NIS2: Drei Fristen, die Ihr Compliance-Team diesen Sommer nicht verpassen darf
BSI prüft aktiv, das niederländische Cyberbeveiligingswet tritt am 15. August in Kraft, und die EU-Kommission hat vier Mitgliedstaaten verklagt. Die wichtigsten NIS2-Entwicklungen im Juni und Juli 2026—kompakt zusammengefasst.

(PresseBox) - Drei NIS2-Fristen laufen vor September ab. Am 31. Juli erwartet das BSI, dass ausstehende Registrierungen nachgeholt sind. Am 15. August tritt das niederländische Cyberbeveiligingswet in Kraft. Und die am 8. Juli eingereichten Vertragsverletzungsverfahren gegen vier EU-Mitgliedstaaten zeigen: Die Geduld der Kommission mit verzögerten Umsetzungen ist erschöpft. Für Unternehmen, die in der EU tätig sind, ist der Compliance-Kalender jetztein aktives Durchsetzungsdokument.
Die fünf wichtigsten Entwicklungen im Überblick.
1. EU-Kommission klagt vier Mitgliedstaaten wegen NIS2-Verzögerungen
Am 8. Juli 2026 hat dieEuropäische KommissionIrland, Spanien, Frankreich und die Niederlande beim Gerichtshof der Europäischen Union wegen unvollständiger Umsetzung der NIS2-Richtlinie verklagt. Die Klagen enthalten Anträge auf finanzielle Sanktionen: eine Pauschalzahlung zuzüglich täglicher Strafzahlungen, die so lange anfallen, bis jedes Land die vollständige Umsetzung bei der Kommission notifiziert.
Die Umsetzungsfrist war der 17. Oktober 2024. Die Klage ist die dritte und letzte Stufe des EU-Vertragsverletzungsverfahrens. Förmliche Mahnschreiben wurden im November 2024 versandt, mit Gründen versehene Stellungnahmen im Mai 2025.
Die praktische Konsequenz für betroffene Organisationen: Die Gerichtsverfahren laufen parallel zu den bestehenden NIS2-Verpflichtungen. Die Anforderungen sind seit Oktober 2024 verbindlich. Die Verfahren erhöhen den finanziellen Druck auf die Regierungen und verkürzen den Zeitrahmen für Unternehmen, die noch auf nationale Gesetzgebung warten.
Für Organisationen mit Tochtergesellschaften oder Lieferanten in Irland, Spanien oder Frankreich ist dies auch ein Signal für das Lieferkettenrisiko. Die Compliance-Lage Ihrer Geschäftspartner ist nun eine aufsichtsrechtliche Frage, nicht mehr nur eine vertragliche.
2. Deutschland: Das BSI prüft jetzt aktiv
Das BSI ist am 6. März 2026 in die aktive Aufsichtsphase eingetreten. WieSecurityToday.dein seiner Analyse vom 16. Juni festhält, hat sich die entscheidende Frage verschoben: nicht mehr ob eine Einrichtung registriert ist, sondern ob die gemeldeten Sicherheitsmaßnahmen einer Prüfung standhalten.
Von den rund 29.500 Einrichtungen im Anwendungsbereich hatten bis zum 2. April lediglich 15.477 die Registrierung abgeschlossen. Das BSI hat daraufhin die betroffenen Branchenverbände informiert, dass ausstehende Registrierungen bis zum 31. Juli 2026 nachzuholen sind — dem Datum, das das BSI selbst als nächstenAktualisierungstermin der Registrierungsstatistikausgewiesen hat. Eine formelle Verlängerung der gesetzlichen Frist ist das nicht. Die Compliance-Pflichten gelten seit dem 6. Dezember 2025, unabhängig vom Registrierungsstatus.
Was die aktive Aufsicht in der Praxis bedeutet: Das BSI kann proaktiv Nachweiseüber Sicherheitsmaßnahmen anfordern, ohne auf einen Vorfall warten zu müssen. Vor-Ort- und Fernprüfungen sind zulässig. Bußgelder für wesentliche Einrichtungen betragen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Mitglieder von Leitungsorganen haften persönlich und können vorübergehend von der Ausübung ihrer Führungsfunktionen ausgeschlossen werden.
Für Nachzügler gilt eine klare Prioritätenreihenfolge: zuerst registrieren, dann dokumentierte Nachweise über Maßnahmen erbringen. Tritt ein meldepflichtiger Vorfall ein, bevor Maßnahmen nachweislich vorhanden sind, wirkt eine versäumte Registrierung erschwerend.
3. Niederlande: Cyberbeveiligingswet tritt am 15. August in Kraft
Am 7. Juli 2026 hat der niederländische Senat das Cyberbeveiligingswet, die niederländische Umsetzung der NIS2-Richtlinie, sowie das Gesetz zur Resilienz kritischer Einrichtungen (Wwke) verabschiedet. Beide Gesetze treten am15. August 2026 in Kraft.
Mehr als 8.000 Organisationen fallen in den Anwendungsbereich: Ministerien, Kommunen, Wasserverbände, Provinzen und interkommunale Partnerschaften. Ab dem 15. August müssen sie sich beim NCSC über das Entitätenregister registrieren, risikobasierte Sicherheitsmaßnahmen einschließlich Lieferkettenabhängigkeiten umsetzen, schwerwiegende Cybersicherheitsvorfälle innerhalb der gesetzlichen Fristen melden und eine Cybersicherheitsaufsicht auf Vorstandsebene sicherstellen.
Das Gesetz führt eine Direktorenhaftung ein. Aufsichtsbehörden können verbindliche Anweisungen erteilen, Inspektionen durchführen und Direktoren bei Bedarf abberufen. Das NCSC empfiehlt, die Registrierung vor dem 15. August zu beginnen, um Engpässe zu vermeiden.
