Aktuelle NIS2-Compliance-Nachrichten: Update Juni 2026

Die EU-Vertragsverletzungsmaschinerie ist im Juli 2026 von Warnungen zu Gerichtsverweisungen übergegangen. Irland, Spanien, Frankreich und die Niederlande sehen sich nun finanziellen Sanktionen gegenüber, weil sie die NIS2-Umsetzungsfrist vom Oktober 2024 verpasst haben — tägliche Strafen laufen auf, bis jedes Land der Kommission die vollständige Umsetzung meldet.

Gleichzeitig nimmt die Durchsetzungsinfrastruktur Gestalt an. Das deutsche BSI prüft aktiv registrierte Einrichtungen. Die Niederlande haben ihr nationales Gesetz einen Tag vor der Gerichtsverweisung verabschiedet. Die NIS-Kooperationsgruppe hat das bisher detaillierteste Mapping-Dokument zu Artikel 21 veröffentlicht. Und die Kommission hat NIS2 erstmals explizit mit KI-gestützter Bedrohungserkennung verknüpft.

Dieser Artikel behandelt alle wesentlichen NIS2-Entwicklungen: was sich geändert hat, welche Fristen aktuell gelten und worauf Ihr Team jetzt reagieren muss. Für die Entwicklungen des Vormonats siehe Aktuelle NIS2-Nachrichten: Mai 2026.


Wichtigste Erkenntnisse

  • Gerichtsverweisungen gegen vier Mitgliedstaaten eingereicht. Am 8. Juli 2026 hat die Europäische Kommission Irland, Spanien, Frankreich und die Niederlande an den Gerichtshof der EU verwiesen, weil sie NIS2 nicht vollständig umgesetzt haben. Für jedes Land werden finanzielle Sanktionen beantragt.
  • Das niederländische Cyberbeveiligingswet tritt am 15. August 2026 in Kraft. Der niederländische Senat hat das Gesetz am 7. Juli verabschiedet. Mehr als 8.000 Organisationen müssen sich beim NCSC registrieren, risikobasierte Sicherheitsmaßnahmen umsetzen und bis zu diesem Datum eine Aufsicht auf Vorstandsebene sicherstellen.
  • Das deutsche BSI prüft jetzt aktiv, nicht nur Registrierungen. Die aktive Aufsichtsphase begann am 6. März 2026. Das BSI kann Nachweise über Sicherheitsmaßnahmen anfordern, ohne auf einen Vorfall zu warten. Eine sekundäre Registrierungsfrist vom 31. Juli gilt für den erheblichen Anteil der 29.000 betroffenen Einrichtungen, die den März-Termin verpasst haben.
  • Die NIS-Kooperationsgruppe hat ihr Artikel-21-Mapping-Dokument veröffentlicht. Im Juni 2026 veröffentlicht, ordnet es NIS2-Pflichten und die Durchführungsverordnung 2024/2690 ISO 27001, NIST CSF 2.0, IEC 62443 und nationalen Rahmenwerken zu — die bisher konkreteste EU-weite Compliance-Orientierung.
  • Irlands NCSC hat Leitlinien zur Cyber-Governance auf Vorstandsebene veröffentlicht. Am 7. Juli 2026 veröffentlicht, richtet sich das Dokument an CEOs, CIOs und CISOs in NIS2-regulierten Organisationen und basiert auf dem NIST-basierten CyFun-Framework.
  • ENISA hat den Raumfahrtsektor auf hohe Kritikalität angehoben. Der NIS360-Bericht 2026 stellt Raumfahrt neben Banken, Elektrizität und Luftfahrt. Sieben Sektoren verbleiben in der Risikozone, wo die Reife hinter den Kritikalitätsanforderungen zurückbleibt.
  • Der EU-Aktionsplan zu Cybersicherheit und KI wurde am 7. Juli 2026 veröffentlicht. Es ist das erste EU-Dokument, das NIS2-Compliance formal mit KI-gestützter Bedrohungserkennung als erwartete operative Praxis verknüpft.
  • Das britische Cyber Security and Resilience Bill hat das Unterhaus am 16. Juni passiert. Es wurde am 17. Juni ins Oberhaus eingebracht und ist für eine zweite Lesung am 14. Juli vorgesehen. Managed-Service-Provider und Rechenzentrumsbetreiber fallen erstmals in den Geltungsbereich.

