Seit dem 6. Dezember 2025 sind die Vorgaben der NIS2-Richtlinie in deutsches Recht umgesetzt. Viele Unternehmen, die kritische Dienste erbringen oder entsprechende Tätigkeiten ausüben, müssen seither unternehmensweit Cybersicherheits-Risikomanagement etablieren – von Prozessen über Lieferketten bis hin zur Geschäftsleitung. Kaum ist die Umsetzung in Deutschland formal abgeschlossen, legt die EU-Kommission nach: Am gestrigen Dienstag stellte sie ein neues Cybersicherheitspaket vor – inklusive Vorschlägen zur Änderung der NIS2-Richtlinie. Einige der Änderungsvorschläge haben es in sich und dürften unmittelbare Auswirkungen auf Unternehmen haben.

Bislang gilt: Reguliert wird vor allem, wer mindestens ein mittelständisches Unternehmen ist – je nach Sektor dann als „wichtige“ oder sogar als „wesentliche“ Einrichtung. Letztere Kategorie bringt intensivere Aufsicht und zusätzliche Nachweispflichten mit sich. Die Kommission will nun eine neue Zwischenkategorie schaffen: kleine Midcap-Unternehmen („small mid-caps“). Gemeint sind Unternehmen, die keine KMU mehr sind, aber unter 750 Beschäftigte haben und entweder höchstens 150 Mio. Euro Umsatz oder eine Bilanzsumme von höchstens 129 Mio. Euro.

Der praktische Effekt: Small Mid-Caps sollen grundsätzlich nicht mehr als wesentliche Einrichtungen gelten, nur weil sie Tätigkeiten aus Anhang I ausüben – sondern im Regelfall „nur“ als wichtige Einrichtungen. Das dürfte die Zahl der wesentlichen Einrichtungen spürbar reduzieren.

Stromerzeuger und Chemie

In den Erwägungsgründen räumt die Kommission ungewöhnlich offen ein, dass es bei der NIS2-Richtlinie erhebliche Rechtsunsicherheit gibt. Besonders umstritten ist beispielsweise die Reichweite bei Elektrizitätserzeugern – bis hin zur Frage, ob bereits kleine Photovoltaikanlagen die Betroffenheit auslösen können. Der Änderungsvorschlag zieht hier eine klare Schwelle: Erfasst werden sollen nur noch Elektrizitätserzeuger ab 1 MW.

Eher technisch, aber wichtig für die Abgrenzung: Im Bereich „Produktion, Herstellung und Handel mit chemischen Stoffen“ wird ein Verweisfehler korrigiert. Künftig sollen hier nur noch Hersteller und Händler erfasst sein, deren Produkte nach der REACH-Verordnung registrierungspflichtig sind.

Dual-Use-Infrastruktur neu erfasst

Neu soll strategische Dual-Use-Infrastruktur erfasst werden. Das ist Infrastruktur mit doppeltem Verwendungszweck, also zivil und militärisch. Vorgesehen ist eine größenunabhängige Einbeziehung von Eigentümern, Betreibern und Verantwortlichen. Entscheidend ist jedoch: Die Mitgliedstaaten müssen erst festlegen, welche Infrastruktur überhaupt darunterfällt. Ohne eine nationale Festlegung entsteht selbst bei Umsetzung des EU-Vorschlags keine automatische Betroffenheit.

Die Kommission will außerdem die Einhaltung erleichtern: Künftig könnte Cybersicherheits-Compliance über europäische Zertifizierungen nachgewiesen werden. Mitgliedstaaten sollen wichtige und wesentliche Einrichtungen dazu verpflichten können. Außerdem adressiert die Kommission ein bekanntes Praxisproblem: Lieferanten und Dienstleister regulierter Unternehmen werden häufig mit Fragebögen und Informationsanforderungen überzogen. Geplant sind Leitlinien, um Doppelarbeit zu reduzieren.

Auffällig ist, was unverändert bleibt: Bei Managed (Security) Service Providern sowie Cloud-Computing- und Rechenzentrumsdiensten sieht die Kommission keine Anpassungen vor. Das spricht dafür, dass die Betroffenheit konzerninterner IT-Strukturen grundsätzlich gewollt ist.

Noch ist es nur ein Vorschlag

Aktuell liegt nur ein Vorschlag der EU-Kommission vor. An der Rechtslage hat sich unmittelbar nichts geändert – und selbst bei Inkrafttreten in der EU wäre für Unternehmen weiterhin entscheidend, was die nationalen Umsetzungsgesetze regeln. Solange nationale Regelungen nicht angepasst werden, greifen mögliche Erleichterungen nicht.

