Geplante Anpassungen der NIS2-Richtlinie: Einordnung des Cybersecurity Packages 

Mit dem im Januar 2026 vorgestellten Cybersecurity Package legt die Kommission einen Vorschlag zur gezielten Anpassung der NIS2-Richtlinie vor. Hintergrund ist eine weiter verschärfte Bedrohungslage im Cyberraum sowie der Wunsch nach einer kohärenteren und praktikableren EU-weiten Cybersicherheitsarchitektur. Es handelt sich bislang ausschließlich um ein Legislativ-Proposal, d.h. verbindliche Änderungen der NIS2-Richtlinie sind noch nicht beschlossen.  

Gesetzliche Anknüpfungspunkte 

Die vorgeschlagenen Änderungen knüpfen unmittelbar an die NIS2-Richtlinie an und stehen im systematischen Zusammenhang mit weiteren EU-Cyberrechtsakten, insbesondere dem Cybersecurity Act, dem Cyber Resilience Act (CRA), dem Digital Operational Resilience Act (DORA) sowie der Critical Entities Resilience Directive. Ziel ist eine stärkere Harmonisierung und Verzahnung der bestehenden und kommenden Regelwerke, ohne die Grundstruktur der NIS2 aufzugeben.  

Geplante Änderungen der NIS2 

Das Proposal sieht insbesondere folgende Anpassungen vor: 

  1. Eine Präzisierung des Anwendungsbereichs, u. a. für den Gesundheits-, Energie-, Wasserstoff- und Chemiesektor. Kleinere DNS-Provider sollen dagegen aus dem Anwendungsbereich herausfallen. 
  1. Eine neue Unternehmensklassifizierung durch Einführung der Kategorie „small mid-caps“, die als wichtige Einrichtungen mit reduzierter Aufsichtslast gelten sollen. 
  1. Ein stärkere Harmonisierung von Registrierungs- und Meldepflichten, etwa durch EU-weit einheitliche technische Mindestanforderungen und standardisierte Vorgaben zum Umgang mit Ransomware-Vorfällen. 
  1. Die Einführung strategischer Vorgaben zur Post-Quantum-Kryptografie, die Mitgliedstaaten verpflichten, entsprechende Migrationsstrategien in ihre nationalen Cyberstrategien aufzunehmen. 
  1. Die Aufwertung von Zertifizierungen, die künftig als Nachweis für die Erfüllung bestimmter NIS2-Pflichten dienen und zusätzliche behördliche Anforderungen für abgedeckte Bereiche ausschließen können. 
  1. Der Ausbau der Rolle von ENISA, insbesondere in Bezug  auf grenzüberschreitender Aufsicht, Risikoanalysen und gemeinsamen Prüfungen  

Auswirkungen  

Sollten die Vorschläge in dieser oder ähnlicher Form umgesetzt werden, ist mit klareren und EU-weit vereinheitlichten Compliance-Vorgaben für betroffene Unternehmen zu rechnen. Gleichzeitig könnten die Änderungen für bestimmte Akteure wie kleinere DNS-Provider oder unter die Kategorie „small mid-caps“ fallende Unternehmen Entlastungen mit sich bringen. Für die Mitgliedstaaten würde die Verabschiedung der vorgeschlagenen Regelungen perspektivisch eine erneute Anpassung der nationalen Umsetzungsregelungen sowie Umstrukturierung der Aufsichts- und Meldeprozesse bedeuten.  

Fazit 

Das Cybersecurity Package verfolgt erkennbar das Ziel, die NIS2-Richtlinie praktikabler, kohärenter und besser verzahnt auszugestalten. Ob und in welcher Form die vorgeschlagenen Änderungen tatsächlich Realität werden, hängt jedoch vom weiteren Gesetzgebungsverfahren ab. Unternehmen und öffentliche Stellen sollten die Entwicklungen gleichwohl frühzeitig beobachten, um sich auf mögliche Anpassungen der Cybersicherheits-Compliance einstellen zu können. 

Das könnte Sie auch interessieren..

Im Trend

Geplante Anpassungen der NIS2-Richtlinie: Einordnung des Cybersecurity Packages 
AG Nürnberg zur DSGVO: Wirksame Einwilligung trotz Vertragskopplung, zulässige Positivdatenübermittlung und hohe Hürden für immateriellen Schadensersatz.
DSGVO und Kopplungsverbot: AG Nürnberg bestätigt wirksame Einwilligung
EuGH: Online-Plattformen haften stärker für Datenschutzverstöße
Millionenstrafe nach Cyberangriff: Was Unternehmen von Capita lernen müssen