Cybersicherheit: EU-Kommission schraubt weiter an der NIS2-Richtlinie

Seit dem 6. Dezember 2025 sind die Vorgaben der NIS2-Richtlinie in deutsches Recht umgesetzt. Viele Unternehmen, die kritische Dienste erbringen oder entsprechende Tätigkeiten ausüben, müssen seither unternehmensweit Cybersicherheits-Risikomanagement etablieren – von Prozessen über Lieferketten bis hin zur Geschäftsleitung. Kaum ist die Umsetzung in Deutschland formal abgeschlossen, legt die EU-Kommission nach: Am gestrigen Dienstag stellte sie ein neues Cybersicherheitspaket vor – inklusive Vorschlägen zur Änderung der NIS2-Richtlinie. Einige der Änderungsvorschläge haben es in sich und dürften unmittelbare Auswirkungen auf Unternehmen haben.

Bislang gilt: Reguliert wird vor allem, wer mindestens ein mittelständisches Unternehmen ist – je nach Sektor dann als „wichtige“ oder sogar als „wesentliche“ Einrichtung. Letztere Kategorie bringt intensivere Aufsicht und zusätzliche Nachweispflichten mit sich. Die Kommission will nun eine neue Zwischenkategorie schaffen: kleine Midcap-Unternehmen („small mid-caps“). Gemeint sind Unternehmen, die keine KMU mehr sind, aber unter 750 Beschäftigte haben und entweder höchstens 150 Mio. Euro Umsatz oder eine Bilanzsumme von höchstens 129 Mio. Euro.

Der praktische Effekt: Small Mid-Caps sollen grundsätzlich nicht mehr als wesentliche Einrichtungen gelten, nur weil sie Tätigkeiten aus Anhang I ausüben – sondern im Regelfall „nur“ als wichtige Einrichtungen. Das dürfte die Zahl der wesentlichen Einrichtungen spürbar reduzieren.

Stromerzeuger und Chemie

In den Erwägungsgründen räumt die Kommission ungewöhnlich offen ein, dass es bei der NIS2-Richtlinie erhebliche Rechtsunsicherheit gibt. Besonders umstritten ist beispielsweise die Reichweite bei Elektrizitätserzeugern – bis hin zur Frage, ob bereits kleine Photovoltaikanlagen die Betroffenheit auslösen können. Der Änderungsvorschlag zieht hier eine klare Schwelle: Erfasst werden sollen nur noch Elektrizitätserzeuger ab 1 MW.

Eher technisch, aber wichtig für die Abgrenzung: Im Bereich „Produktion, Herstellung und Handel mit chemischen Stoffen“ wird ein Verweisfehler korrigiert. Künftig sollen hier nur noch Hersteller und Händler erfasst sein, deren Produkte nach der REACH-Verordnung registrierungspflichtig sind.

Dual-Use-Infrastruktur neu erfasst

Neu soll strategische Dual-Use-Infrastruktur erfasst werden. Das ist Infrastruktur mit doppeltem Verwendungszweck, also zivil und militärisch. Vorgesehen ist eine größenunabhängige Einbeziehung von Eigentümern, Betreibern und Verantwortlichen. Entscheidend ist jedoch: Die Mitgliedstaaten müssen erst festlegen, welche Infrastruktur überhaupt darunterfällt. Ohne eine nationale Festlegung entsteht selbst bei Umsetzung des EU-Vorschlags keine automatische Betroffenheit.

Die Kommission will außerdem die Einhaltung erleichtern: Künftig könnte Cybersicherheits-Compliance über europäische Zertifizierungen nachgewiesen werden. Mitgliedstaaten sollen wichtige und wesentliche Einrichtungen dazu verpflichten können. Außerdem adressiert die Kommission ein bekanntes Praxisproblem: Lieferanten und Dienstleister regulierter Unternehmen werden häufig mit Fragebögen und Informationsanforderungen überzogen. Geplant sind Leitlinien, um Doppelarbeit zu reduzieren.

Auffällig ist, was unverändert bleibt: Bei Managed (Security) Service Providern sowie Cloud-Computing- und Rechenzentrumsdiensten sieht die Kommission keine Anpassungen vor. Das spricht dafür, dass die Betroffenheit konzerninterner IT-Strukturen grundsätzlich gewollt ist.

Noch ist es nur ein Vorschlag

Aktuell liegt nur ein Vorschlag der EU-Kommission vor. An der Rechtslage hat sich unmittelbar nichts geändert – und selbst bei Inkrafttreten in der EU wäre für Unternehmen weiterhin entscheidend, was die nationalen Umsetzungsgesetze regeln. Solange nationale Regelungen nicht angepasst werden, greifen mögliche Erleichterungen nicht.

Gerade mit Blick auf die bereits zähe NIS2-Umsetzung in Deutschland ist offen, wie schnell die nationale Gesetzgebung in diesem Fall angepasst würde. Denkbar ist aber, dass einzelne Elemente – etwa die 1-MW-Schwelle – schon vorher bei der Auslegung bestehender Vorschriften (zum Beispiel § 28 Abs. 3 BSIG) mittelbar eine Rolle spielen könnten.

(axk)