Ein Hinweis zur zeitlichen Abfolge: Der niederländische Senat verabschiedete das Gesetz einen Tag vor Einreichung der EU-Klage gegen die Niederlande. Die täglichen Strafzahlungen enden, sobald die förmliche Notifizierung der Umsetzung bei der Kommission eingeht.
4. Neues EU-Referenzdokument: NIS2 im Mapping mit ISO 27001 und NIST CSF 2.0
Das im Juni 2026 veröffentlichteReferenzdokumentder NIS-Kooperationsgruppe zu Sicherheitsmaßnahmen ist die bisher konkreteste EU-weite Orientierungshilfe zur NIS2-Compliance. Es ordnet die Verpflichtungen aus NIS2 Artikel 21 und der Durchführungsverordnung 2024/2690 den folgenden Rahmenwerken zu: ISO/IEC 27001, NIST Cybersecurity Framework 2.0, IEC 62443 sowie nationalen Rahmenwerken einschließlich CyFun.
Für Compliance-Teams, die bereits nach ISO 27001 oder NIST CSF 2.0 arbeiten, beantwortet das Dokument eine seit zwei Jahren offene Frage: Wie genau lassen sich bestehende Kontrollen auf NIS2-Anforderungen abbilden?
Das Mapping ist besonders nützlich für Organisationen, die in mehreren Mitgliedstaaten tätig sind. Statt separate Gap-Analysen pro Jurisdiktion zu pflegen, können Teams das Referenzdokument als gemeinsame Grundlage nutzen und nationale Abweichungen darauf aufbauen. Zugangssteuerung, Authentifizierung und Privileged Access Management sind explizit in den abgebildeten Zielen enthalten, Bereiche, die BSI und andere Aufsichtsbehörden direkt prüfen werden.
5. ENISA NIS360 2026: Sieben Sektoren in der Risikozone
DerENISA NIS360 2026-Berichthat den Weltraumsektor in die höchste Kritikalitätsstufe eingestuft, gemeinsam mit dem Bankwesen, der Stromversorgung und der Luftfahrt. Operativ bedeutsamer ist jedoch: Sieben Sektoren verbleiben in der Risikozone, in der die Cybersicherheitsreife hinter den Anforderungen ihrer Kritikalität zurückbleibt.
Diese sieben Sektoren sind: Gesundheitswesen, Eisenbahn, Seeschifffahrt, IKT-Dienstemanagement, Weltraum,öffentliche Verwaltung sowie Trink- und Abwasserwirtschaft. Aufsichtsbehörden nutzen die NIS360-Daten zur Priorisierung ihrer Prüfkalender. Organisationen in diesen Sektoren sollten im zweiten Halbjahr 2026 mit verstärkter Aufsichtstätigkeit rechnen.
Die ENISA-Studie NIS Investments 2025 ergab, dass 70 % der befragten Organisationen die Einhaltung von NIS2, DORA und CRA als wichtigsten Treiber ihrer Cybersicherheitsausgaben nannten, ein Wert, der mit demÜbergang der Aufsichtsbehörden von der Registrierung zur aktiven Prüfung weiter steigen wird.
Handlungsbedarf vor September
Der 31. Juli und der 15. August sind keine abstrakten Termine mehr. Wer in Deutschland noch nicht registriert ist oder in den Niederlanden unter das Cyberbeveiligingswet fällt, muss jetzt handeln.
Passwork verfolgt NIS2-Entwicklungen kontinuierlich und veröffentlicht monatliche Enforcement-Updates, damit Ihre Teams auf neue Anforderungen vorbereitet sind, bevor Aufsichtsbehörden aktiv werden.
Den vollständigen NIS2-Enforcement-Update für Juni und Juli 2026 lesen Sie im Passwork Blog, inklusive Vertragsverletzungs-Fallnummern, dem britischen Cyber Security and Resilience Bill und dem EU-Aktionsplan zu Cybersicherheit und KI:NIS2 Compliance: Aktuelle Entwicklungen Juni/Juli 2026
Passwork ist ein unabhängiges europäisches Cybersicherheitsunternehmen, das selbst gehostete und cloudbasierte Passwortmanagement-Lösungen für Unternehmen und öffentliche Einrichtungen entwickelt. Das Unternehmen operiert nach EU-Recht und ist vollständig NIS2-, ENS- und DSGVO-konform. Passwork legt denSchwerpunkt auf nachhaltigen Mehrwert, hält ISO-27001-zertifizierte Entwicklungsstandards ein und gewährleistet absoluten Datenschutz für seine Kunden.
Passwork ist ein unabhängiges europäisches Cybersicherheitsunternehmen, das selbst gehostete und cloudbasierte Passwortmanagement-Lösungen für Unternehmen undöffentliche Einrichtungen entwickelt. Das Unternehmen operiert nach EU-Recht und ist vollständig NIS2-, ENS- und DSGVO-konform. Passwork legt den Schwerpunkt auf nachhaltigen Mehrwert, hält ISO-27001-zertifizierte Entwicklungsstandards ein und gewährleistet absoluten Datenschutz für seine Kunden.
Datum: 15.07.2026 - 11:20 Uhr
Sprache: Deutsch
News-ID 2262405
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner: Alex Muntyan
Stadt:
Barcelona
Telefon: +34673328602
Kategorie:
IT, New Media & Software
Dieser Fachartikel wurde bisher 2 mal aufgerufen.
Der Fachartikel mit dem Titel:
"NIS2: Drei Fristen, die Ihr Compliance-Team diesen Sommer nicht verpassen darf"
steht unter der journalistisch-redaktionellen Verantwortung von
Passwork Europe SL. (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).



