NIS2 Status Deutschland März 2026 — Wo stehen wir?
Letzte Aktualisierung: 22. März 2026
Der NIS2 Status Deutschland im März 2026 ist klar: Die EU-Richtlinie 2022/2555 ist verspätet, aber inzwischen in deutsches Recht umgesetzt; seit dem 6. Dezember 2025 gelten die Pflichten des novellierten BSIG, potenziell rund 30.000 Einrichtungen fallen in den Anwendungsbereich, Bußgelder reichen bis 10 Millionen Euro oder 2 Prozent des weltweiten Umsatzes, und in einzelnen Sektoren wirkt die Bundesnetzagentur neben dem BSI an der Aufsicht mit. Für Unternehmen lautet die kurze Antwort deshalb: Die politische Wartephase ist vorbei, die operative Umsetzungsphase läuft bereits.
Entscheidend ist dabei eine Klarstellung: Im März 2026 steht nicht mehr ein neuer deutscher Kabinettsentwurf aus. Maßgeblich sind die bereits veröffentlichten gesetzlichen Regeln und die seit Dezember 2025 laufenden BSI-Prozesse. Wer heute nach „NIS2 Deutschland aktuell“ sucht, braucht deshalb keine Spekulation über einen irgendwann kommenden Starttermin, sondern einen belastbaren Überblick über geltendes Recht, praktische Registrierungsfragen und den realistischen Aufsichtsbeginn. Vertiefend helfen auch unsere Beiträge zur NIS2-Vorfallmeldung, zu NIS2 vs. KRITIS und zur Geschäftsführer-Haftung bei Cyberangriffen.
Bevor wir in die Details einsteigen, lohnt sich die Zeitachse. Sie zeigt, warum der deutsche Sonderfall im März 2026 vor allem eine Umsetzungs- und keine Ankündigungsfrage mehr ist:
| Meilenstein | Datum | Bedeutung für Unternehmen |
|---|---|---|
| EU-Richtlinie NIS2 verabschiedet | 14. Dezember 2022 | Europäischer Rechtsrahmen mit neuen Mindestpflichten |
| Umsetzungsfrist für Mitgliedstaaten | 17. Oktober 2024 | Deutschland verpasst die Frist |
| Vertragsverletzungsverfahren der EU-Kommission | 28. November 2024 | Druck auf Deutschland steigt |
| Begründete Stellungnahme der EU-Kommission | 7. Mai 2025 | Letzte Vorstufe vor möglicher EuGH-Befassung |
| Bundestagsbeschluss zum NIS2UmsuCG | 13. November 2025 | Gesetzgebungsverfahren praktisch abgeschlossen |
| Inkrafttreten der deutschen Regeln | 6. Dezember 2025 | Pflichten gelten unmittelbar |
| BSI-Portal für Registrierung und Meldung aktiv | seit 6. Dezember 2025 | Praktische Umsetzung über portal.bsi.bund.de |
| Registrierungslogik nach § 33 BSIG | spätestens binnen 3 Monaten | Für viele Bestandsfälle praktisch bis Anfang März 2026 |
Wo steht die NIS2-Umsetzung in Deutschland im März 2026?
Die NIS2-Umsetzung Deutschland 2026 ist im März rechtlich weiter, als viele interne Projektpläne noch annehmen. Die eigentliche Unsicherheit betrifft nicht mehr den Bestand des Gesetzes, sondern die Frage, ob Ihr Unternehmen bereits sauber eingeordnet, registriert und organisatorisch vorbereitet ist. Das ist ein wesentlicher Unterschied. Solange die politische Debatte lief, konnten Unternehmen mit gewissem Risiko auf den finalen Gesetzestext verweisen. Seit Dezember 2025 ist diese Argumentation weitgehend entfallen.
