Umsetzungsstatus NIS2 und Informationssicherheitsgesetze in Europa — Übersicht
Stand11/2025
| Land | EU/EWR/CH | NIS-2-Status | Nationale Umsetzung / Rechtsgrundlage (Kurz) | Behörden können prüfen? | Bemerkung |
|---|---|---|---|---|---|
| Belgien | EU | Umgesetzt (green) | Nationales NIS-2-Gesetz seit ca. Q3 2025 in Kraft | Ja | Nationale Cyberbehörde & CSIRT benannt, Bußgeld- und Aufsichtsregime aktiv. |
| Kroatien | EU | Umgesetzt (green) | Cybersecurity-Gesetz mit NIS-2-Transposition (seit ca. Q2 2025) | Ja | Umsetzungsgesetz in Kraft, Aufsichtsstrukturen etabliert. |
| Zypern | EU | Umgesetzt (green) | NIS-2 in bestehende Cybersicherheitsgesetze integriert | Ja | Behörden und Meldewege definiert, Aufsicht operativ. |
| Tschechien | EU | Umgesetzt (green) | Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) mit neuem NIS-2-Gesetz | Ja | NÚKIB als zentrale Behörde; Registrierungs-, Melde- und Sanktionsregime aktiv. |
| Dänemark | EU | Umgesetzt (green) | Neues Umsetzungsgesetz zu NIS-2 seit ca. Q3 2025 in Kraft | Ja | Aufsicht und Auditpflichten formal umgesetzt, Sektorenidentifikation abgeschlossen. |
| Estland | EU | Umgesetzt (green) | Erweiterung bestehender Cybergesetze von NIS-1 auf NIS-2 | Ja | Lange NIS-1-Erfahrung, NIS-2-Regime operativ mit CSIRT und Aufsicht. |
| Griechenland | EU | Umgesetzt (green) | Law 5160/2024 als NIS-2-Umsetzung | Ja | Gesetz in Kraft; Aufsicht, Meldewege und Sanktionsrahmen definiert. |
| Ungarn | EU | Umgesetzt (green) | Cybersecurity Act in Kraft seit 01.01.2025 | Ja | Zentrale Behörde benannt; Registrierung, Audit und Bußgelder möglich. |
| Italien | EU | Umgesetzt (green) | Nationales NIS-2-Umsetzungsgesetz (2025) | Ja | Behördenstruktur festgelegt, Aufsicht über wesentliche/wichtige Einrichtungen aktiv. |
| Lettland | EU | Umgesetzt (green) | NIS-2-Gesetz seit ca. Q4 2024 in Kraft | Ja | Registrierungs- und Meldepflichten aktiv, Aufsicht operativ. |
| Litauen | EU | Umgesetzt (green) | Transponiertes NIS-2-Gesetz ab ca. Q4 2024 | Ja | Behörden können Prüfungen/Audits durchführen; Sanktionsmechanismen aktiv. |
| Luxemburg | EU | Umgesetzt (green) | NIS-2-Umsetzungsgesetz seit ca. Sept 2025 in Kraft | Ja | Nationale NCAs und CSIRTs benannt, Aufsicht & Bußgelder möglich. |
| Slowakei | EU | Umgesetzt (green) | NIS-2-Transposition in nationales Cybersecurity-Gesetz (2025) | Ja | Vollständig umgesetzt; Aufsicht operativ, Meldepflichten in Kraft. |
| Slowenien | EU | Umgesetzt (green) | Novellierung des Informationssicherheitsgesetzes zur NIS-2-Umsetzung | Ja | Behörden mit Prüf- und Sanktionskompetenz ausgestattet. |
| Liechtenstein | EWR | Umgesetzt (NIS-2 äquivalent) | Überarbeitetes Cyber-Security-Gesetz (CSG) als NIS-2-Implementierung | Ja | Stabsstelle Cyber-Sicherheit u. a. mit Aufsicht, Registrierung und Sanktionen betraut. |
| Norwegen | EWR | In Umsetzung (Digitalsikkerhetsloven) | Digitalsikkerhetsloven als NIS-2-Rahmen, mit Hochlauf bis ca. 2026/27 | Im Aufbau | Behörden definiert; Prüfungen in priorisierten Sektoren möglich, Vollregime noch im Aufbau. |
| Island | EWR | Noch nicht umgesetzt | Plan zur NIS-2-Transposition vorhanden, aber kein verabschiedetes Gesetz (Mitte 2025) | Nein | Kein voll funktionsfähiges NIS-2-Aufsichtsregime; noch in Vorbereitung. |
| Schweiz | CH | NIS-2 formal: Nein | Informationssicherheitsgesetz (ISG) & Cybersicherheitsverordnung (CSV) | Ja (bezüglich ISG/CSV) | Bundesamt für Cybersicherheit (BACS) und sektorspezifische Aufsichten können Einhaltung der nationalen Vorgaben prüfen; funktional teilweise vergleichbar mit NIS-2 für Bundesstellen/KRITIS und Lieferanten. |
Auf den Führungsalltag ausgerichtet
Zur Senkung des “Delay in Decision” und zur Ausweitung von Handlungsspielräumen für Entscheider auf Fach- und Fphrungsebene
Das gesamte Enterprise Early Warning Framework basiert auf den Vorgaben der Decision Driven Intelligence. Dies bedeutet, wird jemand nicht zeitgerecht und verarbeitungsgerecht informiert und alarmiert, so kann er auch nicht zielgerichtet entscheiden und zweckgerecht handeln
Auf Krisenszenarien parametrisiert
Das Gesamte Framework ist darauf ausgerichtet, disruptive Ereignisse und Ereignisketten zu erfassen.
Die Ergebnisse aus diesen “Früherkennungs-Domänen” können sowohl einzeln, aber auch im Verbund für die Führungsarbeit und den Aufbau von Unternehmensresilienzen aufgesetzt werden
Market Resilience
Supplychain Resilience
Servicechain Resilience
Organisational Aspects
Krisenbereitschaft und Business Resilience
Zur Erweiterung von Reaktions- und Handlungsspielraum
Das HRO-Framework wurde etabliert, um Organisationen und Führungskräften neben den proaktiven Elementen der Krisenreaktion (abgedeckt im Early Warning Frame.work) auch die Reaktiven Aspekte zu etablieren.
Für das Senken der Cost of Interruption
Das EEWF zielt darauf ab, den potentiellen Kostenverlauf eines Unterbruches möglichst niedrig zu halten. Er berücksichtigt daher auch schon die Hygienefaktoren, welche genutzt werden können, bevor es zum Einsatz von Früherkennungs- und Frühwarnmechanismen kommt
Dies bezieht sich auf die Handlungsebenen
Krisenkompetenz innerhalb der Organisation
Kontextanalyse - Nutzung von erfahrenen und ausgebildeten Mitarbeitern als Frühwarnsensoren
Berücksichtigung der Safetyculture innerhalb des Unternehmens
Datenkompetenz und Reifegrad im Datenmanagement
Services rund um das Framework
Integration in schon bestehende Compliance-Elemente
Early Warning Systems Implementierung
Early Warning as a Service
ESG-Reporting as a Service
Crisis Management Training