Frankreich und Spanien wegen NIS2 an den EuGH verwiesen: Was Lieferanten jetzt tun sollten
Am 9. Juni 2026 verwies die Europäische Kommission Frankreich und Spanien an den Gerichtshof der Europäischen Union, weil sie NIS2 nicht in nationales Recht umgesetzt haben. Mehr als 18 Monate nach der Frist steht die Richtlinie bei den beiden größten Volkswirtschaften der EU noch immer nicht in den Gesetzbüchern — und nun ist das einzige Organ beteiligt, das einen Mitgliedstaat für die Missachtung von EU-Recht mit Geldstrafen belegen kann.
Wenn Sie Organisationen beraten, die in Frankreich oder Spanien tätig sind, ist das keine Geschichte über Brüsseler Verfahren. Sie verändert, wie Sie NIS2-Readiness-Arbeit in diesen Märkten jetzt abgrenzen sollten. Hier ist, was die Verweisung tatsächlich bedeutet und was Sie Ihren Kunden diese Woche sagen sollten.
Die Verweisung ist die Endstation, kein Warnschuss
Die Kommission geht nicht zuerst zum EuGH. Der Weg zu einer Verweisung ist lang und bewusst gewählt, und Frankreich und Spanien haben ihn nun vollständig zurückgelegt.
Die Umsetzungsfrist war der 17. Oktober 2024. Nur vier Mitgliedstaaten hielten sie ein. Die Kommission eröffnete am 28. November 2024 Vertragsverletzungsverfahren gegen 23 Länder mit förmlichen Mahnschreiben. Sie eskalierte am 7. Mai 2025 mit mit Gründen versehenen Stellungnahmen an 19 Regierungen — die förmliche „Sie haben zwei Monate Zeit"-Phase. Frankreich und Spanien standen auf dieser Liste, kamen nicht nach und wurden nun an den Gerichtshof verwiesen.
Die Verweisung ist die letzte Stufe. Der EuGH ist das einzige Organ, das einen Mitgliedstaat wegen Verstoßes gegen EU-Recht zur Zahlung verurteilen kann — durch Pauschalbeträge und tägliche Zwangsgelder, die anlaufen, bis das Recht korrigiert ist. Dieser finanzielle Druck lastet nun auf Paris und Madrid, was bedeutet, dass die nationale Umsetzung weitaus wahrscheinlicher 2026 erfolgt als sich erneut zu verschieben.
NIS2 Umsetzungsstatus nach Land (2025–2026)
Vollständig in Kraft
BelgienKroatienUngarnLitauenLettlandItalien6 LänderVerabschiedet — Ende 2025
DeutschlandTschechienFinnland3 LänderIn Bearbeitung — erwartet 2026
NiederlandeFrankreichSpanienPolenÖsterreichSchwedenIrland7 Länder
Frankreich und Spanien nahmen unterschiedliche Wege zum selben Ort
Die beiden Verzögerungen haben nicht dieselbe Ursache, und das ist relevant dafür, wie Sie den Zeitplan vorhersagen.
Spanien verabschiedete im Januar 2025 im Ministerrat einen Entwurf eines Cybersicherheitsgesetzes, doch der endgültige Text ist noch nicht veröffentlicht. Das Gesetz soll irgendwann 2026 in Kraft treten. Der Rahmen besteht auf dem Papier — was fehlt, ist die Verkündung.
Frankreich integrierte NIS2 in ein umfassenderes Gesetz zur Resilienz kritischer Infrastrukturen, ein breiteres Gesetzespaket, das noch nicht vollständig verkündet ist. Die Richtlinie ist an ein größeres, langsameres Vehikel gebunden, weshalb der Zeitpunkt für Frankreich schwerer einzuschätzen ist.
Für einen Berater lautet die praktische Lesart: Beide Länder werden fast sicher innerhalb von 12 Monaten geltendes Recht haben, und die EuGH-Verweisung macht weitere Verzögerungen politisch teuer. Behandeln Sie das Fehlen eines nationalen Gesetzes als Frage des Zeitpunkts, nicht als Grund zu warten.
„Noch kein nationales Gesetz" ist das Gefährlichste, was ein Kunde glauben kann
Das größte Risiko in Frankreich und Spanien ist derzeit der Kunde, der die Schlagzeilen liest und folgert, er habe eine Atempause. Hat er nicht.
