NIS2-Compliance-Statistiken 2026: 50+ Fakten zu Geltungsbereich, Bußgeldern und Umsetzungsstand
Die NIS2-Richtlinie ist die umfassendste Reform der Cybersicherheitsregulierung in der Geschichte der Europäischen Union. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und erweitert deren Geltungsbereich von wenigen hundert Betreibern wesentlicher Dienste pro Mitgliedstaat auf geschätzte 160.000 Einrichtungen in der gesamten EU.
Diese Seite fasst verifizierte Statistiken zum Geltungsbereich, Umsetzungsstatus, Sanktionsrahmen, Compliance-Bereitschaftsgrad, den Kosten sowie der allgemeinen Cybersicherheitslage zusammen, die NIS2 adressieren soll. Jede Zahl stammt aus offiziellen EU-Behörden, Regulierungsstellen und verifizierten Branchenberichten.
Geltungsbereich und Reichweite von NIS2
NIS2 hat die Anzahl der Organisationen, die EU-Cybersicherheitsanforderungen unterliegen, drastisch erweitert. Die ursprüngliche NIS-Richtlinie umfasste nur eine begrenzte Anzahl von Betreibern wesentlicher Dienste. NIS2 gilt für alle mittleren und großen Unternehmen, die in 18 festgelegten Sektoren tätig sind.
| Statistik | Quelle |
|---|---|
| ~160.000 Einrichtungen in der EU fallen unter den NIS2-Geltungsbereich | European Commission Impact Assessment |
| 18 Sektoren abgedeckt (11 wesentliche + 7 wichtige) | NIS2-Richtlinie, Anhänge I und II |
| Gilt für mittlere Unternehmen (50+ Beschäftigte oder EUR 10 Mio.+ Umsatz) und große Unternehmen (250+ Beschäftigte oder EUR 50 Mio.+ Umsatz) | European Commission NIS2 FAQ |
| Allein Deutschland: ~29.500+ betroffene Unternehmen | BSI-Schätzung, via DLA Piper |
| Finnland: Geltungsbereich von ~1.100 Einrichtungen unter NIS1 auf ~5.500 unter NIS2 erweitert (5-fache Zunahme) | Secomea NIS2 Country Tracker |
11 Sektoren mit hoher Kritikalität (Anhang I - Wesentliche Einrichtungen)
- Energie (Strom, Öl, Gas, Wasserstoff, Fernwärme)
- Verkehr (Luft, Schiene, Wasser, Straße)
- Bankwesen
- Finanzmarktinfrastrukturen
- Gesundheit (Krankenhäuser, Labore, Pharmazeutik, Medizinprodukte)
- Trinkwasser
- Abwasser
- Digitale Infrastruktur (IXPs, DNS, TLD-Registrierungsstellen, Cloud, Rechenzentren, CDNs)
- IKT-Dienstleistungsmanagement (B2B - Managed-Service-Provider, Managed-Security-Service-Provider)
- Öffentliche Verwaltung (Zentralregierung)
- Weltraum
7 weitere kritische Sektoren (Anhang II - Wichtige Einrichtungen)
- Post- und Kurierdienste
- Abfallwirtschaft
- Chemikalien (Herstellung, Produktion, Vertrieb)
- Lebensmittel (Produktion, Verarbeitung, Vertrieb)
- Verarbeitendes Gewerbe (Medizinprodukte, Computer, Elektronik, Maschinenbau, Kraftfahrzeuge)
- Digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
- Forschungseinrichtungen
NIS2-Umsetzungsstatus
Die Frist für die Umsetzung der NIS2-Richtlinie in nationales Recht der EU-Mitgliedstaaten war der 17. Oktober 2024. Die Mehrheit der Mitgliedstaaten hat diese Frist nicht eingehalten.
