Am 22. Januar 2026 legte die EU-Kommission ein umfassendes Reformpaket im Rahmen des Cybersecurity Acts vor, das insbesondere mittelständische Unternehmen entlasten und klarere Regeln für kritische Infrastrukturen schaffen soll. Diese Initiative steht im Zusammenhang mit der neuen NIS2-Richtlinie, die am 1. Dezember 2025 in Deutschland in Kraft tritt. Ein zentrales Element dieser Richtlinie ist die Einführung einer neuen Unternehmensklasse, die sogenannten „Small Mid-Caps“, die Firmen mit 250 bis 750 Beschäftigten umfasst und Jahresumsätze von weniger als 150 Millionen Euro oder Bilanzsummen unter 129 Millionen Euro aufweist.
Durch die Schaffung der Small Mid-Caps wird eine wichtige Lücke zwischen klassischen kleinen und mittleren Unternehmen (KMU) sowie größeren mittelständischen Betrieben geschlossen. Dieses Unternehmen werden als „wichtige“ statt „wesentliche“ Einrichtungen klassifiziert, was bedeutet, dass sie nicht den schärfsten Aufsichtsinstrumenten und umfangreichen Dokumentationspflichten unterliegen. Diese Erleichterungen sind besonders relevant für die betroffenen Unternehmen.
Anpassungen im Reformpaket
Zu den weiteren wesentlichen Änderungen im Reformpaket gehört eine Anpassung der Anforderungen für den Energiesektor. So wurde eine Ein-Megawatt-Schwelle für Stromproduzenten festgelegt, unter der kleinere Anlagen nicht mehr unter die Richtlinie fallen. Auch im Chemiesektor müssen nur Hersteller und Händler, die REACH-registrierungspflichtige Produkte anbieten, die neuen Anforderungen erfüllen. Des Weiteren werden Mikro- und Kleinunternehmen im DNS-Bereich vom Anwendungsbereich der Regelung ausgeschlossen.
Die NIS2-Richtlinie wird auch die Sicherheitsgefahren, mit denen Unternehmen konfrontiert sind, umfassend berücksichtigen. Cyberkriminalität hat in den letzten Jahren zugenommen und Angriffe erfolgen zunehmend komplexer, unter anderem durch den Einsatz von Künstlicher Intelligenz und Deepfake-Technologie. Jeder sechste Cyberangriff auf Unternehmen war laut einer KPMG-Studie erfolgreich.
Verpflichtungen und Fristen für Unternehmen
Betroffene Einrichtungen müssen sich innerhalb von drei Monaten nach Inkrafttreten des NISG 2026 registrieren, wobei das Inkrafttreten für den 1. Oktober 2026 festgelegt ist. Ab dem 1. Januar 2027 ist eine Selbstdeklaration erforderlich. Bis zum 30. November 2028 muss der Nachweis über die Umsetzung der geforderten Risikomanagementmaßnahmen erbracht werden.
Die NIS2-Richtlinie schreibt verpflichtende Sicherheitsmaßnahmen sowie Meldepflichten bei Sicherheitsvorfällen vor. Zu den erforderlichen Maßnahmen gehören Risikoanalysen, das Management von Sicherheitsvorfällen und die Sicherstellung der Business Continuity. Zudem müssen Unternehmen Sicherheitspraktiken ihrer Zulieferer überprüfen und können sich an zertifizierten Standards wie ISO 27001 orientieren.
Die Änderungen in der NIS2-Richtlinie zielen darauf ab, ein hohes Cybersicherheitsniveau in der EU zu schaffen und reagieren auf Erfahrungen aus der bisherigen Umsetzung der NIS1-Richtlinie sowie auf neue Sicherheitsbedrohungen. Die EU-Agentur für Cybersicherheit (ENISA) wird eine koordinierende Rolle übernehmen, um die Cybersicherheitsrisiken besser zu überwachen und die Mitgliedstaaten zu unterstützen, was digital-strategy.ec.europa.eu bestätigt.
Insgesamt stellt die NIS2-Richtlinie einen bedeutenden Schritt in der Weiterentwicklung der Cybersicherheit in Europa dar, da sie nicht nur den Schutz vor Cyberbedrohungen erhöhen soll, sondern auch eine klare Struktur für die betroffenen Unternehmen schafft. Die Unternehmen sind daher gut beraten, die Entwicklungen aufmerksam zu verfolgen, um mögliche Herabstufungen und die damit verbundenen Erleichterungen rechtzeitig zu nutzen.
Für weitere Informationen zur NIS2-Richtlinie sowie zu den neuesten Entwicklungen im Cybersecurity-Bereich, können Leser die vollständigen Informationen bei it-daily.net und conova.com einsehen.