EU-Kommission plant Korrekturen bei NIS2-Richtlinie

Michael Mrak

Michael Mrak

2 min read
EU-Kommission plant Korrekturen bei NIS2-Richtlinie
Photo by Antoine Schibler / Unsplash

Hier eine Kurzanalyse der geplanten Unterschiede zwischen der bestehenden NIS2-Richtlinie und den geplanten Änderungen der EU-Kommission, inklusive einer Tabelle zur Verdeutlichung der wichtigsten Unterschiede.

Schwellenwerte und Kategorisierung von Unternehmen

  • Bestehend: Unternehmen gelten als „wesentliche Einrichtungen“, wenn sie in kritischen Sektoren (z. B. Energie, digitale Infrastruktur) tätig sind und die Schwelle mittlerer Unternehmen überschreiten (mehr als 250 Mitarbeiter oder Umsatz über 50 Mio. Euro/Jahr, Bilanzsumme über 43 Mio. Euro). Diese unterliegen einer strengeren Aufsicht.
  • Geplant: Einführung einer Zwischenkategorie („kleine Midcap-Unternehmen“): Unternehmen mit weniger als 750 Beschäftigten und maximal 150 Mio. Euro Umsatz (oder 129 Mio. Euro Bilanzsumme) gelten künftig nur noch als „wichtige“, nicht mehr automatisch als „wesentliche“ Einrichtungen. Dadurch reduziert sich die Zahl der streng überwachten Unternehmen deutlich.

Präzisierung im Energiesektor

  • Bestehend: Der Anwendungsbereich erfasste auch sehr kleine Stromerzeuger (z. B. Betreiber einzelner Photovoltaikanlagen), was zu Rechtsunsicherheit führte.
  • Geplant: Klare Grenze bei Stromerzeugern: Nur Anlagen mit mindestens 1 Megawatt Leistung (kumuliert) fallen unter NIS2. Viele kleine Erzeuger werden damit ausgenommen.

Erweiterung auf neue Infrastrukturbereiche

  • Neu: Einbeziehung von Betreibern von Unterseedatenübertragungsinfrastrukturen und strategischer Dual-Use-Infrastruktur (zivil und militärisch nutzbar), unabhängig von der Unternehmensgröße. Die konkrete Ausgestaltung obliegt den Mitgliedsstaaten.

Vereinfachung der Compliance

  • Geplant: Europäische Cybersicherheitszertifizierungen sollen künftig als formaler Nachweis gegenüber Aufsichtsbehörden gelten. Leitlinien sollen den Bürokratieaufwand in Lieferketten reduzieren und Doppelabfragen vermeiden.

IT-Dienstleister

  • Unverändert: Managed-(Security-)Service-Provider, Cloud- und Rechenzentrumsanbieter sowie konzerninterne IT-Einheiten bleiben im Anwendungsbereich.

Zeitplan

  • Kurzfristig keine Änderungen! Unternehmen müssen weiterhin die aktuelle nationale Rechtslage einhalten. Entlastungen wirken erst nach Umsetzung der EU-Änderungen durch den nationalen Gesetzgeber (in Österreich NISG 2026).

Übersichtstabelle der geplanten Änderungen

BereichBestehende NIS2-RichtlinieGeplante Änderungen (EU-Kommission, Januar 2026)
SchwellenwerteMittlere Unternehmen (>250 MA, >50 Mio. € Umsatz) gelten als „wesentliche Einrichtungen“.Einführung „kleiner Midcap-Unternehmen“ (<750 MA, ≤150 Mio. € Umsatz) als „wichtige Einrichtungen“.
EnergiesektorErfasst auch kleine Stromerzeuger (z. B. einzelne PV-Anlagen).Nur Stromerzeuger mit ≥1 MW Leistung (kumuliert) fallen unter NIS2.
Neue InfrastrukturbereicheNicht erfasst.Einbeziehung von Unterseedateninfrastruktur und Dual-Use-Infrastruktur.
Compliance-NachweiseKeine automatische Anerkennung von Zertifizierungen.Europäische Cybersicherheitszertifizierungen gelten als formaler Nachweis.
IT-DienstleisterErfasst (Managed-Service-Provider, Cloud, Rechenzentren, konzerninterne IT).Unverändert erfasst.
ZeitplanAktuelle nationale Umsetzung gilt.Änderungen erst nach erneuter nationaler Umsetzung; kurzfristig keine Entlastung.

Informationen auf der Website der EU-Kommission

Recherche der Zeitschrift IX (Heise Verlag)

Read more