| Statistik | Quelle |
|---|---|
| 20 von 27 EU-Mitgliedstaaten haben die Umsetzung bis zum 1. Januar 2026 abgeschlossen | Wavestone NIS2 Transposition Tracker |
| Am 7. Mai 2025 hat die Europäische Kommission mit Gründen versehene Stellungnahmen an 19 Mitgliedstaaten wegen fehlender Mitteilung der vollständigen Umsetzung gesendet | Skadden; Goodwin Law |
| Umsetzungsfrist: 17. Oktober 2024 | NIS2-Richtlinie, Artikel 41 |
Länder mit vollständiger NIS2-Umsetzung
| Land | Datum der Umsetzung |
|---|---|
| Kroatien | 15. Februar 2024 (frühester Zeitpunkt) |
| Lettland | 1. September 2024 |
| Belgien | 18. Oktober 2024 |
| Italien | 16. Oktober 2024 |
| Litauen | 17. Oktober 2024 |
| Griechenland | 27. November 2024 |
| Slowakei | 1. Januar 2025 |
| Ungarn | Januar 2025 |
| Slowenien | 19. Juni 2025 |
| Tschechische Republik | 1. November 2025 |
| Deutschland | 6. Dezember 2025 |
Quelle: Wavestone NIS2 Transposition Tracker (Stand Januar 2026)
Länder mit verabschiedetem Gesetz, aber ausstehendem Rahmenwerk
Schweden, Dänemark, Österreich, Portugal, Malta, Finnland, Estland, Rumänien, Zypern (9 Länder)
Länder noch im Entwurfsstadium
Luxemburg, Frankreich, Spanien, Niederlande, Polen, Bulgarien (6 Länder)
Quelle: Wavestone NIS2 Transposition Tracker
NIS2-Sanktionen und Bußgelder
NIS2 führt ein gestuftes Sanktionssystem ein, das auf der Klassifizierung der Einrichtung basiert. Anders als die DSGVO, die ein einheitliches Maximum vorsieht, unterscheidet NIS2 zwischen wesentlichen und wichtigen Einrichtungen.
| Einrichtungstyp | Maximale Geldbuße | Quelle |
|---|---|---|
| Wesentliche Einrichtungen | EUR 10.000.000 oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) | NIS2-Richtlinie, Artikel 34 |
| Wichtige Einrichtungen | EUR 7.000.000 oder 1,4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) | NIS2-Richtlinie, Artikel 34 |
| Mitgliedstaaten können Bußgelder über diese Schwellenwerte hinaus festlegen, aber nicht darunter | NIS2-Richtlinie, Artikel 34 |
NIS2 vs. DSGVO - Vergleich der Sanktionen
| Verordnung | Maximale Geldbuße | Umsatzschwelle |
|---|---|---|
| DSGVO | EUR 20.000.000 | 4 % des weltweiten Umsatzes |
| NIS2 (wesentliche Einrichtungen) | EUR 10.000.000 | 2 % des weltweiten Umsatzes |
| NIS2 (wichtige Einrichtungen) | EUR 7.000.000 | 1,4 % des weltweiten Umsatzes |
Persönliche Haftung der Geschäftsleitung
NIS2 führt eine direkte Verantwortlichkeit für Leitungsorgane ein. Vorstandsmitglieder und leitende Angestellte können persönlich für die Nichteinhaltung haftbar gemacht werden. Bei grober Fahrlässigkeit können die zuständigen Behörden ein vorübergehendes Verbot der Ausübung von Leitungsfunktionen gegen Einzelpersonen verhängen.
Quelle: DLA Piper NIS2 Directors' Personal Liability Analysis
NIS2-Compliance-Bereitschaft
Die Daten zur Compliance-Bereitschaft zeichnen ein besorgniserregendes Bild. Erhebliche Teile der betroffenen Organisationen sind sich NIS2 nicht bewusst oder auf die Anforderungen nicht vorbereitet.