EU-Kommission verklagt Irland, Spanien, Frankreich und die Niederlande wegen NIS2-Verzögerungen

EU-Kommission verklagt Irland, Spanien, Frankreich und die Niederlande wegen NIS2-Verzögerungen

Am 8. Juli 2026 hat die Europäische Kommission Irland, Spanien, Frankreich und die Niederlande an den Gerichtshof der EU verwiesen, weil sie die vollständige Umsetzung der NIS2-Richtlinie nicht gemeldet haben. Die Verweisungen beinhalten einen Antrag auf finanzielle Sanktionen: einen Pauschalbetrag plus tägliche Strafen, die auflaufen, bis jedes Land die vollständige Umsetzung meldet.

Die Umsetzungsfrist war der 17. Oktober 2024. Die Kommission sandte im November 2024 förmliche Mahnschreiben an nicht konforme Mitgliedstaaten und im Mai 2025 mit Gründen versehene Stellungnahmen. Die Gerichtsverweisung ist die dritte und letzte Stufe des EU-Vertragsverletzungsverfahrens.

Der Zeitpunkt ist für die Niederlande bemerkenswert. Der niederländische Senat hat das Cyberbeveiligingswet am 7. Juli verabschiedet — einen Tag bevor die Verweisung eingereicht wurde (mehr dazu unten). Das Gesetz tritt am 15. August 2026 in Kraft, aber die förmliche Mitteilung der Umsetzung an die Kommission war zum Zeitpunkt der Verweisung noch nicht eingereicht. Die täglichen Strafen werden nicht mehr auflaufen, sobald die Mitteilung abgeschlossen ist.

Für Spanien, Frankreich und Irland ist kein entsprechendes nationales Gesetz verabschiedet worden. Spaniens Umsetzung wird für Ende 2026 erwartet. Frankreich und Irland haben keine festen Zeitpläne angekündigt.

Die Vertragsverletzungsverfahren haben individuelle Fallnummern:

Die Verweisungen bekräftigen einen Punkt, den Compliance-Teams in diesen Ländern bereits kennen sollten: Die Anforderungen der NIS2-Richtlinie sind unabhängig vom nationalen Umsetzungsstatus verbindlich. Gerichtsverfahren setzen die zugrunde liegenden Verpflichtungen nicht aus — sie erhöhen den finanziellen Druck auf Regierungen, die Lücke schneller zu schließen.

Quelle: Europäische Kommission, 2026


Niederlande: Cyberbeveiligingswet verabschiedet, tritt am 15. August in Kraft

Niederlande — Cyberbeveiligingswet verabschiedet, tritt am 15. August in Kraft

Am 7. Juli 2026 hat der niederländische Senat sowohl das Cyberbeveiligingswet (die niederländische Umsetzung von NIS2) als auch das Critical Entities Resilience Act (Wwke) verabschiedet, das die EU-Richtlinie über die Resilienz kritischer Einrichtungen (CER) umsetzt. Beide Gesetze treten am 15. August 2026 in Kraft.

Mehr als 8.000 Organisationen fallen in den Geltungsbereich: Ministerien, Gemeinden, Wasserbehörden, Provinzen, unabhängige Verwaltungsorgane und interkommunale Partnerschaften. Ab dem 15. August müssen sie:

  1. Sich beim National Cyber Security Centre (NCSC) über das Entitätenregister registrieren.
  2. Angemessene technische, betriebliche und organisatorische Maßnahmen auf Basis einer Risikobewertung umsetzen — einschließlich Lieferkettenabhängigkeiten.
  3. Schwerwiegende Cybersicherheitsvorfälle dem zuständigen CSIRT und der zuständigen Aufsichtsbehörde innerhalb der gesetzlichen Fristen melden.
  4. Aufsicht auf Vorstandsebene sicherstellen: Mitglieder der Leitungsorgane müssen über ausreichende Cybersicherheitskenntnisse verfügen und entsprechende Schulungen absolvieren.

