NIS2 Fristen und Deadlines 2026 — Alle Termine im Überblick
Die NIS2 Fristen 2026 beginnen nicht erst mit einem künftigen Gesetz, sondern mit einer bereits verpassten EU-Deadline und einem seit dem 6. Dezember 2025 geltenden deutschen Rechtsrahmen. Der 17. Oktober 2024 war die Umsetzungsfrist aus Art. 41 der Richtlinie (EU) 2022/2555, Deutschland setzte NIS2 aber erst mit dem NIS2UmsuCG um. Für rund 29.500 betroffene Unternehmen ist 2026 deshalb das Jahr der konkreten Registrierungs-, Melde- und Umsetzungspflichten.
Letzte Aktualisierung: 23. März 2026
Wer nach dem Stichwort NIS2 Fristen 2026 sucht, will vor allem eine klare Antwort: Welche Deadline galt unionsweit, welche Fristen hat Deutschland gerissen, und was müssen Unternehmen heute noch einhalten? Die kurze Antwort lautet: Die EU-Frist ist vorbei, Deutschland war verspätet, das deutsche Gesetz ist inzwischen in Kraft, und die eigentlichen Unternehmenspflichten laufen bereits. Damit hat sich die Diskussion von "Wann kommt NIS2 in Deutschland?" zu "Welche Pflichten gelten seit wann und welche Fristen sind bereits abgelaufen?" verschoben.
Für den Gesamtüberblick sollten Sie drei Ebenen unterscheiden. Erstens gibt es die europäische Gesetzgebungs- und Umsetzungsfrist aus der NIS2-Richtlinie. Zweitens gibt es den deutschen Gesetzgebungsprozess samt verspäteter nationaler Umsetzung. Drittens gibt es die konkreten Unternehmensfristen nach Inkrafttreten, etwa für Registrierung, Vorfallmeldung und Nachweisführung. Genau diese drei Ebenen werden in der Praxis oft vermischt, was zu gefährlichen Fehleinschätzungen führt.
Wenn Sie zunächst die regulatorische Grundlage einordnen möchten, lesen Sie ergänzend was die NIS2-Richtlinie ist und wie die NIS2-Umsetzung in Deutschland aufgebaut ist. Für die operative Umsetzung helfen außerdem der NIS2-Implementierung-Fahrplan, die NIS2-Checkliste und der Überblick zu NIS2-Bußgeldern und Strafen.
NIS2 Fristen 2026 — Alle Termine im Überblick
Die wichtigste Kernaussage zu den NIS2 Fristen 2026 lautet: Die unionsrechtliche Hauptfrist lag bereits am 17. Oktober 2024, Deutschland zog erst am 6. Dezember 2025 nach, und seitdem laufen nationale Unternehmensfristen ohne allgemeine Übergangsruhe. Wer heute noch auf ein weiteres Verschieben wartet, bewertet die Lage falsch.
Gemäß Art. 41 der Richtlinie (EU) 2022/2555 mussten alle Mitgliedstaaten bis zum 17. Oktober 2024 die erforderlichen nationalen Vorschriften erlassen und anwenden. Diese Frist war keine politische Absichtserklärung, sondern die verbindliche Umsetzungsfrist der NIS2-Richtlinie. Deutschland hat diese Frist verpasst. Die Folge war zunächst ein Vertragsverletzungsverfahren der Europäischen Kommission und später eine förmliche Eskalation durch begründete Stellungnahme vom 7. Mai 2025.
Für Unternehmen ist aber nicht nur die versäumte EU-Frist relevant. Entscheidend ist, dass Deutschland das NIS2UmsuCG schließlich verabschiedet und im Bundesgesetzblatt verkündet hat. Nach den ausgewerteten Primär- und Fachquellen trat der deutsche Rechtsrahmen am 6. Dezember 2025 in Kraft. Anders als viele Unternehmen erwartet hatten, enthielt das Gesetz keine generelle Schonfrist für Governance-, Risikomanagement- oder Sicherheitsmaßnahmen. Der praktische Fokus verschob sich deshalb sofort auf Registrierungsfristen, Meldewege und die Frage, wie schnell betroffene Einrichtungen ihr Umsetzungsprogramm belastbar nachweisen können.
