EU-Kommission verschärft NIS2-Richtlinie und erleichtert Compliance

Die EU-Kommission hat die Weichen für eine neue Phase der Cybersicherheit gestellt. Mit gezielten Änderungen an der NIS2-Richtlinie will Brüssel den Verwaltungsaufwand für Unternehmen senken – und gleichzeitig die Durchsetzung verschärfen. Die Konsultationen dazu endeten Ende März, nun rücken praktische Umsetzung und grenzüberschreitende Verantwortung in den Fokus.

Die Anpassungen, die im Januar 2026 als Teil eines größeren „Cybersecurity-Pakets“ vorgestellt wurden, reagieren auf praktische Hürden seit der Umsetzungsfrist im Oktober 2024. Ziel ist eine bessere Abstimmung mit der geplanten Digital-Omnibus-Verordnung und dem überarbeiteten Cybersecurity Act.

Angesichts der verschärften EU-Vorgaben rückt der Schutz vor digitalen Angriffen für mittelständische Unternehmen verstärkt in das Zentrum der Compliance-Pflichten. Dieses kostenlose E-Book unterstützt Sie dabei, Sicherheitslücken ohne teure Investitionen zu schließen und aktuelle gesetzliche Anforderungen proaktiv zu erfüllen. IT-Sicherheit stärken und Unternehmen schützen

Weniger Bürokratie für den Mittelstand

Ein Kernziel der Reform ist die Entlastung von etwa 28.700 betroffenen Unternehmen in der EU, darunter rund 6.200 Kleinst- und Kleinunternehmen. Dafür führt Brüssel eine neue Kategorie ein: den „kleinen Mittelstand“. Firmen mit mehr als 750 Mitarbeitern, aber einem Umsatz von bis zu 150 Millionen Euro, werden künftig als „wichtige“ statt als „wesentliche“ Einheiten eingestuft.

Für sie gelten damit lockerere Aufsichtsvorschriften, während die grundlegenden Sicherheitspflichten bestehen bleiben. Die EU erwartet, dass diese Änderung die Verwaltungskosten insgesamt um etwa 25 Prozent senkt – für KMU sogar um bis zu 35 Prozent.

Zudem soll eine zentrale EU-weite Meldestelle für Sicherheitsvorfälle den „regulatorischen Irrgarten“ aus überlappenden Meldepflichten beseitigen. Die EU-Agentur für Cybersicherheit (ENISA) wird ein zentrales Register aller betroffenen Einheiten führen. Zertifizierungen nach EU-Schemata können künftig als „Fast-Track“ für die Compliance dienen und die Häufigkeit von Kontrollen verringern.

Flickenteppich bei der nationalen Umsetzung

Während die Richtlinie auf EU-Ebene weiterentwickelt wird, bleibt die nationale Umsetzung ein Flickenteppich. Belgien ging als Vorreiter voran und setzte die Regeln bereits im Herbst 2024 vollständig in Kraft. Das Centre for Cybersecurity Belgium (CCB) verlangt eine erste Warnung bei schwerwiegenden Vorfällen innerhalb von 24 Stunden und einen vollständigen Bericht binnen 72 Stunden.

Andere Mitgliedstaaten erreichen erst 2026 entscheidende Meilensteine:
* Schweden will die nationalen NIS2-Regeln ab dem 15. Januar 2026 vollständig durchsetzen.
* In den Niederlanden wird das Inkrafttreten für das zweite Quartal 2026 erwartet.
* Polen arbeitet noch an der Harmonisierung seines nationalen Cybersecurity-Gesetzes mit den EU-Standards.

Für die Wirtschaft markiert 2026 eine Zeitenwende: Die Aufsichtsbehörden wechseln von einer beratenden Rolle zu aktiven Prüfungen und Kontrollen. Verstöße gegen Meldepflichten oder Sicherheitsvorgaben können nun hohe Geldbußen nach sich ziehen – für wesentliche Einheiten bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.