Die Durchsetzung liegt bei den benannten Aufsichtsbehörden, einschließlich der niederländischen Behörde für digitale Infrastruktur. Das Cyberbeveiligingswet führt eine Geschäftsführerhaftung ein: Aufsichtsbehörden können verbindliche Anweisungen erteilen, Inspektionen durchführen und Geschäftsführer bei Bedarf suspendieren.

Für Organisationen des öffentlichen Sektors zählt die Einhaltung des Standards Baseline Information Security Government (BIO) 2 zur Erfüllung der Sicherheitsanforderungen des Cbw.

Das Inkrafttreten am 15. August ist eine harte Frist. Die Registrierung beim NCSC sollte vor diesem Datum beginnen — das NCSC selbst empfiehlt, sich im Voraus vorzubereiten, um Engpässe im Registrierungsprozess zu vermeiden.

Quelle: NL Digital Government, 2026


EU-weit: Neues Referenzdokument zu Sicherheitsmaßnahmen veröffentlicht

EU-weit: Neues Referenzdokument zu Sicherheitsmaßnahmen veröffentlicht

Im Juni 2026 veröffentlicht, gibt das Referenzdokument zu Sicherheitsmaßnahmen der NIS-Kooperationsgruppe Organisationen die bisher konkreteste EU-weite Orientierung zur Einhaltung von NIS2 Artikel 21. Das Dokument etabliert einen gemeinsamen europäischen Rahmen für Cybersicherheitsziele und enthält eine Mapping-Tabelle, die NIS2-Pflichten und die Europäische Durchführungsverordnung 2024/2690 verknüpft mit:

  • ISO/IEC 27001
  • IEC 62443
  • NIST Cybersecurity Framework 2.0
  • nationalen Cybersicherheitsrahmenwerken
  • dem CyberFundamentals Framework, CyFun®

Das Dokument ist nicht verbindlich. Es ersetzt weder nationale NIS2-Gesetzgebung noch sektorspezifische Leitlinien. Aber für Compliance-Teams, die bereits gegen ISO 27001 oder NIST CSF 2.0 arbeiten, beantwortet es eine Frage, die seit Verabschiedung der Richtlinie offen war: Wie genau ordnen sich meine bestehenden Kontrollen den NIS2-Anforderungen zu?

Das Mapping ist besonders nützlich für Organisationen, die in mehreren Mitgliedstaaten tätig sind. Anstatt separate Gap-Analysen pro Jurisdiktion zu pflegen, können Teams das Referenzdokument als gemeinsame Basis verwenden und dann nationale Abweichungen darüber legen.

Zugangskontrolle, Authentifizierung und Privileged Access Management erscheinen explizit in den gemappten Zielen — Bereiche, in denen sich die Orientierung des Referenzdokuments direkt mit NIS2 Artikel 21(2)(j) zur Verwendung von Multi-Faktor-Authentifizierung und sicheren Kommunikationssystemen deckt.

Wo Sie die Dokumente finden
Das Referenzdokument zu Sicherheitsmaßnahmen für NIS2-Einrichtungen und die begleitende Mapping-Tabelle (Anhang) sind auf der offiziellen Seite der NIS-Kooperationsgruppe auf der Website der Europäischen Kommission zur digitalen Strategie veröffentlicht.

Quellen: Center for Cybersecurity Belgium, 2026; Europäische Kommission, 2026


Irland: NCSC veröffentlicht Leitlinien zur Cyber-Governance auf Vorstandsebene für NIS2-Einrichtungen

Irland: NCSC veröffentlicht Leitlinien zur Cyber-Governance auf Vorstandsebene für NIS2-Einrichtungen

Am 7. Juli 2026 hat Irlands National Cyber Security Centre Leitlinien zur Cyber-Governance für Mitglieder von Leitungsorganen in NIS2-regulierten Organisationen veröffentlicht. Das Dokument richtet sich an CEOs, Geschäftsführer, CIOs und CISOs — die Führungskräfte, die unter NIS2 persönlich für das Cybersicherheits-Risikomanagement verantwortlich sind.

