NIS2-Reform: EU schafft neue „Small Mid-Cap“-Kategorie für Mittelstand

Die EU-Kommission will mit einer neuen Unternehmenskategorie über 22.000 mittelständische Betriebe von den strengen Cybersicherheitsvorgaben der NIS2-Richtlinie entlasten. Die überraschende Ankündigung kommt nur wenige Wochen nach dem Inkrafttreten der nationalen Umsetzungsgesetze.

Brüssel reagiert damit direkt auf massive Kritik aus der Wirtschaft. In Deutschland hatte das NIS-2-Umsetzungsgesetz den Kreis der regulierten Unternehmen von rund 4.500 auf etwa 30.000 ausgeweitet. Vor allem Betriebe am unteren Ende der Schwelle fürchteten einen kaum zu bewältigenden bürokratischen und finanziellen Aufwand.

Im Zentrum des Reformpakets steht eine neue Definition. Als „Small Mid-Cap“ sollen künftig Unternehmen gelten, die zwischen 250 und 750 Mitarbeiter beschäftigen. Zusätzlich darf entweder der Jahresumsatz 150 Millionen Euro oder die Jahresbilanzsumme 129 Millionen Euro nicht überschreiten.

73% der deutschen Unternehmen sind laut aktuellen Studien nicht ausreichend gegen Cyberangriffe geschützt — und neue Regelungen wie NIS2 erhöhen jetzt Compliance-Anforderungen für viele Mittelständler. Das kostenlose E‑Book “Cyber Security Awareness Trends” erklärt praxisnah, welche Sofortmaßnahmen IT‑Verantwortliche und Geschäftsführungen umsetzen sollten, wie Awareness‑Lücken geschlossen werden und welche Schritte sich auch mit kleinem Budget realisieren lassen. Jetzt Cyber-Security-Report herunterladen

Diese Neueinstufung hat eine entscheidende Konsequenz: Die betroffenen Firmen werden in kritischen Sektoren nicht mehr automatisch als „wesentliche“ Einrichtungen eingestuft. Stattdessen gelten sie standardmäßig nur noch als „wichtige“ Einrichtungen. Das befreit sie von den intensivsten Aufsichtsmechanismen und den umfangreichsten Dokumentationspflichten.

Warum reagiert Brüssel so schnell?

Seit der Verabschiedung der NIS2-Richtlinie 2022 warnten Wirtschaftsverbände vor einer Überforderung des Mittelstands. Die pauschalen Schwellenwerte trafen ressourcenbegrenzte Betriebe besonders hart. Die EU-Kommission scheint diese Kritik nun ernst zu nehmen.

Ziel ist eine bessere Balance zwischen Sicherheit und Praktikabilität. Die Idee einer Zwischenkategorie ist nicht ganz neu. Ähnliche Überlegungen gab es bereits bei der Regulierung Künstlicher Intelligenz (AI Act), um eine Überregulierung zu vermeiden.

Weitere Erleichterungen im Paket

Neben der neuen Kategorie enthält das Cybersicherheits-Paket weitere Präzisierungen. So soll im Energiesektor eine klare Schwelle von einem Megawatt für Stromproduzenten gelten. Kleinere Anlagen würden damit aus dem Anwendungsbereich fallen.

Ein weiteres Ziel: Die Reform will verhindern, dass Mitgliedstaaten über die EU-Vorgaben hinausgehende, nationale Sonderregeln erlassen. Das würde besonders grenzüberschreitend tätigen Unternehmen Planungssicherheit geben.

Was bedeutet das für deutsche Unternehmen?

Die schnelle Reaktion Brüssels wird als positives Zeichen gewertet. Sie zeigt, dass die EU bereit ist, auch komplexe Gesetze nachzujustieren, um der wirtschaftlichen Realität gerecht zu werden.

Doch für die Betriebe ändert sich vorerst nichts. Der Vorschlag muss das ordentliche Gesetzgebungsverfahren mit Parlament und Rat durchlaufen. Anschließend muss die geänderte Richtlinie erneut in nationales Recht – also das deutsche NIS2UmsuG – überführt werden.

Betroffene Unternehmen sollten ihre bestehenden Pflichten daher weiter erfüllen. Den weiteren Prozess in Brüssel gilt es jedoch genau zu verfolgen. Die geplante Entlastung könnte das Vertrauen des Mittelstands in die europäische Gesetzgebung deutlich stärken.

PS: Die EU passt Regeln wie NIS2 und verschiedene KI‑Standards schnell an — ist Ihr Unternehmen wirklich vorbereitet? Das Gratis‑E‑Book fasst die relevanten gesetzlichen Anforderungen kompakt zusammen, zeigt konkrete Maßnahmen gegen Phishing und Social‑Engineering und liefert eine Prioritätenliste für IT‑ und Geschäftsführungsteams in mittelständischen Betrieben. Ideal, um Compliance und praktische Cyber‑Hygiene miteinander zu verbinden. Kostenlosen Cyber‑Security‑Guide sichern