NIS2-Pflichten ergeben sich nicht nur aus dem Land, in dem ein Unternehmen seinen Sitz hat. Wenn Ihr Kunde an Einrichtungen in Mitgliedstaaten verkauft, die bereits umgesetzt haben — Deutschland, Italien, Belgien, die Niederlande und der größte Teil des Blocks —, oder Infrastruktur für sie betreibt, gelten diese Pflichten bereits über die Lieferkette. Ein französischer Managed Service Provider, der deutsche wesentliche Einrichtungen bedient, wird heute um Nachweise nach Artikel 21 gebeten, unabhängig davon, was Frankreich verabschiedet hat oder nicht.
Die Lieferkettenbestimmungen der Richtlinie sind der Mechanismus. Wesentliche und wichtige Einrichtungen müssen die Sicherheit ihrer Lieferanten steuern, was bedeutet, dass sie vertragliche Sicherheitsanforderungen an Lieferanten weitergeben, unabhängig davon, wo diese ansässig sind. Die Pflicht kaskadiert von der konformen Rechtsordnung in die nicht konforme.
NIS2-Sanktionseskalation — Jenseits der Geldbuße
!Auslöser
Non-Compliance erkannt oder Vorfall tritt ein
Eine Aufsichtsbehörde identifiziert eine Compliance-Lücke oder eine Organisation erfüllt die NIS2-Anforderungen nicht
Behörden können verhängen▼Nicht-finanzielle Sanktionen1Anordnungen mit bindenden Fristen
2Verpflichtende Sicherheitsaudits auf eigene Kosten
3Öffentliche Bekanntmachung von Verstößen
4Bindende Anweisungen zu spezifischen Sicherheitsmaßnahmen
Eskaliert zu▼Betriebliche und persönliche Konsequenzen1Aussetzung von Zertifizierungen oder Betriebsgenehmigungen
2Vorübergehendes Verbot von Leitungsfunktionen für Personen
3Öffentliche Benennung verantwortlicher natürlicher Personen
AuslöserNicht-finanziellBetrieblich / persönlich
Die ehrliche Botschaft an einen französischen oder spanischen Kunden lautet also: Das nationale Gesetz kommt, Ihre Kunden in anderen Mitgliedstaaten sind bereits gebunden, und die vertraglichen Anforderungen erreichen Sie jetzt. Die Lücke zwischen „unser Land hat nicht umgesetzt" und „wir haben keine Pflichten" ist genau dort, wo unvorbereitete Organisationen erwischt werden.
Den Anwendungsbereich bestimmen, wenn der nationale Text noch nicht endgültig ist
Die Komplikation in Frankreich und Spanien ist, dass die endgültigen nationalen Definitionen — Sektoranhänge, Größenschwellen, die Trennlinie zwischen wesentlichen und wichtigen Einrichtungen — noch nicht feststehen. Die Bestimmung des Anwendungsbereichs stützt sich normalerweise auf die Besonderheiten des Umsetzungsgesetzes. Die haben Sie hier noch nicht.
Arbeiten Sie aus der Richtlinie selbst heraus. Die Sektorlisten von NIS2 und die Schwelle für mittlere Unternehmen (50+ Beschäftigte oder 10 Mio. €+ Umsatz, mit Ausnahmen für bestimmte kritische Anbieter ungeachtet der Größe) sind auf EU-Ebene festgelegt und werden sich bei der Umsetzung kaum ändern. Ein Kunde, der klar unter die Richtlinie fällt, fällt unter das französische oder spanische Gesetz. Bauen Sie die Readiness-Bewertung jetzt auf der Grundlinie der Richtlinie auf und behandeln Sie den späteren nationalen Text als Verfeinerung statt als Ausgangspunkt.
Gilt NIS2 für Ihre Organisation?
1Ist Ihre Organisation in einem wesentlichen oder wichtigen Sektor tätig (Energie, Verkehr, Gesundheit, digitale Infrastruktur usw.)?
Ja▼Nein▼2Beschäftigt Ihre Organisation 50 oder mehr Mitarbeiter oder erzielt einen Jahresumsatz von mehr als 10 Millionen Euro?
✗NIS2 gilt nicht unmittelbar für Ihre Organisation.
Ja▼Nein▼✓NIS2 gilt für Ihre Organisation als wesentliche oder wichtige Einrichtung.
3Ist Ihre Organisation ein Anbieter kritischer Infrastruktur oder ein qualifizierter Vertrauensdiensteanbieter?
Ja▼!NIS2 könnte für Ihre Organisation gelten — holen Sie rechtlichen Rat ein, um Ihren Status zu bestätigen.