Die Leitlinien konzentrieren sich auf das Cyber Fundamentals Framework (CyFun), Irlands bevorzugtes nationales Framework für NIS2-Compliance. CyFun basiert auf dem NIST Cybersecurity Framework und gibt Vorständen einen strukturierten, risikobasierten Ansatz zur Erfüllung ihrer rechtlichen Verpflichtungen, ohne tiefes technisches Fachwissen zu erfordern.

Das Dokument deckt drei praktische Bereiche ab: Verständnis, welche Fragen Vorstände zu Cyberrisiken stellen sollten, Identifizierung und Management von Lieferkettenrisiken sowie Aufbau einer Organisationskultur, in der Cybersicherheit als Governance-Thema behandelt wird, nicht als Problem der IT-Abteilung.

Der Zeitpunkt ist bewusst gewählt. Irland ist derzeit Gegenstand eines EU-Vertragsverletzungsverfahrens wegen nicht vollständiger Umsetzung von NIS2 in nationales Recht — die Kommission hat das Land am 8. Juli 2026 an den Gerichtshof verwiesen. Die Veröffentlichung von Leitlinien auf Vorstandsebene vor der formellen Umsetzung signalisiert, dass das NCSC Organisationen unabhängig vom Stand des Gesetzgebungsverfahrens zur Compliance führt.

Guidance on Cyber Governance for Management Board Members in NIS2 Entities ist direkt beim NCSC verfügbar: PDF herunterladen

Quelle: Offizielles Portal der irischen Regierung, 2026


ENISA NIS360 2026: Raumfahrtsektor auf hohe Kritikalität angehoben

ENISA NIS360 2026: Raumfahrtsektor auf hohe Kritikalität angehoben

Der ENISA NIS360-Bericht 2026 ist die dritte jährliche Bewertung der Cybersicherheitsreife und Kritikalität aller Sektoren aus Anhang I der NIS2-Richtlinie. Die Haupterkenntnis: Der Raumfahrtsektor hat sich zu Banken, Elektrizität, Luftfahrt und digital-nativen Diensten im höchsten Kritikalitätsband gesellt.

Die Anhebung spiegelt die wachsende Rolle der Raumfahrtinfrastruktur als Abhängigkeitsschicht für andere Sektoren wider: Navigation, Kommunikation, Finanzabwicklung und Militärlogistik laufen alle über Satellitensysteme. Höhere Abhängigkeit bedeutet höhere Auswirkungen bei Störungen und höhere Zeitkritikalität bei der Wiederherstellung.

Sieben Sektoren fallen in die NIS360-Risikozone 2026, in der die Cybersicherheitsreife hinter dem Niveau zurückbleibt, das ihre Kritikalität erfordert:

  1. Gesundheit
  2. Schienenverkehr
  3. Seeverkehr
  4. IKT-Dienstleistungsmanagement
  5. Raumfahrt
  6. Öffentliche Verwaltung
  7. Trink- und Abwasser

Drei Sektoren erreichten das hohe Reifeband: Vertrauensdienste, Luftfahrt und Finanzmarktinfrastrukturen. Der Gassektor hat begonnen, sich aus der Risikozone zu bewegen, angetrieben durch verbesserten Informationsaustausch und stärkere Umsetzung von Risikomanagementmaßnahmen.

Die Zusammensetzung der Risikozone ist operativ relevant. Aufsichtsbehörden nutzen NIS360-Daten zur Priorisierung ihrer Auditkalender. Wenn Ihre Organisation im Gesundheitswesen, Schienenverkehr oder der öffentlichen Verwaltung tätig ist, erwarten Sie in der zweiten Jahreshälfte 2026 erhöhte aufsichtliche Aufmerksamkeit.

Die ENISA NIS Investments 2025-Studie ergab, dass 70% der befragten Organisationen NIS2-, DORA- und CRA-Compliance als Haupttreiber der Cybersicherheitsausgaben nannten — eine Zahl, die wahrscheinlich steigen wird, wenn Aufsichtsbehörden von der Registrierung zur aktiven Prüfung übergehen.