2026 ist damit kein Vorbereitungsjahr mehr, sondern ein Vollzugsjahr. Die Registrierungsfrist lief drei Monate nach Inkrafttreten ab, die Vorfallmeldung gilt bei erheblichen Sicherheitsvorfällen ohnehin ohne Zuwarten, und die Pflicht aus Art. 21 NIS2 zu angemessenen technischen, operativen und organisatorischen Maßnahmen wirkt seit Geltungsbeginn. Auch Schulungen des Leitungsorgans und einschlägiger Beschäftigter sind kein optionaler späterer Schritt, sondern Teil eines umsetzbaren Sicherheits- und Governance-Programms.
Die Management-Frage sollte deshalb nicht lauten, ob NIS2 "schon gilt", sondern ob Ihr Unternehmen die laufenden Fristen organisatorisch beherrscht. Genau dafür lohnt sich später auch der Blick auf die FAQ unten, weil dort die häufigsten Missverständnisse zu NIS2 ab wann, NIS2 Stichtag und NIS2 Übergangsfrist präzise beantwortet werden.
Chronologische Timeline — Von der EU-Richtlinie zum deutschen Gesetz
Die chronologische NIS2 Timeline zeigt, dass zwischen europäischer Verabschiedung, verpasster Umsetzungsfrist und deutschem Inkrafttreten gut drei Jahre liegen. Für die interne Kommunikation ist diese Übersicht wichtig, weil sie klar trennt zwischen Gesetzgebung, Umsetzung und Unternehmenspflichten.
| Datum | Ereignis | Bedeutung | Quelle |
|---|---|---|---|
| 14. Dezember 2022 | Verabschiedung der Richtlinie (EU) 2022/2555 | Startpunkt des NIS2-Regimes auf EU-Ebene | EUR-Lex, Richtlinie (EU) 2022/2555 |
| 16. Januar 2023 | Inkrafttreten der NIS2-Richtlinie auf EU-Ebene | Beginn der Umsetzungsfrist für Mitgliedstaaten | Art. 41 Richtlinie (EU) 2022/2555 |
| 17. Oktober 2024 | EU-Umsetzungsfrist endet | Deutschland hätte bis dahin nationales Recht erlassen und anwenden müssen | Art. 41 Richtlinie (EU) 2022/2555 |
| 7. Mai 2025 | Begründete Stellungnahme der Kommission gegen Deutschland und weitere Staaten | Eskalation des Vertragsverletzungsverfahrens wegen verspäteter Umsetzung | Europäische Kommission |
| 21. November 2025 | Bundesrat stimmt dem NIS2UmsuCG zu | Deutsches Gesetzgebungsverfahren wird abgeschlossen | Reed Smith / Fachberichte |
| 5. Dezember 2025 | Verkündung im Bundesgesetzblatt | Formale Veröffentlichung des deutschen Umsetzungsgesetzes | Fachberichte zum NIS2UmsuCG |
| 6. Dezember 2025 | NIS2UmsuCG tritt in Kraft | Deutsche NIS2-Pflichten gelten grundsätzlich unmittelbar | Reed Smith / BSI / Privacy World |
| 6. Januar 2026 | BSI-Portal für Registrierung öffnet | Start der nationalen Registrierungsphase | Privacy World / BSI |
| 6. März 2026 | Registrierungsfrist endet | Drei Monate nach Inkrafttreten abgelaufen | Fachberichte / BSI-Kontext |
Die Tabelle macht zwei Missverständnisse sichtbar. Erstens lag die zentrale europäische Deadline nicht im Jahr 2026, sondern bereits im Herbst 2024. Zweitens begann die eigentliche deutsche Unternehmenspraxis nicht mit einer langen Vorlaufphase, sondern mit einem unmittelbar geltenden Gesetz Anfang Dezember 2025. Das ist der Grund, warum viele Suchanfragen wie NIS2 Deadline 2026 eigentlich keine neue Gesetzesdeadline meinen, sondern die nachgelagerten Fristen für Registrierung, Aufsicht und Umsetzung.
