Frankreich 4 Min. Lesezeit

Frankreich: NIS2-Gesetz verzögert sich – Abstimmung im Nationalparlament erst im Juli 2026

Frankreich ist das letzte große EU-Land ohne endgültig verabschiedetes NIS2-Umsetzungsgesetz. Während Deutschland, Belgien, Polen, die Niederlande und die meisten anderen Mitgliedstaaten bereits operative Vollzugsbehörden haben, warten die rund 15.000 bis 18.000 betroffenen französischen Unternehmen weiterhin auf den finalen Rechtsrahmen.

Wo steht das Gesetzgebungsverfahren?

Der Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité – kurz Loi Résilience – bündelt in Frankreich die Anforderungen aus NIS2, der CER-Richtlinie und DORA in einem einzigen Gesetzesrahmen. Der Senat hatte das Gesetz bereits im März 2025 angenommen. Die Nationalversammlung hat die Abstimmung jedoch mehrfach verschoben; der Votumstermin ist nun für die außerordentliche Parlamentssitzung im Juli 2026 vorgesehen.

ANSSI handelt trotzdem: ReCyF ist da

Die französische Behörde ANSSI hat nicht auf das Gesetz gewartet: Am 17. März 2026 veröffentlichte sie das Référentiel Cyber France (ReCyF) – ein technisches Rahmenwerk, das konkrete Mindestanforderungen für Sicherheitsmaßnahmen, Risikobewertung und Meldeprozesse beschreibt. Das ReCyF gilt zwar noch nicht als verbindliches Recht, wird aber de facto den regulatorischen Standard setzen, an dem ANSSI die Konformität messen wird. Darüber hinaus ist das freiwillige Vorregistrierungsportal MesServicesCyber bereits aktiv: Unternehmen können sich bereits heute als potenzielle NIS2-Einrichtungen eintragen.

Was das für betroffene Unternehmen bedeutet

Sobald das Gesetz im Juli 2026 verabschiedet ist, wird der Zeitplan sehr eng:

  • ANSSI-Durchführungsverordnungen werden voraussichtlich Q3/Q4 2026 folgen.
  • Pflichtige Einrichtungen haben dann 3 Jahre Übergangszeit für die vollständige Konformität – jedoch mit sofortiger Wirkung für Registrierung und Meldepflichten.
  • Bußgelder können bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes betragen.

Unternehmen, die mit dem ReCyF bereits eine Gap-Analyse durchführen, werden nach dem Inkrafttreten erheblich besser aufgestellt sein als jene, die erst dann mit der Vorbereitung beginnen.

Sofortmaßnahmen für französische Unternehmen

  1. ReCyF-Anforderungen lesen und Gap-Analyse gegen aktuelle Sicherheitspraktiken durchführen.
  2. Auf MesServicesCyber vorregistrieren.
  3. Incident-Response-Prozesse auf das NIS2-Meldeformat (24h/72h/1 Monat) vorbereiten.
  4. Governance-Dokumentation (Managementbeschlüsse, Schulungsnachweise) aufbauen.
Weiterführende Links

Sind Sie von NIS2 betroffen?

Prüfen Sie in 2 Minuten kostenlos, ob Ihr Unternehmen unter die NIS2-Richtlinie fällt.

Kostenloser NIS2-Check NIS2-Vorlagen ansehen
Artikel teilen