Quelle: ENISA, 2026


Deutschland: BSI tritt in aktive Aufsichtsphase ein

Deutschland: BSI tritt in aktive Aufsichtsphase ein

Das deutsche BSI trat am 6. März 2026 in die aktive Aufsichtsphase ein — das Datum, an dem die Registrierungsfrist gemäß dem NIS2-Umsetzungsgesetz (NIS2UmsuCG) ablief. Das Gesetz wurde am 6. Dezember 2025 erlassen. Bis Juni 2026 war es sechs Monate in Kraft.

Die Analyse von SecurityToday.de vom 16. Juni zum Aufsichtswechsel stellte fest, dass sich die Frage geändert hat: nicht mehr, ob eine Einrichtung registriert ist, sondern ob ihre gemeldeten Maßnahmen einer Prüfung standhalten.

Das BSI-Registrierungsportal wurde am 6. Januar 2026 eröffnet. Ein erheblicher Anteil der etwa 29.000 betroffenen Einrichtungen hat die März-Frist verpasst. Das BSI hat eine sekundäre Registrierungsfrist auf den 31. Juli 2026 gesetzt. Eine späte Registrierung bleibt möglich, schafft aber keinen sicheren Hafen — die Compliance-Pflichten gelten seit Dezember 2025, unabhängig vom Registrierungsstatus.

Was aktive Aufsicht in der Praxis bedeutet:

  • Das BSI kann proaktiv Nachweise über Sicherheitsmaßnahmen anfordern — ohne auf einen Vorfall zu warten.
  • Vor-Ort- und Fernprüfungen sind jetzt im Umfang enthalten.
  • Bußgelder für wesentliche Einrichtungen erreichen bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
  • Mitglieder von Leitungsorganen tragen persönliche Haftung, einschließlich möglicher vorübergehender Verbote zur Ausübung von Leitungsfunktionen.

Deutschlands Umsetzung geht bei der Geschäftsführerhaftung über das EU-Minimum hinaus. Das NIS2UmsuCG verlangt ausdrücklich, dass Leitungsorgane Cybersicherheitsmaßnahmen genehmigen, deren Umsetzung überwachen und persönliche Kompetenz nachweisen. Aufsichtsbehörden können einzelne Führungskräfte persönlich für systemische Versäumnisse zur Verantwortung ziehen.

Es gibt einen praktischen Vorteil von Deutschlands strengerem Standard. Organisationen, die die NIS2UmsuCG-Anforderungen erfüllen, erfüllen das EU-Minimum mit Spielraum. Für Unternehmen, die in mehreren Mitgliedstaaten tätig sind, wird eine Sicherheitslage, die der BSI-Prüfung standhält, in der Regel auch bei benachbarten Aufsichtsbehörden bestehen.

Für späte Registranten ist die Prioritätenreihenfolge klar: zuerst registrieren, dann dokumentierte Nachweise über Maßnahmen erstellen. Wenn ein meldepflichtiger Vorfall eintritt, bevor Maßnahmen nachweislich vorhanden sind, ist eine versäumte oder verspätete Registrierung ein erschwerender Faktor.

Quelle: SecurityToday.de, 2026


EU-Aktionsplan zu Cybersicherheit und KI veröffentlicht

EU-Aktionsplan zu Cybersicherheit und KI veröffentlicht

Am 7. Juli 2026 hat die Europäische Kommission den EU-Aktionsplan zu Cybersicherheit und Künstlicher Intelligenz veröffentlicht. Das Dokument legt einen koordinierten EU-Ansatz für KI-gestützte Cybersicherheit über Mitgliedstaaten, Behörden und Unternehmen hinweg fest.

Der Plan ist auf drei Ziele ausgerichtet: Förderung einer sicheren und verantwortungsvollen Nutzung fortschrittlicher KI, Stärkung der EU-Cybersicherheit und -Resilienz sowie Ausbau der KI-Fähigkeiten Europas für Cybersicherheitszwecke.