Aus europäischer Sicht war Deutschland deutlich verspätet. Die Richtlinie (EU) 2022/2555 verlangte die nationale Umsetzung bis zum 17. Oktober 2024. Weil Deutschland die vollständige Umsetzung nicht fristgerecht notifizierte, eröffnete die EU-Kommission am 28. November 2024 ein Vertragsverletzungsverfahren und verschärfte dieses am 7. Mai 2025 mit einer begründeten Stellungnahme. Diese Daten sind nicht bloße politische Randnotizen. Sie zeigen, dass die Verzögerung nicht nur eine nationale Gesetzgebungspause war, sondern europäischen Eskalationsdruck erzeugte.
Für Unternehmen ist aber noch wichtiger, was aus der verspäteten Umsetzung nicht folgt: Es gibt keinen tragfähigen Schluss „Deutschland war spät, also kann mein Unternehmen ebenfalls später anfangen“. Die Richtlinie zielte auf ein höheres Mindestniveau an Cybersicherheit in kritischen und wichtigen Sektoren. Genau diese Logik ist jetzt in nationales Aufsichtsrecht übersetzt. Im März 2026 heißt NIS2 Deutschland Stand daher: Geltung ja, Schonfrist nein, Nachweisdruck steigend.
Auch die Größenordnung ist erheblich. In der Begründung des Gesetzentwurfs wird davon ausgegangen, dass künftig rund 30.000 Einrichtungen in den Anwendungsbereich fallen. Das erklärt, warum viele Unternehmen erst jetzt bemerken, dass NIS2 nicht nur klassische KRITIS-Betreiber betrifft, sondern weit darüber hinausgeht. Wenn Sie den Anwendungsbereich für Ihre Organisation strukturiert prüfen wollen, ist unser Überblick zur NIS2-Schulung ein sinnvoller Startpunkt, weil dort gerade Management, IT und Compliance auf denselben Rechtsstand gebracht werden.
Gesetzgebungsverfahren: NIS2UmsuCG und BSIG-Novelle
Das Gesetzgebungsverfahren ist für März 2026 im Kern abgeschlossen. Inhaltlich wichtig ist, dass NIS2 in Deutschland nicht als isoliertes Einzelgesetz neben das BSI-Gesetz gestellt wurde, sondern als tiefgreifende Novelle des BSIG mit neuen Kategorien, neuen Pflichten und neuen Aufsichtsmechanismen. Wer intern noch nach einem „kommenden NIS2-Gesetz“ fragt, sollte deshalb präziser formulieren: Relevant ist das bereits in Kraft befindliche NIS2-Umsetzungsgesetz mitsamt BSIG-Novelle.
Der offizielle parlamentarische Pfad lässt sich anhand der Bundestagsdrucksachen nachvollziehen. Der Gesetzentwurf BT-Drucksache 21/1501 beschreibt den erweiterten Anwendungsbereich, die Kategorien „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“, die Registrierungs- und Meldepflichten sowie den neuen Bußgeldrahmen. Die Beschlussempfehlung BT-Drucksache 21/2387 dokumentiert die letzte parlamentarische Fassung vor Inkrafttreten. Für die Praxis ist damit nicht entscheidend, wie viele politische Zwischenrunden es gab, sondern welches Ergebnis jetzt bindend ist.
Sachlich sollten Unternehmen drei Punkte aus dem Gesetzgebungsverfahren mitnehmen. Erstens ist die deutsche Umsetzung breiter als das frühere KRITIS-Regime und nimmt deutlich mehr Einrichtungen in die Pflicht. Zweitens verankert sie Governance ausdrücklich auf Leitungsebene. Drittens verbindet sie materielles Risikomanagement mit verfahrensrechtlichen Pflichten wie Registrierung, Meldung und Nachweisführung. Diese Kombination ist der Grund, warum NIS2 nicht nur ein Security-Thema für die IT-Abteilung ist.