ENISA-Report offenbart gravierende Sicherheitslücken

Ein aktueller Bericht der ENISA vom März 2026 zeigt die praktischen Herausforderungen deutlich auf. Für 70 Prozent der 1.080 befragten europäischen Organisationen ist Compliance der Haupttreiber für Cybersecurity-Ausgaben. Doch zwischen Theorie und Praxis klafft eine Lücke: Fast 30 Prozent der Befragten hatten im vergangenen Jahr keine formale Sicherheitsbewertung durchgeführt. 28 Prozent brauchten mehr als drei Monate, um kritische Schwachstellen zu schließen.

Während die Cyber-Abwehr technisch aufgerüstet wird, nutzen Angreifer oft die menschliche Komponente durch gezielte psychologische Manipulationstaktiken aus. Der kostenlose Leitfaden zum Anti-Phishing zeigt in vier Schritten, wie Unternehmen aus Verwaltung, Handel und Produktion solche Angriffe effektiv unterbinden können. Anti-Phishing-Paket für Unternehmen jetzt gratis sichern

Das Management von Sicherheitslücken ist für die Hälfte der Unternehmen die größte Herausforderung, gefolgt von der Geschäftskontinuität (49%). Die Sicherheit der Lieferkette rückt als kritisches Risiko in den Fokus: 37 Prozent der Befragten haben Schwierigkeiten, sie zu managen, 47 Prozent stufen sie als prioritäre Bedrohung ein.

Als Antwort darauf stellte die EU im Februar 2026 eine neue „Toolbox für die Sicherheit der IKT-Lieferkette“ vor. Sie soll Mitgliedstaaten und Unternehmen einen einheitlichen Ansatz zur Risikobewertung von Dienstleistern bieten. Die Richtlinie verpflichtet Organisationen nun, die Cybersicherheitsreife ihrer Zulieferer zu bewerten – und erweitert so den regulatorischen Radius auf den gesamten Ökosystem einer kritischen Dienstleistung.

Cybersicherheit wird Chefsache mit persönlicher Haftung

Die Entwicklung der NIS2-Richtlinie unterstreicht einen grundlegenden Wandel: Cybersicherheit ist keine rein technische Frage mehr, sondern ein geschäftskritisches Risiko mit klarer Führungsverantwortung. Die Geschäftsleitung muss Sicherheitsmaßnahmen genehmigen und deren Umsetzung überwachen.

Aufsichtsbehörden betonen, dass „Unwissenheit keine Entschuldigung“ mehr für mangelnde Sicherheit sei. Bei Fahrlässigkeit drohen den Verantwortlichen persönliche Geldstrafen und zeitweise Berufsverbote. Dieser Fokus auf die Governance soll sicherstellen, dass Sicherheitsinvestitionen in die täglichen Abläufe und die Langzeitstrategie integriert werden – und nicht nur eine lästige Pflichtübung sind.

Erfolgreiche Unternehmen nutzen die Richtlinie als Katalysator für strukturelle Verbesserungen. Durch automatisierte Workflows und Echtzeit-Dashboards schaffen sie die Nachverfolgbarkeit und Nachweisführung, die für regulatorische Prüfungen nötig sind.

Der Gesetzgebungsprozess für die NIS2-Änderungen und die Digital-Omnibus-Verordnung soll Ende 2026 oder Anfang 2027 abgeschlossen sein. Die Mitgliedstaaten haben dann zwölf Monate Zeit, die überarbeiteten Regeln in nationales Recht umzusetzen.

Kurzfristig liegt der Fokus auf der Harmonisierung der Meldestandards und der Erweiterung des Geltungsbereichs. Neu hinzukommen sollen etwa Betreiber von Unterseedatenkabeln und Anbieter europäischer digitaler Identitäts-Wallets. Angesichts anhaltender hybrider Bedrohungen wird die EU wohl noch strengere Aufsicht über die IKT-Lieferkette und eine größere Betonung „souveräner“ Cloud-Infrastrukturen forcieren.

de | boerse | 69115251 |