Für Vorstände, Geschäftsführungen und Compliance-Teams ist diese zeitliche Trennung besonders wichtig. Die EU-Frist bestimmte den Handlungsdruck des Gesetzgebers. Das deutsche Inkrafttreten bestimmt dagegen den Handlungsdruck der Unternehmen. Wer diese beiden Ebenen verwechselt, neigt entweder zu unnötiger Panik oder zu gefährlicher Gelassenheit.
Aus der Timeline folgt auch, dass Deutschland im europäischen Vergleich deutlich verspätet war, aber gerade deshalb 2026 keine Ausrede mehr besteht. Die Richtlinie war seit Januar 2023 bekannt, die Umsetzungsfrist seit Dezember 2022 festgelegt, und spätestens mit der Kommissionsentscheidung vom Mai 2025 war klar, dass weiterer Aufschub politisch und rechtlich kaum noch tragfähig war.
Diese Fristen hat Deutschland bereits verpasst
Deutschland hat die wichtigste NIS2 Umsetzungsfrist bereits verpasst: den 17. Oktober 2024. Genau an diesem Tag endete nach Art. 41 der Richtlinie (EU) 2022/2555 die Frist, bis zu der alle Mitgliedstaaten ihre nationalen NIS2-Regeln hätten erlassen und anwenden müssen.
Die Rechtsfolge dieser Verspätung war kein rein symbolischer Tadel. Die Europäische Kommission leitete gegen säumige Mitgliedstaaten ein Vertragsverletzungsverfahren ein und verschärfte dieses am 7. Mai 2025 durch eine begründete Stellungnahme. Deutschland wurde in dieser Eskalationsstufe ausdrücklich genannt. Eine solche Stellungnahme ist regelmäßig die letzte formale Warnung vor einer möglichen Befassung des Gerichtshofs der Europäischen Union. Für Unternehmen war das ein deutliches Signal, dass die nationale Umsetzung nicht dauerhaft politisch blockiert bleiben würde.
Wichtig ist allerdings die präzise Einordnung der Konsequenzen. Die verpasste EU-Frist traf zunächst den Staat Deutschland, nicht unmittelbar jedes einzelne Unternehmen. Unternehmen mussten also am 18. Oktober 2024 noch nicht automatisch auf Basis eines fehlenden deutschen Gesetzes mit nationalen Bußgeldern rechnen. Trotzdem war das Verpassen der Frist praktisch relevant, weil es Planungsunsicherheit erzeugte und bei vielen Organisationen zu einem falschen Gefühl führte, man könne mit der Vorbereitung warten.
Genau dieses Abwarten war strategisch problematisch. Die materiellen NIS2-Anforderungen standen seit 2022 auf europäischer Ebene weitgehend fest: Risikomanagement, Management-Verantwortung, Lieferkettensicherheit, Vorfallmeldung und Aufsicht. Unternehmen, die 2024 und 2025 nicht zumindest ihre Betroffenheit, ihre Umsetzungs-Roadmap und ihre internen Verantwortlichkeiten geklärt haben, mussten Ende 2025 und Anfang 2026 unter erheblich höherem Zeitdruck nachziehen.
Die zweite bereits verpasste Frist aus Unternehmenssicht ist inzwischen der 6. März 2026, also das Ende der dreimonatigen Registrierungsfrist beim BSI. Zwar berichten mehrere Fachquellen, dass verspätete Registrierung nicht sofort automatisch sanktioniert werde und proaktives Verhalten sanktionsmindernd berücksichtigt werden könne. Das ist aber keine echte Nachfrist. Es ist nur ein aufsichtspraktischer Hinweis darauf, dass freiwillige Nachholung besser ist als Untätigkeit.
Wann kommt das NIS2UmsuCG? — Aktueller Gesetzgebungsstand
Der aktuelle Gesetzgebungsstand im März 2026 lautet: Das NIS2UmsuCG kommt nicht mehr, sondern es ist bereits da. Die häufige Frage Wann kommt das NIS2UmsuCG? ist deshalb sachlich nur noch historisch sinnvoll. Für die Unternehmenspraxis muss sie ersetzt werden durch: Seit wann gilt das Gesetz, welche Pflichten gelten sofort und welche Fristen schließen sich daran an?