Gerade mit Blick auf die bereits zähe NIS2-Umsetzung in Deutschland ist offen, wie schnell die nationale Gesetzgebung in diesem Fall angepasst würde. Denkbar ist aber, dass einzelne Elemente – etwa die 1-MW-Schwelle – schon vorher bei der Auslegung bestehender Vorschriften (zum Beispiel § 28 Abs. 3 BSIG) mittelbar eine Rolle spielen könnten.

(axk)

Google hat damit begonnen, Android Auto auf Version 16.0.660224 zu hieven. Das Update bringt vor allem einen schon im Mai 2025 versprochenen überarbeiteten Mediaplayer. Einige bekannte Baustellen hat Google derweil noch nicht adressiert.

Neuer Mediaplayer

Nachdem Google im November damit begonnen hatte, wie im Mai angekündigt, den Google Assistant durch Gemini zu ersetzen, zieht nun der Mediaplayer im neuen Design in Android Auto ein. Wie 9to5 Google schreibt, hat Google den neuen Look schon seit einiger Zeit vorbereitet und ihn zuerst Beta-Testern zur Verfügung gestellt.

Das neue Design ordnet die Bedienoberfläche ein wenig um: So ist die Wiedergabe-/Pause-Taste nun in der unteren linken Ecke, daneben befinden sich die Titelsteuerung und weitere Funktionen. Das neue Layout soll unter anderem die Bedienung während der Fahrt verbessern.

Mit dem Update ziehen auch Änderungen in Apps wie Spotify und Pocket Casts ein. Spotify bekommt unter anderem neue Material-You-Design-Elemente und übernimmt entsprechend dem dynamischen App-Thema die jeweiligen Farben der aktuell laufenden Albencover.

Support für Video- und Browser-Apps

Google hatte im Zuge der Ankündigung auf der I/O auch Android-Auto-Support für Video- und Browser-Apps angekündigt. Damit soll es Nutzern möglich sein, über den Infotainment-Bildschirm des Fahrzeugs per Browser im Web zu surfen und Filme oder Serien zu schauen. Diese Apps werden gesetzlichen Sicherheitsvorkehrungen entsprechend nur unter bestimmten Bedingungen funktionieren.

Dieses Versprechen hat der Konzern derweil noch nicht eingelöst. Damals hatte das Unternehmen jedoch keinen konkreten Zeitrahmen genannt, nur ein „kommt bald“. Immerhin: Die ebenso im Mai angekündigte Spotify-Jam-Funktion für Android Auto steht seit Juli 2025 zur Nutzung bereit. Mit der Funktion können Fahrer gemeinsam mit Mitfahrern die Musik-Playlist gestalten.

Bugs auf Googles Liste

Während neue Funktionen meist willkommen sind, verhält es sich genauso mit Bugfixes. Und hier scheint Google bei Android Auto noch allerhand zu tun zu haben. In Googles Supportforum weist die Liste der noch zu bearbeitenden Android-Auto-Fehler etwa Verbindungsprobleme mit den Smartphone-Modellen Pixel 10 und Galaxy S25 auf, ebenso sollen Sprachbefehle mit Googles neuester Smartphonegeneration nicht immer funktionieren.

Zudem soll die Seitenleiste von TomTom bei der Verwendung von Android Auto nicht angezeigt werden. Außerdem könne es vorkommen, dass der Assistent mit der Fehlermeldung „Hoppla, etwas ist schiefgelaufen“ antwortet. Wann Google die Fehler behebt, ist unklar.

Das aktuelle Update auf Android 16.0 verteilt Google schrittweise. In der Regel dauert es eine Weile, bis es alle Nutzer erhalten. Auf einem Redaktionsgerät läuft etwa noch Android Auto-Version 15.9.655114.

(afl)

In einem Bericht warnt OpenAI, die Kluft zwischen dem, was KI kann und dem, wie KI bisher eingesetzt wird, müsse verringert werden. Sonst droht nichts Geringeres als der Wohlstandsverlust. KI könne Aufgaben schneller erledigen als ein Mensch und Menschen effizienter machen, heißt es in dem Bericht.

So weit, so KI-PR-Sprech. Und sicherlich oftmals auch wahr. Dass Künstliche Intelligenz aber vielleicht auch noch nicht überall einsatzbereit ist, davon will OpenAI offenbar nichts wissen. Und dass die vermehrte Nutzung vor allem auch OpenAI selbst zugutekäme, wird in dem Bericht ebenfalls nicht behandelt.