Auf der NIS2-Seite nennt der Aktionsplan explizit die NIS2-Richtlinie als Teil des bestehenden Rechtsrahmens, auf dem er aufbaut, und ermutigt Organisationen, die NIS2 unterliegen, KI (einschließlich Open-Source-Modelle) zur schnelleren Erkennung und Behebung von Schwachstellen einzusetzen. Dies ist das erste EU-Dokument, das NIS2-Compliance formal mit KI-gestützter Bedrohungserkennung als erwartete operative Praxis verknüpft.

Konkrete Maßnahmen umfassen:

  • Einen European Blueprint für sicheren Zugang zu fortschrittlichen KI-Systemen für Cybersicherheitszwecke, der mit ENISA entwickelt werden soll.
  • Eine sichere Testplattform für Organisationen in kritischen Sektoren (Energie, Verkehr, Gesundheit, Finanzen und öffentliche Verwaltung) zum sicheren Testen und Einsetzen von KI-Lösungen.
  • Eine EU Grand Challenge zu KI für Cybersicherheit, die Industrie, Forscher und Open-Source-Communities zusammenbringt.

Der Aktionsplan steht neben dem AI Act, dem Cyber Resilience Act, DORA und dem Cyber Solidarity Act. Er schafft selbst keine neuen verbindlichen Verpflichtungen, signalisiert aber, wohin die Kommission erwartet, dass Durchsetzungsschwerpunkte und Investitionen im nächsten Gesetzgebungszyklus gehen.

Der vollständige Aktionsplan steht zum Download bei der Europäischen Kommission bereit

Quelle: Europäische Kommission, 2026


UK: Cyber Security and Resilience Bill passiert Unterhaus, geht ins Oberhaus

UK: Cyber Security and Resilience Bill passiert Unterhaus, geht ins Oberhaus

Am 16. Juni 2026 hat das Cyber Security and Resilience (Network and Information Systems) Bill seine dritte Lesung und Berichtsphase im House of Commons abgeschlossen. Es erhielt seine erste Lesung im House of Lords am 17. Juni und ist für eine zweite Lesung im Lords am 14. Juli 2026 vorgesehen.

Das Gesetz wurde am 12. November 2025 ins Parlament eingebracht und aktualisiert die bestehenden Network and Information Systems Regulations 2018 (NIS1). Es setzt NIS2 nicht um (das Vereinigte Königreich ist nicht mehr an EU-Recht gebunden), aber es nähert die UK-Anforderungen erheblich dem NIS2-Standard in Umfang und Durchsetzung an.

Was das Gesetz hinzufügt:

  • Managed-Service-Provider fallen erstmals in den Geltungsbereich. Relevant Managed Service Providers (RMSPs) müssen sich beim ICO registrieren, Risikomanagementmaßnahmen umsetzen und einen UK-Vertreter benennen, wenn sie nicht im UK ansässig sind.
  • Rechenzentrumsbetreiber werden ebenfalls in den Geltungsbereich aufgenommen.
  • Fristen für die Vorfallsmeldung werden verschärft: 24-Stunden-Erstmeldung, 72-Stunden-Vollmeldung — entsprechend der NIS2-Artikel-23-Struktur.
  • Bezeichnung kritischer Lieferanten: Das ICO erhält die Befugnis, Lieferanten zu bezeichnen, deren Kompromittierung wesentliche Dienste oder RMSPs beeinträchtigen würde.
  • Strafen steigen auf bis zu 17 Millionen Pfund oder 4% des weltweiten Jahresumsatzes bei schwerwiegenden Verstößen; bis zu 10 Millionen Pfund oder 2% bei weniger schwerwiegenden.

Die Vorfallsdefinition wird ebenfalls erweitert: Das Gesetz erfasst Vorfälle, die „geeignet sind, eine nachteilige Auswirkung" auf regulierte Dienste zu haben, nicht nur solche mit einer nachgewiesenen tatsächlichen Auswirkung. Dies ist eine bedeutsame Änderung für Organisationen, die derzeit ihre Meldeschwellen kalibrieren.