| Statistik | Quelle |
|---|---|
| 38 % der Unternehmen im verarbeitenden Gewerbe kennen NIS2 nicht | ENISA NIS Investments 2024 |
| 40 % der Abwasserwirtschaftsunternehmen kennen NIS2 nicht | ENISA NIS Investments 2024 |
| 89 % der Organisationen geben an, zusätzliches Personal für die NIS2-Compliance zu benötigen | ENISA NIS Investments 2024 |
| 30 % der Organisationen hatten in den letzten 12 Monaten keine Sicherheitsbewertung | ENISA NIS Investments 2025 |
| 63 % der KMU hatten keine Sicherheitsbewertung | ENISA NIS Investments 2025 |
| 28 % der Organisationen benötigen 3+ Monate, um kritische Schwachstellen zu patchen | ENISA NIS Investments 2025 |
| Über 50 % der KMU benötigen 3+ Monate, um kritische Systeme zu patchen | ENISA NIS Investments 2025 |
| 43 % der IKT-Dienstleistungsunternehmen haben kein Sicherheitstestprogramm | ENISA NIS Investments 2025 |
| 82 % der Organisationen berichteten über positive Cybersicherheitsauswirkungen durch die NIS1-Compliance | WALLIX, unter Berufung auf eine ENISA-Studie |
NIS2-Compliance-Kosten
Die Kosten für die Umsetzung von NIS2 variieren erheblich je nach Unternehmensgröße, bestehendem Reifegrad und Branche. Die Folgenabschätzung der Europäischen Kommission und unabhängige Analysen liefern folgende Schätzungen.
| Statistik | Quelle |
|---|---|
| EU-weite Gesamtimplementierungskosten: EUR 31,2 Milliarden pro Jahr (0,31 % des Umsatzes der betroffenen Sektoren) | Frontier Economics |
| Wesentliche Einrichtungen mit bestehender NIS1-Compliance: ~EUR 107.000 durchschnittliche Anpassungskosten | Tarlogic |
| Wichtige Einrichtungen ohne Vorkenntnisse: ~EUR 180.000 Durchschnittskosten | Tarlogic |
| Wichtige Einrichtungen mit 27 % bestehender Umsetzung: ~EUR 131.000 Durchschnittskosten | Tarlogic |
| Unternehmen werden voraussichtlich ihre Cybersicherheitsausgaben in den ersten Jahren um bis zu 22 % erhöhen | ENISA Impact Assessment, via WALLIX |
| Medianes EU-Cybersicherheitsbudget (2025): EUR 1,5 Millionen | ENISA NIS Investments 2025 |
| Anteil des IT-Budgets für Cybersicherheit: 9 % im Jahr 2023, gegenüber 7,1 % im Jahr 2022 | ENISA NIS Investments 2024 |
| Medianes Informationssicherheitsbudget hat sich von EUR 0,7 Mio. auf EUR 1,4 Mio. zwischen 2022 und 2023 verdoppelt | ENISA NIS Investments 2024 |
| 70 % der Organisationen nennen regulatorische Compliance als ihren primären Investitionstreiber | ENISA NIS Investments 2025 |
| 34 % der KMU sind nicht in der Lage, zusätzliches Budget für die NIS2-Compliance zu beantragen | ENISA NIS Investments 2025 |
NIS2-Anforderungen zur Vorfallmeldung
NIS2 führt ein dreistufiges Vorfallmeldesystem mit strengen Fristen ein und verschärft damit die Anforderungen der ursprünglichen NIS-Richtlinie erheblich.
| Meldestufe | Frist | Zweck |
|---|---|---|
| Frühwarnung | Innerhalb von 24 Stunden nach Kenntnisnahme | Erste Meldung an die zuständige Behörde |
| Vollständige Meldung | Innerhalb von 72 Stunden | Detaillierte Bewertung von Schwere und Auswirkungen |
| Abschlussbericht | Innerhalb von 1 Monat | Ursachenanalyse, Gegenmaßnahmen, grenzüberschreitende Auswirkungen |
Quelle: NIS2-Richtlinie, Artikel 23
Vorfallstatistiken unter NIS1
| Statistik | Quelle |
|---|---|
| 188 Vorfälle von nationalen Behörden aus 26 EU-Mitgliedstaaten und 2 EFTA-Ländern gemeldet (Jahresbericht 2024) | ENISA CIRAS |
| 55 % der Einrichtungen der digitalen Infrastruktur, die der nationalen Meldepflicht unterliegen, hatten keine meldepflichtigen Vorfälle | ENISA NIS Investments 2024 |
Sektorreife unter NIS2
Die NIS360-Bewertung der ENISA ordnet Sektoren anhand ihrer Cybersicherheitsreife im Verhältnis zu ihrer Kritikalität ein. Dies zeigt, welche Sektoren am stärksten von Nicht-Compliance bedroht sind.