Nach den ausgewerteten Quellen wurde das deutsche Umsetzungsgesetz nach Zustimmung des Bundesrates am 21. November 2025 im Bundesgesetzblatt vom 5. Dezember 2025 veröffentlicht und trat am 6. Dezember 2025 in Kraft. Dieser Zeitpunkt ist für alle Folgefragen entscheidend, weil er den Startpunkt für Registrierung, Aufsicht und Nachweislogik bildet.
Besonders relevant ist, dass das NIS2UmsuCG nach dem ausgewerteten Quellenbild keine allgemeine Übergangsfrist für die materiellen Pflichten vorsah. Das bedeutet: Maßnahmen zum Risikomanagement, Anforderungen an Cyberhygiene, Incident Handling, Business Continuity, Lieferkettensicherheit und die Überwachung durch das Leitungsorgan galten nicht erst Monate später, sondern grundsätzlich ab Inkrafttreten. Für Unternehmen war und ist das der zentrale Unterschied zwischen Gesetzesverkündung und echter Umsetzung: Die Verkündung markiert nicht den Beginn einer bequemen Vorbereitungsphase, sondern den Beginn der Vollzugserwartung.
Eine gesonderte Frist gab es allerdings für die Registrierungspflicht. Das BSI-Portal öffnete am 6. Januar 2026, und die Registrierung war innerhalb von drei Monaten nach Inkrafttreten vorzunehmen. Daraus ergab sich die Frist bis 6. März 2026. Diese Registrierung dient der behördlichen Erfassung und der belastbaren Benennung zuständiger Kontaktstellen. Sie ersetzt aber nicht die materiellen Sicherheitsmaßnahmen. Ein Unternehmen kann also registriert sein und dennoch bei Risikomanagement, Meldefähigkeit oder Governance defizitär handeln.
Für März 2026 folgt daraus eine klare Lagebeschreibung: Der Gesetzgebungsprozess ist beendet, die rechtliche Diskussion über das "Ob" ist abgeschlossen, und die operative Diskussion über das "Wie schnell" läuft bereits. Unternehmen sollten sich daher nicht mehr auf politische Beobachtung beschränken, sondern ihren tatsächlichen Reifegrad prüfen. Ein sinnvoller nächster Schritt ist meist eine strukturierte Gap-Analyse entlang von Betroffenheit, Maßnahmen nach Art. 21 NIS2, Meldewegen und Management-Verantwortung.
Wenn Sie diesen Punkt vertiefen möchten, lohnt sich die Verbindung zwischen NIS2-Umsetzung in Deutschland und dem NIS2-Implementierung-Fahrplan. Die erste Seite ordnet den Rechtsrahmen ein, die zweite hilft bei der operativen Reihenfolge.
Diese Fristen müssen Sie nach Inkrafttreten einhalten
Nach Inkrafttreten des NIS2UmsuCG gelten mehrere NIS2 Deadlines parallel. Die wichtigste Einordnung lautet: Nicht jede Pflicht hat denselben Fristcharakter. Manche Pflichten gelten sofort und dauerhaft, andere knüpfen an konkrete Ereignisse an, und wieder andere betreffen spätere Prüfnachweise.
1. Registrierung beim BSI: drei Monate
Die Registrierungsfrist betrug drei Monate ab Inkrafttreten des Gesetzes. Bei Inkrafttreten am 6. Dezember 2025 lief sie folglich bis 6. März 2026. Wer diese Frist verpasst hat, sollte die Registrierung unverzüglich nachholen. Aus aufsichtspraktischer Sicht ist dokumentierte Nachholung besser als weiteres Zuwarten.
2. Vorfallmeldung: ohne unangemessene Verzögerung
Die Meldepflicht bei erheblichen Sicherheitsvorfällen läuft nicht nach einem Kalendertag im Jahresplan, sondern ereignisbezogen. Maßgeblich ist die aus Art. 23 NIS2 bekannte gestufte Logik: frühe Meldung binnen 24 Stunden nach Kenntnis, vertiefende Meldung binnen 72 Stunden und Abschlussbericht innerhalb eines Monats. Diese Fristen gelten nicht erst nach einer langen Einführung, sondern sobald die nationale Rechtslage aktiv ist und ein erheblicher Vorfall eintritt. Wer die operative Meldefähigkeit noch nicht getestet hat, hat bereits ein Risiko.