63 Änderungsanträge wurden während der Gesetzespassage vorgeschlagen. Zwei im Juni eingereichte Änderungsanträge, darunter einer zur Aufnahme der Lebensmittellieferkette als regulierten wesentlichen Dienst, erhielten in der Berichtsphase keine Entscheidung.

Die Regierung erwartet, 2026 eine Konsultation zu sekundärer Gesetzgebung durchzuführen, die spezifische Risikomanagementmaßnahmen und Meldepflichten abdeckt. Einige Bestimmungen werden ab dem ersten Tag oder zweiten Monat nach der königlichen Zustimmung in Kraft treten; andere werden durch sekundäre Gesetzgebung folgen.

Quellen: UK Parliament, 2026; Parallel Parliament, 2026


Zusammenfassung

Der Zeitraum von Juni bis Anfang Juli 2026 markiert den Punkt, an dem die NIS2-Durchsetzung von politischem Druck zu aktiven rechtlichen und aufsichtlichen Maßnahmen übergegangen ist. Gerichtsverweisungen sind eingereicht. Nationale Gesetze treten in Kraft. Aufsichtsbehörden fordern Nachweise über Sicherheitsmaßnahmen an, nicht nur Registrierungsbestätigungen.

Für Organisationen in Irland, Spanien, Frankreich und den Niederlanden ändern die Vertragsverletzungsverfahren nichts an den zugrunde liegenden Verpflichtungen. NIS2-Anforderungen sind seit Oktober 2024 verbindlich, unabhängig vom nationalen Umsetzungsstatus. Die Verfahren fügen finanzielle Konsequenzen für Regierungen hinzu — sie schaffen keine Schonfrist für regulierte Einrichtungen.

Für Organisationen in Deutschland und den Niederlanden ist der Compliance-Kalender jetzt festgelegt. Das BSI prüft. Das Cyberbeveiligingswet tritt am 15. August in Kraft. Das im Juni 2026 von der NIS-Kooperationsgruppe veröffentlichte Artikel-21-Mapping-Dokument ist das umsetzbarste Ergebnis dieses Zeitraums: Wenn Ihr Team bereits gegen ISO 27001 oder NIST CSF 2.0 arbeitet, bietet es einen direkten Weg, Ihre NIS2-Gap-Analyse abzuschließen, bevor eine Aufsichtsbehörde dies für Sie übernimmt.

Credential-Management unter NIS2 Artikel 21
Das Mapping-Dokument der NIS-Kooperationsgruppe vom Juni 2026 verknüpft NIS2 Artikel 21 direkt mit Zugangskontrolle, Authentifizierung und Privileged Access Management — Bereiche, die Aufsichtsbehörden prüfen werden. Passwork ist ein Enterprise-Passwort- und Secrets-Manager, der für EU-Compliance-Anforderungen entwickelt wurde. Erfahren Sie, wie Passwork sich zu NIS2 zuordnet
NIS2-Zugangskontrollen für Lieferkettensicherheit
48% der Sicherheitsverletzungen betreffen mittlerweile Dritte. NIS2 Artikel 21 macht Lieferanten-Zugangs-Governance zu einer rechtlichen Verpflichtung. Hier erfahren Sie, wie Sie Lieferantenzugriffe erfassen, MFA und Least Privilege durchsetzen und Audit-Nachweise führen, die Ihre Kontrollen belegen.
Schatten-IT vs. Schatten-KI: Warum KI die größere Bedrohung ist
Mitarbeiter nutzen KI-Tools, die Sie nicht genehmigt haben, auf Konten, die Sie nicht überwachen können, mit Daten, die Sie nicht wiederherstellen können. Hier erfahren Sie, wie das Risiko tatsächlich aussieht und was Governance adressieren muss.
Mitarbeiter-Offboarding: Leitfaden zur sicheren Zugangsentziehung 2026
Das Deaktivieren eines SSO-Kontos entzieht nicht den Zugang. API-Schlüssel, KI-Agenten-Credentials und geteilte Passwörter überleben es. Dieser Leitfaden behandelt das vollständige Offboarding-Playbook — von Zero-Hour-Triggern bis zur NHI-Bereinigung.