Am weitesten fortgeschrittene Sektoren (Reife entspricht Kritikalität)
- Elektrizität
- Telekommunikation
- Bankwesen
Sektoren in der Risikozone (Kritikalität überwiegt Reife)
- IKT-Dienstleistungsmanagement
- Weltraum
- Öffentliche Verwaltung
- Seeverkehr
- Gesundheit
- Gas
Quelle: ENISA NIS360 2024
Aufsichtsmodell
| Einrichtungstyp | Aufsichtsansatz |
|---|---|
| Wesentliche Einrichtungen | Proaktive (Ex-ante-) und reaktive (Ex-post-) Aufsicht |
| Wichtige Einrichtungen | Ausschließlich reaktive Aufsicht (Ex-post - nur nach einem Vorfall oder bei Nachweisen der Nichteinhaltung) |
Quelle: European Commission NIS2 FAQ
EU-Bedrohungslandschaft der Cybersicherheit
Die folgenden Statistiken aus dem Threat-Landscape-Bericht der ENISA verdeutlichen, warum NIS2 notwendig war.
| Statistik | Quelle |
|---|---|
| 4.875 analysierte Cybersicherheitsvorfälle zwischen Juli 2024 und Juni 2025 | ENISA Threat Landscape 2025 |
| DDoS und Hacktivismus machen ~80 % aller erfassten Vorfälle aus | ENISA Threat Landscape 2025 |
| Nur 2 % der hacktivistischen DDoS-Angriffe führten zu einer tatsächlichen Dienstunterbrechung | ENISA Threat Landscape 2025 |
| Phishing macht ~60 % aller Angriffsversuche aus | ENISA Threat Landscape 2025 |
| Über 80 % der Phishing-Kampagnen verwenden mittlerweile KI-generierte oder KI-optimierte Inhalte | ENISA Threat Landscape 2025 |
| 53,7 % der Vorfälle richteten sich gegen wesentliche Einrichtungen im Sinne von NIS2 | ENISA Threat Landscape 2025 |
| 42.595 neu offengelegte Schwachstellen - ein Anstieg von 27 % im Jahresvergleich | ENISA Threat Landscape 2025 |
| 82 Ransomware-Varianten wurden gegen EU-Organisationen eingesetzt | ENISA Threat Landscape 2025 |
| Die drei häufigsten Ransomware-Varianten: Akira (11,6 %), SafePay (10,1 %), Qilin (7,5 %) | ENISA Threat Landscape 2025 |
| 90 % der Organisationen rechneten 2024 mit zunehmenden Cyberangriffen | ENISA NIS Investments 2024 |
Am häufigsten betroffene Sektoren
| Sektor | Anteil der Vorfälle |
|---|---|
| Öffentliche Verwaltung | 19 % |
| Verkehr | 11 % |
| Finanzwesen | 9 % |
| Digitale Infrastruktur | 8 % |
Quelle: ENISA Threat Landscape 2025
Lieferkettensicherheit unter NIS2
NIS2 schreibt die Sicherheit der Lieferkette als eine von 10 vorgeschriebenen Risikomanagementmaßnahmen gemäß Artikel 21 vor. Dies spiegelt die wachsende Bedrohung durch lieferkettenbasierte Angriffe in Europa wider.