Gerade die Geschäftsleitung wird sichtbarer in die Pflicht genommen. § 38 BSIG verlangt für Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen nicht nur die Überwachung der Umsetzungsmaßnahmen, sondern auch regelmäßige Schulung. Wer also noch mit der Annahme arbeitet, NIS2 sei ein rein technischer Pflichtenkatalog, liest den deutschen Umsetzungsstand zu eng. In Deutschland ist NIS2 ausdrücklich auch eine Organ- und Leitungsfrage. Das sollten Sie zusammen mit der Frage persönlicher Verantwortlichkeit betrachten, etwa im Beitrag zur Haftung bei Cyberangriffen.
BSI-Vorbereitungen und NIS2 Deutschland Stand im März 2026
Die BSI-Vorbereitungen sind ein deutlicher Hinweis darauf, dass der deutsche Staat im März 2026 bereits im Umsetzungsmodus arbeitet. Das BSI selbst erklärt auf seiner Informationsseite zur Registrierung, dass mit Inkrafttreten des NIS-2-Umsetzungsgesetzes am 6. Dezember 2025 die dort aufgeführten Registrierungs- und Meldepflichten gelten und hierfür das BSI-Portal unter portal.bsi.bund.de bereitsteht. Das ist eine Primärquelle mit unmittelbarer praktischer Wirkung: Wer von NIS2 betroffen ist, muss sich nicht fragen, ob es schon ein Portal gibt, sondern wie schnell die eigene Organisation es nutzt.
Wichtig ist außerdem die operative Systematik. Die Registrierung nach NIS2 erfolgt laut BSI ausschließlich über das dafür vorgesehene BSI-Portal und gerade nicht über MIP2. Für KRITIS-Betreiber und Bundesbehörden hält das BSI allerdings eine Übergangslogik aufrecht: Diese nutzen übergangsweise prioritär weiter MIP2, damit etablierte Prozesse nicht abrupt abbrechen. Für viele Unternehmen außerhalb dieser Gruppe ist die Botschaft damit eindeutig: Das Portal ist nicht Pilotbetrieb, sondern produktiver Zugangskanal.
Aus rechtlicher Sicht folgt die Registrierungsfrist aus § 33 BSIG. Dort heißt es, dass besonders wichtige und wichtige Einrichtungen sich spätestens drei Monate, nachdem sie erstmals oder erneut als solche gelten, registrieren müssen. In der öffentlichen Debatte wurde daraus häufig der Stichtag Anfang März 2026 abgeleitet. Diese Ableitung ist im Grundsatz plausibel, aber juristisch wichtig ist die Normlogik: Nicht jede Frist beginnt identisch, sondern an dem Zeitpunkt, zu dem die Einrichtung unter die gesetzliche Kategorie fällt. Genau deshalb brauchen Unternehmensgruppen mit mehreren Gesellschaften, Standortstrukturen oder sektoralen Sonderregeln eine saubere Einordnung statt einer pauschalen Sammelannahme.
Leitlinien im engeren Sinn sind im März 2026 noch nicht in jeder Detailfrage vollständig ausdifferenziert. Das bedeutet aber nicht, dass Unternehmen auf Vollständigkeit der behördlichen Auslegung warten sollten. Das BSI hat die entscheidenden Mindestsignale bereits gesetzt: Es gibt einen funktionierenden Melde- und Registrierungskanal, es gibt öffentlich zugängliche Informationen zur Nutzung dieses Kanals, und das novellierte BSIG erlaubt dem BSI, fachliche und organisatorische Anforderungen für prüfende Stellen per öffentlicher Mitteilung festzulegen. Wer erst bei der ersten Audit-Anforderung beginnt, interne Zuständigkeiten zu klären, startet zu spät.
Übergangsfristen und NIS2 Zeitplan in Deutschland
Die wichtigste Antwort auf die Frage nach dem NIS2 Zeitplan in Deutschland lautet: Es gibt keine allgemeine materielle Übergangsfrist. Seit dem 6. Dezember 2025 gelten die Anforderungen an Risikomanagement, Registrierung, Meldung und Leitungspflichten. Wer also im März 2026 noch fragt, ob „NIS2 schon scharf ist“, sollte zwischen Geltung und Prüfintensität unterscheiden. Geltung: ja. Flächendeckende Prüfung: gestuft und risikoorientiert.
