurisdiktionen, in denen noch geschrieben wird.

Die Aufgabe der nächsten sechs Monate für Einrichtungen, die in diesen vier Märkten operieren, besteht darin, den Rahmen auf Konzernebene konsistent zu halten und zugleich die lokale Aufsichtsbeziehung an den tatsächlichen Stand des jeweiligen nationalen Gesetzes anzupassen. Die Richtlinie ist die Untergrenze; das nationale Gesetz, sobald es kommt, ist die operative Obergrenze.

Quellen

1. Richtlinie (EU) 2022/2555, Artikel 41 (Umsetzungsfrist 17. Oktober 2024) und Artikel 26 (Zuständigkeit).
2. Durchführungsverordnung (EU) 2024/2690 der Kommission vom 17. Oktober 2024.
3. Italien — Decreto Legislativo 4 settembre 2024, n. 138, Recepimento della direttiva (UE) 2022/2555, Gazzetta Ufficiale. Seite der zuständigen Behörde: Agenzia per la Cybersicurezza Nazionale (ACN).
4. Deutschland — BSI, NIS-2-Richtlinie: nationales NIS-2-Umsetzungsgesetz zum Konsultationszeitpunkt noch nicht verabschiedet. Federführendes Ministerium: BMI.
5. Frankreich — ANSSI, Directive NIS 2: Umsetzungsvehikel = projet de loi Résilience, Artikel 14; nicht ausgefertigt. Référentiel Cyber France (ReCyF) 2026 als Brückenrahmen veröffentlicht.
6. Spanien — INCIBE, FAQ NIS2: NIS2-Umsetzung ausstehend; geltender Rahmen = Real Decreto-ley 12/2018 und Real Decreto 43/2021.
7. Vereinigtes Königreich — GOV.UK, Cyber Security and Resilience Bill: Gesetzesvorhaben angekündigt im September 2024; geltendes Recht = Network and Information Systems Regulations 2018.