NIS2-Richtlinie: EU verschärft Cybersicherheit, Datenschützer warnen

Die EU treibt die Cybersicherheit mit der aktiven Durchsetzung der NIS2-Richtlinie voran – doch Datenschützer mahnen zur Vorsicht. Während Unternehmen mit strengen Fristen kämpfen, wird die Regelung selbst bereits nachgebessert.

Vollzugsphase läuft: Fristen und hohe Bußgelder

Die NIS2-Richtlinie ist keine Absichtserklärung mehr, sondern harte Realität. Die Schonfrist für viele betroffene Unternehmen ist abgelaufen. Ein zentraler Meilenstein steht am 30. Juni 2026 an: Dann müssen viele als „wesentlich“ eingestufte Unternehmen ihren ersten formellen NIS2-Compliance-Audit vorlegen. Damit will die EU von theoretischer Vorbereitung zu überprüfbarer operativer Sicherheit kommen.

Angesichts der verschärften EU-Richtlinien und drohender Bußgelder bei Sicherheitsversagen müssen Unternehmen ihre IT-Strategie heute proaktiv absichern. Dieser kostenlose Leitfaden zeigt Geschäftsführern, wie sie die IT-Sicherheit stärken und aktuelle gesetzliche Anforderungen ohne Budget-Explosion erfüllen. Experten-Report zur Cyber Security 2024 gratis herunterladen

Herzstück ist die seit 2026 voll wirksame 24-Stunden-Meldepflicht für signifikante Cybervorfälle. Nationale Umsetzungen schreiten voran: In Deutschland lief die Registrierungsfrist auf der Plattform des Bundesamts für Sicherheit in der Informationstechnik (BSI) bereits am 6. März 2026 aus. Verstöße können Bußgelder von bis zu 500.000 Euro nach sich ziehen. In Polen tritt das geänderte Gesetz zur nationalen Cybersicherheit am 3. April 2026 in Kraft. Der Anwendungsbereich der Richtlinie reicht inzwischen weit über IT-Firmen hinaus und umfasst Branchen wie Lebensmittel, Fertigung und Abfallwirtschaft.

Geplante Änderungen: Entlastung für Mittelstand und neue Regeln

Noch während die Unternehmen die aktuellen Vorgaben umsetzen, feilt die EU-Kommission bereits an Nachbesserungen. Ein Änderungsvorschlag, der bis Ende März zur Konsultation stand, zielt auf gezielte Anpassungen ab. Ein wichtiger Punkt: Eine neue Größenschwelle für „wesentliche Unternehmen“. Kleine Mittelständler mit über 750 Mitarbeitern und einem Umsatz bis zu 150 Millionen Euro sollen so von der strengsten Aufsicht entlastet werden.

Zudem soll eine anerkannte Cybersicherheits-Zertifizierung den Compliance-Nachweis erleichtern. Zertifizierte Organisationen könnten sich dann regelmäßige Inspektionen und Audits durch Behörden ersparen. Gleichzeitig wird der Geltungsbereich angepasst: Kleine DNS-Dienstleister und bestimmte Stromerzeuger fallen heraus. Neu hinzukommen sollen unter anderem Anbieter europäischer Digitaler Identitäts- und Geschäftswallets. Die finalen Beschlüsse zu diesen Änderungen werden für Anfang 2027 erwartet.

Konflikt mit dem Datenschutz: Gemeinsame Stellungnahme warnt

In einer bedeutenden Stellungnahme vom 18. März 2026 warnen der Europäische Datenschutzausschuss (EDPB) und der Europäische Datenschutzbeauftragte (EDPS) vor Zielkonflikten. Sie unterstützen zwar das Ziel einer stärkeren Cybersicherheit, mahnen aber den Schutz der Grundrechte, insbesondere der Privatsphäre, an.

Neben der Cybersicherheit bleibt die lückenlose DSGVO-Dokumentation eine kritische Pflicht, um Bußgelder von bis zu 2 % des Jahresumsatzes zu vermeiden. Mit dieser kostenlosen Excel-Vorlage erstellen Sie Ihr rechtssicheres Verarbeitungsverzeichnis nach Art. 30 DSGVO zeitsparend und prüfungssicher. Kostenlose Excel-Vorlage und Anleitung sichern

Besondere Sorge gilt einer möglichen Ausweitung der Befugnisse der EU-Agentur für Cybersicherheit (ENISA), große Mengen personenbezogener Daten zu verarbeiten. Dies müsse gesetzlich klar definiert und mit ausreichenden Schutzvorkehrungen versehen sein. Die Idee einer zentralen Meldestelle für Cybersicherheitsvorfälle begrüßen die Behörden grundsätzlich, da sie den bürokratischen Aufwand verringert. Sie betonen jedoch, dass solche Maßnahmen verhältnismäßig bleiben müssen. Die Stellungnahme unterstreicht den schwierigen Balanceakt der EU zwischen mehr Sicherheit und dem Schutz der Privatsphäre.

Ausblick: Dynamischer Prozess in unsicherer Bedrohungslage

Die kommenden Monate werden weitere Klarheit über die geplanten NIS2-Änderungen bringen. Der anhaltende Dialog zwischen Cybersicherheits- und Datenschutzbehörden wird die Umsetzung prägen. Für Unternehmen ist die Botschaft klar: Cybersicherheit ist keine rein technische Übung mehr, sondern ein zentraler Bestandteil des Risikomanagements und der Unternehmensführung. Geschäftsführer können persönlich für Sicherheitsversagen haftbar gemacht werden.

Angesichts immer raffinierterer Cyberangriffe und neuer Bedrohungen wie der Quantencomputer-Kryptografie passt die EU ihren Rechtsrahmen ständig an. Der Weg zu einem digital widerstandsfähigen Europa ist ein dynamischer Prozess – getrieben von legislativen Nachbesserungen und einem schärferen Fokus auf die praktische Umsetzung.

boerse | 69001178 |