Drei NIS2-Fristen laufen vor September ab. Am 31. Juli erwartet das BSI, dass ausstehende Registrierungen nachgeholt sind. Am 15. August tritt das niederländische Cyberbeveiligingswet in Kraft. Und die am 8. Juli eingereichten Vertragsverletzungsverfahren gegen vier EU-Mitgliedstaaten zeigen: Die Geduld der Kommission mit verzögerten Umsetzungen ist erschöpft. Für Unternehmen, die in der EU tätig sind, ist der Compliance-Kalender jetzt ein aktives Durchsetzungsdokument.

Die fünf wichtigsten Entwicklungen im Überblick.

1. EU-Kommission klagt vier Mitgliedstaaten wegen NIS2-Verzögerungen

Am 8. Juli 2026 hat die Europäische Kommission Irland, Spanien, Frankreich und die Niederlande beim Gerichtshof der Europäischen Union wegen unvollständiger Umsetzung der NIS2-Richtlinie verklagt. Die Klagen enthalten Anträge auf finanzielle Sanktionen: eine Pauschalzahlung zuzüglich täglicher Strafzahlungen, die so lange anfallen, bis jedes Land die vollständige Umsetzung bei der Kommission notifiziert.

Die Umsetzungsfrist war der 17. Oktober 2024. Die Klage ist die dritte und letzte Stufe des EU-Vertragsverletzungsverfahrens. Förmliche Mahnschreiben wurden im November 2024 versandt, mit Gründen versehene Stellungnahmen im Mai 2025.

Die praktische Konsequenz für betroffene Organisationen: Die Gerichtsverfahren laufen parallel zu den bestehenden NIS2-Verpflichtungen. Die Anforderungen sind seit Oktober 2024 verbindlich. Die Verfahren erhöhen den finanziellen Druck auf die Regierungen und verkürzen den Zeitrahmen für Unternehmen, die noch auf nationale Gesetzgebung warten.

Für Organisationen mit Tochtergesellschaften oder Lieferanten in Irland, Spanien oder Frankreich ist dies auch ein Signal für das Lieferkettenrisiko. Die Compliance-Lage Ihrer Geschäftspartner ist nun eine aufsichtsrechtliche Frage, nicht mehr nur eine vertragliche.

2. Deutschland: Das BSI prüft jetzt aktiv

Das BSI ist am 6. März 2026 in die aktive Aufsichtsphase eingetreten. Wie SecurityToday.de in seiner Analyse vom 16. Juni festhält, hat sich die entscheidende Frage verschoben: nicht mehr ob eine Einrichtung registriert ist, sondern ob die gemeldeten Sicherheitsmaßnahmen einer Prüfung standhalten.

Von den rund 29.500 Einrichtungen im Anwendungsbereich hatten bis zum 2. April lediglich 15.477 die Registrierung abgeschlossen. Das BSI hat daraufhin die betroffenen Branchenverbände informiert, dass ausstehende Registrierungen bis zum 31. Juli 2026 nachzuholen sind — dem Datum, das das BSI selbst als nächsten Aktualisierungstermin der Registrierungsstatistik ausgewiesen hat. Eine formelle Verlängerung der gesetzlichen Frist ist das nicht. Die Compliance-Pflichten gelten seit dem 6. Dezember 2025, unabhängig vom Registrierungsstatus.

Was die aktive Aufsicht in der Praxis bedeutet: Das BSI kann proaktiv Nachweise über Sicherheitsmaßnahmen anfordern, ohne auf einen Vorfall warten zu müssen. Vor-Ort- und Fernprüfungen sind zulässig. Bußgelder für wesentliche Einrichtungen betragen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Mitglieder von Leitungsorganen haften persönlich und können vorübergehend von der Ausübung ihrer Führungsfunktionen ausgeschlossen werden.

Für Nachzügler gilt eine klare Prioritätenreihenfolge: zuerst registrieren, dann dokumentierte Nachweise über Maßnahmen erbringen. Tritt ein meldepflichtiger Vorfall ein, bevor Maßnahmen nachweislich vorhanden sind, wirkt eine versäumte Registrierung erschwerend.

3. Niederlande: Cyberbeveiligingswet tritt am 15. August in Kraft

Am 7. Juli 2026 hat der niederländische Senat das Cyberbeveiligingswet, die niederländische Umsetzung der NIS2-Richtlinie, sowie das Gesetz zur Resilienz kritischer Einrichtungen (Wwke) verabschiedet. Beide Gesetze treten am 15. August 2026 in Kraft.

Mehr als 8.000 Organisationen fallen in den Anwendungsbereich: Ministerien, Kommunen, Wasserverbände, Provinzen und interkommunale Partnerschaften. Ab dem 15. August müssen sie sich beim NCSC über das Entitätenregister registrieren, risikobasierte Sicherheitsmaßnahmen einschließlich Lieferkettenabhängigkeiten umsetzen, schwerwiegende Cybersicherheitsvorfälle innerhalb der gesetzlichen Fristen melden und eine Cybersicherheitsaufsicht auf Vorstandsebene sicherstellen.