1Ist Ihre Organisation in einem wesentlichen oder wichtigen Sektor tätig (Energie, Verkehr, Gesundheit, digitale Infrastruktur usw.)?
Ja ↓Nein →2Beschäftigt Ihre Organisation 50 oder mehr Mitarbeiter oder erzielt einen Jahresumsatz von mehr als 10 Millionen Euro?
Ja ↓Nein →3Ist Ihre Organisation ein Anbieter kritischer Infrastruktur oder ein qualifizierter Vertrauensdiensteanbieter?
Ja ↓Nein →✗NIS2 gilt nicht unmittelbar für Ihre Organisation.
✓NIS2 gilt für Ihre Organisation als wesentliche oder wichtige Einrichtung.
!NIS2 könnte für Ihre Organisation gelten — holen Sie rechtlichen Rat ein, um Ihren Status zu bestätigen.
GiltGilt möglicherweiseGilt nicht
Hier schützen Sie auch Ihre eigene Glaubwürdigkeit. Sagen Sie Kunden, welche Schlussfolgerungen feststehen (von der Richtlinie getrieben und unwahrscheinlich zu ändern) und welche vorläufig sind (abhängig von noch zu veröffentlichenden nationalen Besonderheiten). Eine auf der Richtlinie aufgebaute Gap-Analyse ist zu 90 % beständig; markieren Sie die 10 %, die sich verschieben können.
Was Sie diese Woche mit französischen und spanischen Kunden tun sollten
Die Verweisung ist ein Anstoß, keine Feuerübung. Konkrete Schritte:
Erfassen Sie zuerst die Exposition der Kunden. Listen Sie für jeden Kunden die Mitgliedstaaten auf, die seine Kunden und Aktivitäten berühren. Jede konforme Rechtsordnung auf dieser Liste bedeutet heute aktive Pflichten, nationales Gesetz hin oder her. Das ist meist der schnellste Weg, einem skeptischen Kunden zu zeigen, warum „wir warten auf das Gesetz" die falsche Haltung ist.
Führen Sie die Gap-Analyse gegen die Grundlinie der Richtlinie durch. Warten Sie nicht auf den nationalen Text. Die Maßnahmen nach Artikel 21 — Risikomanagement, Vorfallbehandlung, Geschäftskontinuität, Lieferkettensicherheit, Schwachstellenbehandlung, grundlegende Cyberhygiene, MFA — sind auf EU-Ebene und stabil. Bewerten Sie dagegen.
Bringen Sie die Vertragssprache für Lieferanten in Ordnung. Die Lieferkettenkaskade kommt über Verträge. Kunden, die neue Sicherheitsklauseln von ihren deutschen oder italienischen Abnehmern erhalten, müssen darauf antworten können. Kunden, die selbst wesentliche oder wichtige Einrichtungen sind, müssen damit beginnen, Anforderungen an ihre eigenen Lieferanten weiterzugeben.
Dokumentieren Sie die Readiness-Position jetzt, damit Ihr Kunde bei Veröffentlichung des französischen oder spanischen Gesetzes — wahrscheinlich mit kurzem Vorlauf bis zur Durchsetzung — von „beginnen" zu „nachweisen" übergeht, statt zu hetzen. Organisationen, die die Verzögerung als Verschnaufpause sahen, werden das Durchsetzungsfenster unangenehm eng finden.
Die EuGH-Verweisung sagt Ihnen, dass die Verzögerung endet. Die Mitgliedstaaten, die zögerten, sind gerade jene, deren Durchsetzung am schärfsten sein wird, sobald das Gesetz in Kraft tritt — eben weil die Kommission die Geduld bereits verloren hat. Positionieren Sie Ihre Kunden so, dass sie bereit sind, bevor der Text endgültig ist, nicht danach.
Wenn Sie eine schnelle, strukturierte Einschätzung wollen, ob ein Kunde in den Anwendungsbereich fällt und wo die größten Lücken liegen, lassen Sie ihn den NIS2-Readiness-Quick-Scan durchlaufen — er arbeitet aus der Grundlinie der Richtlinie heraus, genau das, was Sie brauchen, während Frankreich und Spanien ihre nationalen Gesetze fertigstellen.
Für das größere Bild, wie sich die Lieferkettenpflichten der Richtlinie zwischen Rechtsordnungen bewegen, siehe unseren Leitfaden zur NIS2-Lieferkettensicherheit und zu Lieferantenverträgen nach Artikel 21.