Viele Unternehmen verwechseln die Drei-Monats-Logik der Registrierung mit einer allgemeinen Schonfrist für alle Pflichten. Das wäre falsch. Die Registrierungspflicht aus § 33 BSIG ist eine konkrete Frist für die Meldung der eigenen Betroffenheit und Kontaktdaten an das BSI. Sie verschiebt aber nicht die materiellen Pflichten aus § 30 BSIG, also insbesondere die Pflicht zu geeigneten, verhältnismäßigen und wirksamen technischen und organisatorischen Maßnahmen. Wer nicht registriert ist, aber bereits betroffen ist, ist dadurch nicht außerhalb des Regimes.
Zugleich ist ein zweiter Punkt wichtig, damit die Lage nicht unnötig dramatisiert wird. Das BSIG unterscheidet bei der Aufsicht zwischen besonders wichtigen und wichtigen Einrichtungen. Für besonders wichtige Einrichtungen kann das BSI gezielt Audits, Prüfungen oder Nachweise anordnen. Für viele andere besonders wichtige Einrichtungen nennt § 61 Abs. 3 BSIG eine verdachtsunabhängige Nachweisanforderung frühestens drei Jahre nach Inkrafttreten des Gesetzes. Das wäre frühestens ab 6. Dezember 2028. Für wichtige Einrichtungen ist die Aufsicht nach § 62 BSIG stärker an tatsächliche Anhaltspunkte geknüpft. Diese Struktur ist keine Schonfrist, aber sie erklärt, warum nicht alle Unternehmen zeitgleich dieselbe Prüftiefe erleben werden.
Auch der Bußgeldrahmen ist im März 2026 bereits gesetzlich gesetzt. Das BSIG nennt bei besonders wichtigen Einrichtungen Bußgelder bis 10 Millionen Euro, bei wichtigen Einrichtungen bis 7 Millionen Euro; bei sehr großen Unternehmen sind alternativ bis zu 2 Prozent beziehungsweise 1,4 Prozent des weltweiten Umsatzes möglich. Diese Zahlen sollten nicht als Paniksignal gelesen werden, sondern als Priorisierungshilfe für Managemententscheidungen. Spätestens auf Leitungsebene ist NIS2 damit ein Budget-, Risiko- und Dokumentationsthema.
Was müssen Unternehmen jetzt tun? Handlungsempfehlungen
Unternehmen müssen im März 2026 vor allem eines tun: aus abstraktem Rechtsmonitoring in konkrete Umsetzungsarbeit wechseln. Die sinnvollste Reihenfolge beginnt nicht mit einem langen Policy-Dokument, sondern mit einer belastbaren Betroffenheits- und Strukturprüfung. Ohne geklärten Scope bleibt jede Maßnahme entweder zu klein oder zu teuer.
Die erste Handlungsempfehlung lautet deshalb: Einrichtungskategorie und Sektor sauber bestimmen. Prüfen Sie, ob Ihre Gesellschaft oder Ihr Geschäftsbereich als besonders wichtige oder wichtige Einrichtung einzuordnen ist, welche Schwellenwerte greifen und welche sektoralen Besonderheiten gelten. Gerade Unternehmensgruppen mit mehreren Tochtergesellschaften, Shared Services oder ausgelagerten IT-Funktionen sollten diese Einordnung nicht nur auf Konzernniveau, sondern je Rechtsträger dokumentieren.
Die zweite Empfehlung lautet: Registrierung und Kontaktfähigkeit sicherstellen. Wenn Ihr Unternehmen noch nicht oder nicht vollständig registriert ist, sollten Sie das unverzüglich nachholen und eine belastbare Kontaktstelle für Rückfragen, Vorfälle und Nachforderungen definieren. Dazu gehört mehr als ein Postfach. Sie brauchen eine benannte Funktion, Vertretungsregeln und die Fähigkeit, im Ernstfall binnen Stunden belastbare Angaben zu liefern.
