NIS2: Letzte Frist in Deutschland, schärfere Regeln in Polen

Die EU-Cybersicherheitsrichtlinie NIS2 setzt Unternehmen in Mitteleuropa unter Druck. Während in Deutschland eine entscheidende Registrierungsfrist abläuft, plant Polen eine der strengsten nationalen Umsetzungen.

Die digitale Wirtschaft Mitteleuropas steht in diesen Tagen vor einer Zäsur. Gleich in mehreren Ländern treten neue, verschärfte Cybersicherheitsgesetze in Kraft, die Unternehmen zu schnellem Handeln zwingen. Hintergrund ist die vollständige Umsetzung der EU-Richtlinie NIS2 in nationale Gesetze. Rechtsberater in Deutschland, Polen und Österreich warnen vor knappen Fristen und einer neuen Ära der Haftung für Geschäftsführer.

Deutschland: Countdown zur BSI-Registrierung läuft

Die dringlichste Entwicklung kommt aus Deutschland. Hier endet am 6. März 2026 die Frist für die verpflichtende Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) trat bereits am 6. Dezember 2025 in Kraft und gewährte betroffenen Unternehmen eine dreimonatige Meldefrist.

Rechtsexperten der Kanzlei Taylor Wessing warnten am 18. Februar vor einem Engpass. Viele Organisationen, besonders im Energie- und Industriesektor, unterschätzten die Komplexität des Verfahrens. Besonders die Branche der erneuerbaren Energien stehe vor Problemen: Dezentrale Betriebsmodelle machten es schwer, die „verantwortliche Rechtseinheit“ für die Meldung zu identifizieren.

Angesichts der verschärften NIS2-Vorgaben und der steigenden Zahl an Cyberangriffen ist schnelles, strategisches Handeln gefragt – Vorstände tragen jetzt persönliche Verantwortung. Ein kostenloser Leitfaden „Cyber Security Awareness Trends“ zeigt praxisnah, welche organisatorischen Maßnahmen Sie sofort priorisieren sollten und wie Sie Ihre Geschäftsführung compliance-sicher aufstellen. Jetzt kostenlosen Cyber-Security-Guide herunterladen

Noch deutlicher wurde die Kanzlei ADVANT Beiten. Sie betonte, dass es für organisatorische Maßnahmen keine Übergangsfristen gebe. Die Geschäftsleitung hafte persönlich und sofort für Verstöße. Im Gegensatz zu früheren Regelungen liege die Verantwortung nicht mehr primär bei der IT-Abteilung, sondern direkt bei der Unternehmensführung. Für Vorstände und Geschäftsführer sind nun verpflichtende Schulungen und die aktive Überwachung des Risikomanagements vorgeschrieben.

Polen plant schärfstes Cybersicherheitsgesetz der Region

Während Deutschland gegen die Uhr kämpft, bereitet Polen eine der strengsten nationalen Umsetzungen der NIS2-Richtlinie vor. Nach der Verabschiedung im Sejm am 26. Januar 2026 wird das Gesetz voraussichtlich noch im ersten Quartal 2026 in Kraft treten.

Analysten bezeichnen den polnischen Ansatz als „Gold-Plating“ – die Praxis, nationale Anforderungen hinzuzufügen, die über das EU-Mindestmaß hinausgehen. Kernstück ist ein umstrittener Mechanismus für „Hochrisiko-Lieferanten“ (High-Risk Vendor). Die Regierung kann damit bestimmte Technologieanbieter als Bedrohung für die nationale Sicherheit einstufen. Betroffene Unternehmen müssten dann kritische Infrastruktur-Hardware innerhalb enger Fristen austauschen.

Die finanziellen Strafen sind enorm: Bei schwerwiegenden Verstößen, die die Staatssicherheit gefährden, sind Bußgelder von bis zu 100 Millionen Złoty (ca. 23 Millionen Euro) im Gespräch. Rechtsberater raten Firmen mit Geschäften in Polen dringend, noch vor Inkrafttreten des Gesetzes ihre Lieferketten zu überprüfen.

Ungarn und Österreich: Audit-Fristen und retrospektive Pflichten

In der Region entsteht ein komplexes Flickwerk unterschiedlicher Fristen, das multinationale Konzerne vor Herausforderungen stellt.

In Ungarn müssen als „wesentlich“ oder „wichtig“ eingestufte Unternehmen ihren ersten umfassenden Cybersicherheits-Audit bis zum 30. Juni 2026 abschließen. Bei weniger als fünf verbleibenden Monaten werden Engpässe bei zugelassenen Prüfern zum Problem.

Österreich hat einen späteren Zeitplan, aber ähnlichen Druck. Das österreichische NISG 2026 trat Ende 2025 in Kraft, die Hauptbestimmungen gelten aber erst später im Jahr. Experten warnen jedoch vor Sorglosigkeit: Die „Rückwirkungsfristen“ für die Meldung von Vorfällen und die Dokumentation des Risikomanagements werden voraussichtlich rückwirkend ab dem Stichtag der Durchsetzung gelten.

Hintergrund: Bedrohungslage verschärft sich

Die Dringlichkeit dieser gesetzlichen Entwicklungen wird durch die sich verschlechternde Bedrohungslage untermauert. Daten der Kanzlei DLA Piper zeigen, dass die tägliche Durchschnittszahl gemeldeter Datenschutzverletzungen in Europa auf 443 angestiegen ist – ein Plus von 22 Prozent im Vergleich zum Vorjahr.

Dieser Kontext erklärt den aggressiven Durchsetzungskurs der nationalen Behörden. Cybersicherheit wird nicht länger als technisches Problem, sondern als Kernaufgabe der Unternehmensführung betrachtet. Die Zunahme von Angriffen, angetrieben durch geopolitische Spannungen und KI-gestützte Attacken, zwingt die Gesetzgeber zum schnellen Handeln.

Ausblick: Der Frühling wird durchgreifend

Das zweite Quartal 2026 wird in Mitteleuropa den Übergang von der Vorbereitung zur Abwehr markieren.

Was im März 2026 zu erwarten ist:
Deutschland: Das BSI wird voraussichtlich kurz nach dem 6. März Mahnungen an nicht registrierte Unternehmen versenden.
Polen: Das finale Inkrafttreten des nationalen Cybersicherheitsgesetzes steht bevor und löst sofortige Compliance-Fristen für die Bewertung von Hochrisiko-Lieferanten aus.
EU-Ebene:* Die von der EU-Kommission vorgeschlagenen „gezielten Änderungen“ an NIS2 könnten den Anwendungsbereich für grenzüberschreitende Sektoren wie digitale Brieftaschen weiter präzisieren.

Die Botschaft der Rechtsberater an die Wirtschaft ist eindeutig: Die Schonfrist ist vorbei. Wo in Deutschland die persönliche Haftung von Direktoren bereits Realität ist und in Polen bevorsteht, hat Cybersicherheits-Compliance endgültig Vorstands-Priorität.