3. Maßnahmen nach Art. 21 NIS2: sofortige Geltung
Die Maßnahmen nach Art. 21 NIS2 umfassen unter anderem Risikoanalyse, Sicherheitskonzepte, Incident Handling, Business Continuity, Backup- und Krisenmanagement, Lieferkettensicherheit, Sicherheitsaspekte bei Beschaffung und Entwicklung sowie Verfahren zur Bewertung der Wirksamkeit von Maßnahmen. Für diese Pflichten gab es nach den ausgewerteten Quellen keine generelle allgemeine Schonfrist. Praktisch bedeutet das: Die Maßnahmen müssen ab Inkrafttreten angemessen implementiert sein oder jedenfalls belastbar eingeführt werden.
4. Schulungspflicht für Leitungsorgane: laufende Governance-Pflicht
NIS2 verpflichtet Leitungsorgane zur Billigung und Überwachung der Cybersicherheitsmaßnahmen und verlangt, dass Mitglieder der Leitungsorgane Schulungen absolvieren. Viele Unternehmen behandeln diesen Punkt noch als nachrangige Awareness-Maßnahme. Tatsächlich ist er Governance-Kern. Schulung ist hier nicht "nice to have", sondern Teil der rechtssicheren Organisationsstruktur. In der Prüfungspraxis wird relevant sein, ob Schulungen regelmäßig wiederholt und dokumentiert werden. Mehrere Fachquellen gehen davon aus, dass erste formale Prüfnachweise spätestens drei Jahre nach Inkrafttreten vorzulegen sind, also bis 6. Dezember 2028. Wer erst kurz davor mit Management-Schulungen beginnt, wird kaum eine belastbare Reife nachweisen können.
5. Nachweis- und Auditlogik: spätestens binnen drei Jahren
Die einzige Art von längerer Frist betrifft nicht die erstmalige Pflichtentstehung, sondern den Zeitpunkt, zu dem formale Nachweise oder Prüfunterlagen spätestens vorliegen müssen. Aus dem Forschungsstand ergibt sich eine erste Nachweislogik spätestens drei Jahre nach Inkrafttreten, danach in wiederkehrenden Zyklen. Unternehmen sollten diese Frist nicht als echte Übergangsfrist missverstehen. Sie bedeutet nicht, dass bis 2028 nichts zu tun wäre, sondern nur, dass bis dahin prüffähige Evidenz aufgebaut sein muss.
Für die Praxis ist deshalb ein phasenweises Vorgehen sinnvoll:
- Betroffenheit und Registrierung klären.
- Vorfallmeldeprozess innerhalb von Tagen belastbar machen.
- Maßnahmenkatalog nach Art. 21 priorisieren.
- Leitungsorgan und Schlüsselrollen schulen.
- Nachweise, Entscheidungen und Maßnahmen fortlaufend dokumentieren.
Warum Sie nicht auf das Gesetz warten sollten
Sie sollten nicht auf das Gesetz warten, weil diese Warteposition im März 2026 sachlich überholt ist und operativ schädlich wäre. Das Gesetz gilt bereits, und selbst wenn man auf einzelne Verwaltungshinweise oder Aufsichtsschwerpunkte warten möchte, ändert das nichts daran, dass ein belastbares NIS2-Programm in der Praxis 12 bis 18 Monate Vorlauf beanspruchen kann.
Gerade mittelgroße und große Unternehmen unterschätzen oft den Umsetzungsaufwand. NIS2 ist kein einzelnes Dokument, sondern ein Organisationsprogramm. Betroffenheitsanalyse, Verantwortlichkeitsmodell, Lieferantensteuerung, technische Maßnahmen, Notfallprozesse, Vorfallmeldung, Management-Briefings, Schulung und Nachweisdokumentation müssen zusammenpassen. Wer erst startet, wenn ein Audit ansteht oder ein Vorfall passiert, arbeitet unter maximalem Zeitdruck.