Die dritte Empfehlung lautet: Risikomanagement nach § 30 BSIG operationalisieren. Das betrifft insbesondere Risikoanalyse, Incident Handling, Business Continuity, Lieferkettensicherheit, Cyberhygiene, Zugriffskonzepte, Mehrfaktor-Authentisierung, Schulungen und Management-Einbindung. Wer diese Anforderungen nur als Checkliste verwaltet, wird bei der späteren Aufsicht schnell an Nachweisproblemen scheitern. Sinnvoll ist stattdessen ein kontrollbasiertes Vorgehen mit Verantwortlichen, Evidenzen und festen Review-Terminen.
Die vierte Empfehlung lautet: Meldefähigkeit praktisch üben. Ein erheblicher Sicherheitsvorfall ist kein guter Zeitpunkt, um Zuständigkeiten zwischen IT, Compliance, Datenschutz, Kommunikation und Geschäftsleitung erstmals auszuhandeln. Arbeiten Sie mit einem Incident Playbook, das Meldewege, Eskalationsstufen, Freigaben und Mindestinformationen festlegt. Dazu passt unser Praxisleitfaden zur NIS2-Vorfallmeldung, weil dort die 24-Stunden-, 72-Stunden- und Monatslogik bereits auf den operativen Ablauf heruntergebrochen ist.
Die fünfte Empfehlung lautet: Leitung und Schlüsselrollen gezielt schulen. Gerade weil § 38 BSIG die Geschäftsleitung ausdrücklich adressiert, sollten Sie NIS2 nicht als Schulung nur für Admins oder CISO behandeln. Geschäftsführung, Compliance, Informationssicherheit, Einkauf, Datenschutz und Fachbereiche brauchen ein gemeinsames Mindestverständnis. Wenn Sie diesen Schritt strukturiert angehen wollen, ist die NIS2-Schulung der pragmatische CTA, weil sie nicht nur Normtexte erklärt, sondern Verantwortlichkeiten, Meldewege und typische Umsetzungsfehler zusammenführt.
Branchenreaktionen und Verbandspositionen
Die Branchenreaktionen auf die deutsche NIS2-Umsetzung sind im Kern zweigeteilt. Einerseits ist der Bedarf an mehr Cybersicherheits-Governance kaum noch umstritten. Andererseits kritisieren Verbände und Sachverständige seit Beginn des Gesetzgebungsverfahrens vor allem die Breite des Anwendungsbereichs, den Dokumentationsaufwand und die Gefahr von Doppelregulierung mit bestehenden KRITIS-, Telekommunikations-, Energie- oder Finanzaufsichtsregimen.
Diese Spannungen lassen sich bereits in den parlamentarischen Materialien und Stellungnahmen zum Gesetz ablesen. In Anhörungen und Verbändestellungnahmen wurde wiederholt darauf hingewiesen, dass mittelständische Unternehmen mit begrenzten Security-Ressourcen zwar denselben Grundlogiken folgen können, aber praxistaugliche Umsetzungshilfen, klare Rollenabgrenzungen und sektorale Orientierung brauchen. Genau deshalb ist die deutsche Umsetzung nicht nur ein Gesetzgebungsthema, sondern auch ein Übersetzungsproblem zwischen Normtext und Betriebswirklichkeit.
Für betroffene Unternehmen ist diese Verbandsdebatte relevant, aber nur begrenzt entlastend. Sie erklärt, warum viele Detailfragen in 2026 noch nachgeschärft werden dürften, etwa bei Prüfpraxis, branchenspezifischen Standards oder Schnittstellen zur Fachaufsicht. Sie ersetzt jedoch nicht die Pflicht, jetzt ein Mindestniveau an Governance aufzubauen. Anders gesagt: Die Einwände der Verbände machen NIS2 nicht kleiner, sondern zeigen vor allem, wo Unternehmen in der Praxis typischerweise Unterstützung brauchen.