In dem Bericht (PDF) steht: „Allerdings führen verbesserte Fähigkeiten allein nicht zu Produktivitätsvorteilen oder wirtschaftlichen Auswirkungen.“ Dafür müssten KI-Tools von Unternehmen und Ländern noch viel tiefer in Arbeitsabläufe integriert werden. Dass eine vermehrte Nutzung positiven Einfluss auf die Produktivität hat, belegt OpenAI mit einem anderen Bericht von OpenAI, den die Firma vor einigen Wochen herausgebracht hat.

Erneut setzt OpenAI die Nutzung von Thinking-Fähigkeiten in ChatGPT damit gleich, dass jemand auch produktiver ist als Personen, die nur einfacher zu beantwortende Fragen an den Chatbot stellen. „Führende Länder nutzen drei Mal mehr Fähigkeiten im tieferen Denken als Länder, die das weniger nutzen“, schreibt OpenAI. Die Denkfähigkeit besteht aus der Anzahl der Reasoning-Token, die in einem Land genutzt wurden.

Freilich ist zu bedenken, dass Ländern andere KI-Modelle zur Verfügung stehen, deren Nutzung OpenAI nicht einsehen kann. Was man also tatsächlich aus dem Bericht ablesen kann, ist, dass etwa in Singapur mehr Anfragen zum Coden an ChatGPT gestellt werden als in anderen Ländern. Die Nutzung von KI-Modellen kann sich sicherlich positiv auf die Produktivität eines Unternehmens auswirken, vielleicht sogar auf die Wirtschaft eines Landes – es lässt sich aber nicht aus den von OpenAI genannten Zahlen ableiten, schon gar nicht ein Kausalzusammenhang.

Und auch die folgenden Zahlen von OpenAI, die bescheinigen sollen, dass mehr Menschen mehr KI-Funktionen nutzen müssen, lassen Fragen offen. Demnach haben 19 Prozent der ChatGPT Enterprise Nutzer noch nie die Datenanalyse genutzt. Das ist in den Augen von OpenAI problematisch. Diese 19 Prozent können aber auch in einem Feld arbeiten, in dem sie gar keine Daten analysieren müssen oder können.

OpenAI will „too big to fail“ werden

Die finanziellen Schwierigkeiten von OpenAI sind bekannt. Abomodelle reichen nicht aus, um die Kosten zu decken. Nun soll Werbung in ChatGPT einziehen. Etwas, mit dem auch andere Unternehmen wie Google und Meta riesig und reich geworden sind, aber nicht unbedingt den Nutzern gefällt. Im Fall von KI und Chatbots haben die Nutzer Alternativen – nämlich unter anderem von besagten Unternehmen Meta und Google.

Für OpenAI liegt eine große Chance darin, „too big to fail“ zu werden, also zu groß, um wieder zu verschwinden. Wenn nur ausreichend Regierungen und Unternehmen auf die Dienste setzen, werden diese auch vieles daran setzen, dass OpenAI nicht pleitegeht. Ein Wechsel wäre schließlich aufwendig und teuer. „Unser Nordstern ist es, dass KI als unverzichtbare Infrastruktur behandelt wird und möglichst vielen Menschen ein breiter Zugang zu KI gewährt werden kann.“

Entsprechend macht OpenAI in dem Bericht auch Werbung für das „OpenAI for Countries“-Programm. Man wolle mit Ländern und Unternehmen zusammenarbeiten und ihnen die eigenen Dienste anbieten, angepasst an die Bedürfnisse eines jeden Landes – ganz uneigennützig, „um noch mehr Menschen die Vorteile von KI zur Verfügung zu stellen.“ Das Programm beinhaltet Unterstützung bei der Einführung von KI in Bildungseinrichtungen, was nun unter dem Namen „Education for Countries“ ein eigenständiger Bereich ist.

Zudem möchte das Unternehmen Zertifizierungen anbieten und gemeinsam Cyber-Sicherheitsmaßnahmen aufbauen sowie im Gesundheitswesen eingesetzt werden. OpenAI bekäme also Zugang zu nahezu allen kritischen und zukunftsweisenden Infrastrukturen verschiedenster Länder.

In Deutschland gibt es bereits eine Partnerschaft zwischen OpenAI und SAP, bei der es auch um den Einsatz von KI zu Regierungszwecken geht. „Das Ziel: den Beamten mehr Zeit geben, sich auf die Menschen zu konzentrieren, nicht auf Papierkram, und sicherstellen, dass Zugang und Vorteile breit geteilt werden.“

(emw)