| Statistik | Quelle |
|---|---|
| 90 % der Organisationen geben an, Risikomanagementpraktiken für die Lieferkette eingeführt zu haben | ENISA NIS Investments 2025 |
| 47 % der Organisationen befürchten Kompromittierungen durch Drittanbieter als eine der größten zukünftigen Bedrohungen | ENISA NIS Investments 2025 |
| Die Ausnutzung von Schwachstellen macht 21 % der Vorfälle aus, viele davon über Lieferkettenkomponenten | ENISA Threat Landscape 2025 |
Cybersicherheitsfachkräfte in der EU
Die NIS2-Compliance erfordert qualifizierte Cybersicherheitsfachkräfte. Der aktuelle Fachkräftemangel in Europa macht dies zu einem der anspruchsvollsten Aspekte der Compliance.
| Statistik | Quelle |
|---|---|
| EU-Fachkräftedefizit im Bereich Cybersicherheit: 299.000 Fachkräfte | ENISA NIS Investments 2025 |
| Europa hat ~1,4 Millionen Cybersicherheitsfachkräfte, benötigt aber ~1,8 Millionen (Defizit von ~424.000) | Source Group International |
| 75 % der Organisationen haben Schwierigkeiten, Cybersicherheitstalente zu gewinnen | ENISA NIS Investments 2025 |
| 71 % der Organisationen haben Schwierigkeiten, Cybersicherheitspersonal zu halten | ENISA NIS Investments 2025 |
| 76 % der Cybersicherheitsmitarbeitenden verfügen über keine formale Qualifikation oder zertifizierte Ausbildung | ENISA NIS Investments 2024 |
| 59 % der KMU haben Schwierigkeiten, Cybersicherheitstalente zu rekrutieren | ENISA NIS Investments 2024 |
| Verhältnis Cybersicherheits- zu IT-Personal: 10,6 % | ENISA NIS Investments 2025 |
| IT-Vollzeitstellen für Cybersicherheit: 11,1 % (4. Jahr in Folge rückläufig) | ENISA NIS Investments 2024 |
| Prognostizierte Fachkräftelücke in Deutschland im Bereich Cybersicherheit: bis zu 106.000 Arbeitskräfte | Net Group |
| Weltweite Fachkräftelücke in der Cybersicherheit: 4,8 Millionen unbesetzte Stellen (2024), ein Anstieg von 19 % im Jahresvergleich | ISC2 |
| 52 % der Organisationen sagen, das Hauptproblem sei "nicht die richtigen Mitarbeitenden zu haben" gegenüber 48 %, die "nicht genug Mitarbeitende zu haben" angeben | ISC2 |
10 NIS2-Mindestsicherheitsmaßnahmen
Artikel 21 der NIS2-Richtlinie verpflichtet Einrichtungen, mindestens die folgenden 10 Kategorien von Sicherheitsmaßnahmen umzusetzen:
- Konzepte für die Risikoanalyse und Sicherheit von Informationssystemen
- Verfahren zur Bewältigung von Sicherheitsvorfällen
- Aufrechterhaltung des Betriebs und Krisenmanagement (einschließlich Backup-Management und Notfallwiederherstellung)
- Sicherheit der Lieferkette (einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen Einrichtungen und ihren unmittelbaren Anbietern oder Dienstleistern)
- Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen (einschließlich Management und Offenlegung von Schwachstellen)
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen zum Cybersicherheitsrisikomanagement
- Grundlegende Verfahren im Bereich der Cyberhygiene und Cybersicherheitsschulungen
- Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
- Sicherheit des Personals, Zugriffskontrolle und Management von Anlagen
- Verwendung von Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierungslösungen, gesicherte Sprach-, Video- und Textkommunikation sowie gesicherte Notfallkommunikationssysteme
Quelle: NIS2-Richtlinie, Artikel 21(2)
Wichtige NIS2-Termine und Zeitplan
| Datum | Ereignis |
|---|---|
| 27. Dezember 2022 | NIS2 im Amtsblatt der Europäischen Union veröffentlicht |
| 16. Januar 2023 | NIS2 tritt in Kraft |
| 17. Oktober 2024 | Frist für die Umsetzung von NIS2 in nationales Recht der Mitgliedstaaten |
| 18. Oktober 2024 | NIS2 wird in Mitgliedstaaten anwendbar, die fristgerecht umgesetzt haben |
| 7. Mai 2025 | Europäische Kommission sendet mit Gründen versehene Stellungnahmen an 19 nicht konforme Mitgliedstaaten |
| 17. April 2025 | Frist für Mitgliedstaaten zur Erstellung einer Liste wesentlicher und wichtiger Einrichtungen |
Häufig gestellte Fragen
F: Wie viele Unternehmen sind von NIS2 betroffen?