Gerade im Mittelstand ist daher eine realistische Sicht hilfreich. Es ist nachvollziehbar, dass nicht jede Einrichtung schon im März 2026 ein vollständig ausgereiftes NIS2-Control-Framework besitzt. Nicht nachvollziehbar wäre aber, überhaupt keine belastbare Betroffenheitsprüfung, keinen klaren Meldeweg und keine Management-Verantwortung dokumentiert zu haben. Wer diese Basis jetzt aufsetzt, reduziert spätere Reibungsverluste erheblich und kann Aufsichtsgespräche deutlich souveräner führen.
Häufig gestellte Fragen zu NIS2 Deutschland aktuell
Wann tritt NIS2 in Deutschland in Kraft?
NIS2 gilt in Deutschland praktisch seit dem 6. Dezember 2025, weil mit diesem Datum das NIS-2-Umsetzungsgesetz und die entsprechenden BSIG-Regeln in Kraft traten. Der 17. Oktober 2024 war die EU-Umsetzungsfrist für die Mitgliedstaaten, nicht der tatsächliche deutsche Inkrafttretenszeitpunkt.
Gibt es eine Übergangsfrist für NIS2?
Eine allgemeine Übergangsfrist für die materiellen Pflichten gibt es nicht. Seit Inkrafttreten gelten Risiko-, Registrierungs-, Melde- und Governance-Pflichten. Eine eigene Frist gibt es nur für einzelne Verfahrensschritte, insbesondere die Registrierung binnen drei Monaten nach § 33 BSIG.
Was passiert, wenn Deutschland NIS2 nicht umsetzt?
Diese Phase lag bereits hinter Deutschland. Die EU-Kommission leitete wegen der verspäteten Umsetzung ein Vertragsverletzungsverfahren ein und verschärfte dieses 2025 mit einer begründeten Stellungnahme. Für Unternehmen ist die wichtigere Folge heute aber nicht mehr die europäische Sanktion gegen den Staat, sondern die nationale Geltung der Pflichten im BSIG.
Muss ich mich jetzt schon auf NIS2 vorbereiten?
Ja, wenn Ihr Unternehmen voraussichtlich in den Anwendungsbereich fällt. Im März 2026 ist Vorbereitung nicht mehr Vorlauf für ein fernes Datum, sondern Bestandteil laufender Compliance. Betroffenheitsprüfung, Registrierung, Risikomanagement, Vorfallprozesse und Management-Schulung sollten bereits umgesetzt oder wenigstens mit belastbarem Projektplan hinterlegt sein.
Welche Behörde ist für NIS2 in Deutschland zuständig?
Das BSI ist die zentrale Melde- und Anlaufstelle für besonders wichtige und wichtige Einrichtungen. In einzelnen Sektoren, vor allem im Energierecht, ist zusätzlich die Bundesnetzagentur in die Aufsicht und Abstimmung eingebunden. Für Unternehmen ist deshalb nicht nur die Frage „BSI oder nicht?“, sondern auch die sektorale Fachaufsicht relevant.
Fazit: NIS2 Deutschland aktuell heißt Umsetzung, nicht Abwarten
Der NIS2 Status Deutschland im März 2026 lässt sich in einem Satz zusammenfassen: Das Gesetz gilt, die BSI-Infrastruktur läuft, und Unternehmen sollten ihre Energie nicht mehr in Termin-Spekulation, sondern in belastbare Umsetzung stecken. Wer jetzt sauber scoped, registriert, dokumentiert und die Leitungsebene einbindet, verschafft sich einen realen Vorteil gegenüber Unternehmen, die den deutschen Rechtsstand noch immer wie einen bloßen Referentenentwurf behandeln.
Wenn Sie diese Umsetzungsarbeit beschleunigen wollen, ist der nächste sinnvolle Schritt keine weitere politische Beobachtung, sondern eine strukturierte NIS2-Schulung. Sie schafft denselben Mindeststandard für Geschäftsleitung, Compliance und operative Teams und reduziert genau die Abstimmungsprobleme, die im März 2026 in vielen Unternehmen noch der eigentliche Flaschenhals sind.