Hinzu kommt: Gute Sicherheitsstandards gelten nicht erst wegen NIS2. Wer bereits nach ISO 27001, BSI-Grundschutz oder einem vergleichbaren Governance-Rahmen arbeitet, hat einen Vorsprung. Dieser Vorsprung muss aber in ein NIS2-spezifisches Rechtsmapping übersetzt werden. ISO 27001 allein ersetzt keine NIS2-Betroffenheitsanalyse, keine Registrierung und keine formalen Meldewege. Umgekehrt beschleunigt ein vorhandenes ISMS die Umsetzung erheblich.
Auch wirtschaftlich ist Abwarten unvernünftig. Frühe Umsetzung senkt nicht nur Bußgeld- und Aufsichtsrisiken, sondern verbessert Verhandlungspositionen gegenüber Kunden, Versicherern und Auftraggebern. In vielen Branchen wird NIS2-Reife 2026 und 2027 zunehmend Teil von Ausschreibungen, Lieferantenprüfungen und Vorstandsberichten sein. Wer vorbereitet ist, hat damit einen konkreten Wettbewerbsvorteil.
Wenn Sie NIS2 nicht nur juristisch verstehen, sondern intern strukturiert vermitteln wollen, ist jetzt der richtige Zeitpunkt für eine standardisierte Schulung der relevanten Rollen. Jetzt NIS2-Schulung starten.
FAQ (Schema-relevant)
Wann tritt NIS2 in Deutschland in Kraft?
NIS2 tritt in Deutschland nach dem ausgewerteten Quellenstand seit dem 6. Dezember 2025 in Kraft. Maßgeblich ist das Inkrafttreten des NIS2UmsuCG nach Veröffentlichung im Bundesgesetzblatt. Für Unternehmen bedeutet das: Die allgemeine Frage nach einem künftigen Geltungsbeginn ist überholt. Relevant sind heute nur noch die Fristen, die sich an dieses Inkrafttreten anschließen.
Welche NIS2-Fristen hat Deutschland bereits verpasst?
Deutschland hat vor allem die EU-Umsetzungsfrist vom 17. Oktober 2024 verpasst. Diese Frist ergab sich unmittelbar aus Art. 41 der Richtlinie (EU) 2022/2555. Zusätzlich ist aus Unternehmenssicht inzwischen häufig auch die Registrierungsfrist bis 6. März 2026 verstrichen, sofern eine betroffene Einrichtung sich noch nicht beim BSI registriert hat.
Wie lange haben Unternehmen nach Inkrafttreten Zeit für die Umsetzung?
Für die materiellen Sicherheits- und Governance-Pflichten gab es keine allgemeine Übergangsfrist. Unternehmen mussten also nicht erst Monate später starten, sondern ihre Maßnahmen grundsätzlich ab Inkrafttreten wirksam organisieren. Eine gesonderte Frist von drei Monaten galt für die Registrierung beim BSI. Spätere Prüfnachweise müssen nach aktuellem Fachstand spätestens drei Jahre nach Inkrafttreten vorliegen.
Ab wann muss ich mich beim BSI registrieren?
Die Registrierung wurde praktisch möglich, als das BSI-Portal am 6. Januar 2026 öffnete. Die maßgebliche Frist lief bis 6. März 2026. Wenn Ihr Unternehmen die Frist verpasst hat, sollten Sie nicht auf eine neue offizielle Schonfrist spekulieren, sondern die Registrierung unverzüglich nachholen und diesen Schritt intern dokumentieren.
Was passiert wenn ich die NIS2-Fristen nicht einhalte?
Bei Verstößen gegen Registrierung, Meldepflichten oder materielle Sicherheitsanforderungen drohen Aufsichtsmaßnahmen, Anordnungen und Bußgelder. Der Sanktionsrahmen knüpft an die Einordnung als wichtige oder besonders wichtige Einrichtung an. Für besonders wichtige Einrichtungen reichen die Höchstbeträge bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes, für wichtige Einrichtungen bis 7 Mio. EUR oder 1,4 %. Näheres dazu finden Sie auch im Beitrag zu NIS2-Bußgeldern und Strafen.