A: Die Europäische Kommission schätzt, dass etwa 160.000 Einrichtungen in der EU unter den Geltungsbereich von NIS2 fallen. Dazu gehören mittlere Unternehmen mit 50+ Beschäftigten oder EUR 10 Mio.+ Umsatz sowie große Unternehmen mit 250+ Beschäftigten oder EUR 50 Mio.+ Umsatz, die in einem der 18 festgelegten Sektoren tätig sind.
F: Wie hoch sind die maximalen NIS2-Bußgelder?
A: Wesentliche Einrichtungen können mit Bußgeldern von bis zu EUR 10.000.000 oder 2 % des weltweiten Jahresumsatzes belegt werden, je nachdem, welcher Betrag höher ist. Wichtige Einrichtungen können mit Bußgeldern von bis zu EUR 7.000.000 oder 1,4 % des weltweiten Jahresumsatzes belegt werden. Mitgliedstaaten können in ihrer nationalen Umsetzung höhere Höchstbußgelder festlegen.
F: Welche EU-Länder haben NIS2 umgesetzt?
A: Bis Januar 2026 haben 20 von 27 EU-Mitgliedstaaten die NIS2-Umsetzung abgeschlossen. Kroatien war das erste Land (Februar 2024), gefolgt von Lettland, Belgien, Italien, Litauen, Griechenland, Slowakei, Ungarn, Slowenien, Tschechische Republik und Deutschland. Sechs Länder befinden sich noch im Entwurfsstadium, darunter Frankreich, Spanien und die Niederlande.
F: Was kostet die NIS2-Compliance?
A: Die Kosten variieren erheblich je nach Unternehmensgröße und bestehendem Reifegrad. Einrichtungen, die bereits NIS1-konform sind, können mit Anpassungskosten von etwa EUR 107.000 rechnen. Wichtige Einrichtungen, die bei null beginnen, müssen mit Durchschnittskosten von etwa EUR 180.000 rechnen. Die EU-weiten Gesamtimplementierungskosten werden auf EUR 31,2 Milliarden pro Jahr geschätzt.
F: Welche Fristen gelten für die NIS2-Vorfallmeldung?
A: NIS2 sieht einen dreistufigen Ansatz vor: eine Frühwarnung innerhalb von 24 Stunden nach Kenntnisnahme eines schwerwiegenden Vorfalls, eine vollständige Meldung innerhalb von 72 Stunden mit einer Bewertung von Schwere und Auswirkungen sowie einen Abschlussbericht innerhalb eines Monats mit detaillierter Ursachenanalyse und Gegenmaßnahmen.
F: Können Vorstandsmitglieder unter NIS2 persönlich haftbar gemacht werden?
A: Ja. NIS2 führt eine direkte Verantwortlichkeit für Leitungsorgane ein. Vorstandsmitglieder und leitende Angestellte können persönlich für die Nichteinhaltung der Cybersicherheits-Risikomanagementpflichten haftbar gemacht werden. Bei grober Fahrlässigkeit können die Behörden ein vorübergehendes Verbot der Ausübung von Leitungsfunktionen gegen Einzelpersonen verhängen.
Alle Statistiken auf dieser Seite stammen aus offiziellen EU-Behörden, Regulierungsstellen und verifizierten Branchenberichten. Primärquellen sind die ENISA NIS Investments Reports (2024, 2025), ENISA Threat Landscape 2025, ENISA NIS360 2024, die European Commission NIS2 FAQ, der Wavestone NIS2 Transposition Tracker, Frontier Economics, ISC2 sowie der NIS2-Richtlinientext. Diese Seite wird regelmäßig aktualisiert, sobald neue Daten verfügbar sind.
Letzte Aktualisierung: März 2026