Das Gesetz führt eine Direktorenhaftung ein. Aufsichtsbehörden können verbindliche Anweisungen erteilen, Inspektionen durchführen und Direktoren bei Bedarf abberufen. Das NCSC empfiehlt, die Registrierung vor dem 15. August zu beginnen, um Engpässe zu vermeiden.

Ein Hinweis zur zeitlichen Abfolge: Der niederländische Senat verabschiedete das Gesetz einen Tag vor Einreichung der EU-Klage gegen die Niederlande. Die täglichen Strafzahlungen enden, sobald die förmliche Notifizierung der Umsetzung bei der Kommission eingeht.

4. Neues EU-Referenzdokument: NIS2 im Mapping mit ISO 27001 und NIST CSF 2.0

Das im Juni 2026 veröffentlichte Referenzdokument der NIS-Kooperationsgruppe zu Sicherheitsmaßnahmen ist die bisher konkreteste EU-weite Orientierungshilfe zur NIS2-Compliance. Es ordnet die Verpflichtungen aus NIS2 Artikel 21 und der Durchführungsverordnung 2024/2690 den folgenden Rahmenwerken zu: ISO/IEC 27001, NIST Cybersecurity Framework 2.0, IEC 62443 sowie nationalen Rahmenwerken einschließlich CyFun.

Für Compliance-Teams, die bereits nach ISO 27001 oder NIST CSF 2.0 arbeiten, beantwortet das Dokument eine seit zwei Jahren offene Frage: Wie genau lassen sich bestehende Kontrollen auf NIS2-Anforderungen abbilden?

Das Mapping ist besonders nützlich für Organisationen, die in mehreren Mitgliedstaaten tätig sind. Statt separate Gap-Analysen pro Jurisdiktion zu pflegen, können Teams das Referenzdokument als gemeinsame Grundlage nutzen und nationale Abweichungen darauf aufbauen. Zugangssteuerung, Authentifizierung und Privileged Access Management sind explizit in den abgebildeten Zielen enthalten, Bereiche, die BSI und andere Aufsichtsbehörden direkt prüfen werden.

5. ENISA NIS360 2026: Sieben Sektoren in der Risikozone

Der ENISA NIS360 2026-Bericht hat den Weltraumsektor in die höchste Kritikalitätsstufe eingestuft, gemeinsam mit dem Bankwesen, der Stromversorgung und der Luftfahrt. Operativ bedeutsamer ist jedoch: Sieben Sektoren verbleiben in der Risikozone, in der die Cybersicherheitsreife hinter den Anforderungen ihrer Kritikalität zurückbleibt.

Diese sieben Sektoren sind: Gesundheitswesen, Eisenbahn, Seeschifffahrt, IKT-Dienstemanagement, Weltraum, öffentliche Verwaltung sowie Trink- und Abwasserwirtschaft. Aufsichtsbehörden nutzen die NIS360-Daten zur Priorisierung ihrer Prüfkalender. Organisationen in diesen Sektoren sollten im zweiten Halbjahr 2026 mit verstärkter Aufsichtstätigkeit rechnen.

Die ENISA-Studie NIS Investments 2025 ergab, dass 70 % der befragten Organisationen die Einhaltung von NIS2, DORA und CRA als wichtigsten Treiber ihrer Cybersicherheitsausgaben nannten, ein Wert, der mit dem Übergang der Aufsichtsbehörden von der Registrierung zur aktiven Prüfung weiter steigen wird.

Handlungsbedarf vor September

Der 31. Juli und der 15. August sind keine abstrakten Termine mehr. Wer in Deutschland noch nicht registriert ist oder in den Niederlanden unter das Cyberbeveiligingswet fällt, muss jetzt handeln.

Passwork verfolgt NIS2-Entwicklungen kontinuierlich und veröffentlicht monatliche Enforcement-Updates, damit Ihre Teams auf neue Anforderungen vorbereitet sind, bevor Aufsichtsbehörden aktiv werden.

Den vollständigen NIS2-Enforcement-Update für Juni und Juli 2026 lesen Sie im Passwork Blog, inklusive Vertragsverletzungs-Fallnummern, dem britischen Cyber Security and Resilience Bill und dem EU-Aktionsplan zu Cybersicherheit und KI: NIS2 Compliance: Aktuelle Entwicklungen Juni/Juli 2026

Über Passwork Europe SL.

Passwork ist ein unabhängiges europäisches Cybersicherheitsunternehmen, das selbst gehostete und cloudbasierte Passwortmanagement-Lösungen für Unternehmen und öffentliche Einrichtungen entwickelt. Das Unternehmen operiert nach EU-Recht und ist vollständig NIS2-, ENS- und DSGVO-konform. Passwork legt den Schwerpunkt auf nachhaltigen Mehrwert, hält ISO-27001-zertifizierte Entwicklungsstandards ein und gewährleistet absoluten Datenschutz für seine Kunden.

Firmenkontakt und Herausgeber der Meldung:

Passwork Europe SL.
Carrer d’Arago, 208, 2-5
E08011 Barcelona
Telefon: +34613704284
https://passwork.pro/de/

Ansprechpartner:
Alex Muntyan
CEO
Telefon: +34673328602
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel