Im Rahmen des Cybersicherheitsmonats in der Europäischen Union schließen wir uns der ENISA-Initiative an und analysieren weiterhin die größten Herausforderungen der Zukunft. Eine der auffälligsten ist die mangelnde Koordination bei der Einhaltung der NIS2-Richtlinie, die darauf abzielt, Europa mit einem Rahmen gemeinsamer Cybersicherheitsstandards und Compliance zu einem führenden Cybersicherheitsunternehmen zu machen.

NIS2 ist die Richtlinie, die bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden sollte. Ein Jahr später haben viele Mitgliedstaaten die Umsetzung noch immer nicht abgeschlossen oder setzen sie ungleichmäßig um.

Die Europäische Kommission hat aufgrund dieser Verzögerungen Vertragsverletzungsverfahren gegen mehrere Länder eingeleitet und bestätigt, dass sich die Regulierungslandschaft weiterhin „mit unterschiedlicher Geschwindigkeit entwickelt“.

Wo Fragmentierung erkennbar ist:

• Unterschiedliche Zeitpläne und Teilgesetze. In einigen Ländern sind die Vorschriften bereits in Kraft, in anderen befinden sie sich im Entwurfsstadium. Dies schafft Unsicherheit für in mehreren Staaten tätige Organisationen. Beispiel: Deutschland räumte Anfang 2025 ein, seine Umsetzungsgesetze nicht rechtzeitig umgesetzt zu haben.

• Nicht identische Definitionen und Schwellenwerte. Obwohl NIS2 gemeinsame Anforderungen festlegt, variieren die Details (z. B. welche Unternehmen „wesentlich“ oder „wichtig“ sind). Darüber hinaus wurde auch die Verpflichtung, nationale Unternehmenslisten zu führen und diese der Kommission bis zum 17. April 2025 zu melden, nicht einheitlich erfüllt. Die Folge: Derselbe Anbieter kann in einem Land „wesentlich“ und in einem anderen „wichtig“ (oder gar nicht gelistet) sein.

• Ungleiche Aufsichtskapazitäten. Die zuständigen nationalen Behörden und CSIRTs verfügen nicht über dieselben Ressourcen oder Prozesse. Die ENISA hat auf die ungleiche sektorale Reife und die Notwendigkeit hingewiesen, Taxonomien und Berichterstattung zu harmonisieren, um die Daten vergleichbar zu machen.

• Heterogene Meldefristen und -termine. NIS2 setzt Meilensteine (24-Stunden-Erstmeldung usw.), doch in der Praxis unterscheiden sich Portale, Formate und Nachweisanforderungen von Land zu Land, während gemeinsame Leitlinien konsolidiert werden, was den Aufwand und das Fehlerrisiko bei grenzüberschreitenden Vorfällen erhöht.

Warum erschwert dies die Koordinierung?

Im Falle eines großen, grenzüberschreitenden Cybervorfalls sollten das CSIRTs-Netzwerk und EU-CyCLONe (der Krisenmechanismus auf politisch-operativer Ebene) integriert werden.

Wenn jedes Land Gesetze, Listen und Verfahren in unterschiedlichem Reifegrad vorlegt, wird der Austausch von Indikatoren, die Aktivierung von Hilfe und die Ergreifung gemeinsamer Maßnahmen langsamer und uneinheitlicher.

ENISA besteht darauf, diese Solidaritäts- und gemeinsamen Reaktionsmechanismen zu stärken, damit sie mit harmonisierten Daten und klaren Regeln arbeiten.

Praktische Folgen für Unternehmen

• Erhöhte Compliance-Komplexität (maßgeschneiderte Programme und Nachweise pro Land).

• Operationelles Risiko: Bei einem multinationalen Angriff variieren Meldefristen und -formate je nach Rechtsraum.

• Unterschiedliche regulatorische Entscheidungen (unterschiedliche Sanktionen oder Unterlassungsverfügungen für dieselbe Handlung).
  Diese Reibungspunkte treten laut juristischen und Branchenanalysen „ein Jahr nach“ Ablauf der Frist auf.

Was die EU unternimmt (und was noch fehlt)

• Die Kommission hat ein Vertragsverletzungsverfahren eingeleitet, um die Umsetzung zu beschleunigen.

• ENISA arbeitet an Taxonomien, Berichtsrahmen und der Unterstützung von CyCLONe/CSIRTs, um die Praxis zu standardisieren.

• Solange nicht alle Staaten ihre Gesetze verabschieden und vollständig umsetzen (und einheitliche Listen von Einrichtungen veröffentlichen), wird die Asymmetrie koordinierte und vergleichbare Reaktionen weiterhin behindern.

Spanien (Stand: 27. Oktober 2025)

• Es ist noch kein endgültiges NIS2-Gesetz in Kraft. Der Ministerrat hat im Januar 2025 den Vorentwurf eines Gesetzes zur Koordinierung und Governance der Cybersicherheit als „Instrument“ für NIS2 (und die CER-Richtlinie) verabschiedet, die parlamentarische Genehmigung steht jedoch noch aus.

• Die Europäische Kommission hat Spanien (und 18 weiteren Ländern) am 7. Mai 2025 eine begründete Stellungnahme übermittelt, da die vollständige Umsetzung von NIS2 nicht gemeldet wurde.

• Spanien hat unterdessen die ENS- und technischen Arbeiten an die EU (CCN) angepasst, die Umsetzung jedoch noch nicht abgeschlossen. Die lokale Wirtschafts- und Rechtspresse hob dies im Oktober 2025 hervor („Spanien im Zeitdruck …“).

Indikative Rangfolge in der EU (regulatorischer Fortschritt)

Basierend auf bereits verabschiedeten/in Kraft getretenen Gesetzen und offiziellen öffentlichen Referenzen (bedeutet nicht, dass alle die Kommission zu 100 % „notifiziert“ haben).

Am weitesten fortgeschritten (in Kraft getretenes Gesetz, aktive operative Meilensteine)

1. Italien – Gesetzesdekret 138/2024, in Kraft getreten am 16. Oktober 2024; ACN-Behörde und Registrierungsplattform.

2. Belgien – Gesetz vom 26. April 2024 + RD vom 9. Juni 2024; NIS2 in Kraft seit dem 17. Oktober 2024.

3. Malta – Umsetzung durch LN 71/2025 (8. April 2025).

4. Slowakei – Gesetz veröffentlicht im Dezember 2024, in Kraft getreten am 1. Januar 2025.

5. Slowenien/Griechenland – Slowenien in Kraft seit Juni 2025; Griechenland Gesetz 5160/2024 (29. November 2024).

Am meisten verzögert (nationale Umsetzung zu diesem Zeitpunkt noch ausstehend/in Bearbeitung)

• Deutschland (NIS2/KRITIS-Entwürfe werden 2025 noch bearbeitet).

• Frankreich (Prozess läuft 2025).

• Spanien (Vorentwurf Januar 2025; endgültige Genehmigung steht noch aus).

• Die Niederlande und Portugal (gehören zu den Ländern, denen die Kommission im Mai 2025 eine mit Gründen versehene Stellungnahme wegen fehlender Mitteilung über die vollständige Umsetzung übermittelt hat).

Die Koordinierung des europäischen Gremiums ist wichtig, um sicherzustellen, dass die Bürger vor Cyberangriffen geschützt sind und unsere Institutionen gegen Cyberkriminelle gewappnet sind.