StartseiteStoriesArtikelArticle Details

Vorschlag zur NIS2-Cybersicherheitsreform: Neue Verpflichtungen für kritische Infrastrukturen in der EU

28. Apr. 2026

Überblick

Zweiundzwanzig der 27 EU-Mitgliedstaaten haben die NIS2-Richtlinie inzwischen in nationales Recht umgesetzt. Während diese Umsetzung weiter voranschreitet, hat die Europäische Kommission eine Reihe von Änderungsvorschlägen vorgelegt, die den in ihren Anwendungsbereich fallenden Einrichtungen zusätzliche Verpflichtungen auferlegen würden. Da davon auszugehen ist, dass die Durchsetzungsmaßnahmen im Laufe des Jahres 2026 zunehmen werden, müssen Unternehmen mit Aktivitäten in der gesamten EU sich der sich wandelnden Anforderungen bewusst sein und Maßnahmen ergreifen, um diesen einen Schritt voraus zu sein.

Drei wesentliche Änderungen im Entwurf der Kommission

Der im Januar 2026 veröffentlichte Vorschlag sieht folgende Änderungen vor:
  • Offenlegungspflichten im Zusammenhang mit Ransomware: Wenn ein meldepflichtiger Vorfall Ransomware betrifft, können die zuständigen Behörden nun umfassendere Informationen anfordern, die über das hinausgehen, was bisher im Rahmen der „bedeutenden Vorfälle“ erfasst wurde. Dazu gehören Angaben darüber, ob ein Lösegeld gezahlt wurde und an wen die Zahlung ging.
  • Erweiterte Verpflichtung zur Benennung eines EU-Vertreters: Nach den geltenden Vorschriften waren nur digitale Diensteanbieter mit Sitz außerhalb der EU verpflichtet, einen lokalen EU-Vertreter zu benennen. Die vorgeschlagene Änderung erweitert diese Verpflichtung auf alle Unternehmen, die NIS2-relevante Dienste innerhalb der EU erbringen, unabhängig davon, wo sie ansässig sind.
  • Änderungen des Anwendungsbereichs der Richtlinie: Um kritische Kommunikationsinfrastrukturen besser zu schützen, fallen Betreiber von Unterseekabeln nun in den Anwendungsbereich der Richtlinie. Der Vorschlag passt zudem die größenabhängigen Kriterien an, anhand derer ermittelt wird, welche Einrichtungen als „kritisch“ gelten.

Unterschiedliche nationale Umsetzungen

Trotz umfassender Fortschritte bei der Umsetzung von NIS2 variieren die Ansätze der einzelnen Mitgliedstaaten bei der Umsetzung erheblich, was zu einem uneinheitlichen regulatorischen Umfeld für Organisationen führt, die gleichzeitig in mehreren EU-Ländern tätig sind.
So haben beispielsweise Länder wie Belgien und Italien den Grundsatz der „Hauptniederlassung“ angewandt, was bedeutet, dass die NIS2-Konformitätspflichten in erster Linie bei Unternehmen liegen, deren Hauptsitz sich in diesen Rechtsräumen befindet. Andere Mitgliedstaaten verfolgen einen anderen Ansatz und verlangen, dass sich jedes Unternehmen, das Dienstleistungen innerhalb ihrer Grenzen anbietet, bei der zuständigen nationalen Cybersicherheitsbehörde registrieren lässt, unabhängig davon, wo sich der Hauptsitz der Organisation befindet.
Auch die Fristen für die Meldung von Vorfällen unterscheiden sich. Zypern schreibt vor, dass eine Erstmeldung innerhalb von sechs Stunden nach Feststellung eines Vorfalls erfolgen muss – ein strengerer Zeitrahmen als in den meisten anderen Rechtsordnungen. Deutschland räumt seiner Aufsichtsbehörde die Befugnis ein, betroffene Unternehmen anzuweisen, betroffene Personen unverzüglich nach Eintritt eines Vorfalls zu informieren. Die Vorschriften der Slowakei gehen hingegen weiter als die meisten anderen und verpflichten Unternehmen, nicht nur bestätigte Vorfälle, sondern auch erhebliche Cyberbedrohungen zu melden. Diese Uneinheitlichkeiten erhöhen den operativen und administrativen Aufwand für grenzüberschreitend tätige Organisationen.

Maßnahmen, die Organisationen in Betracht ziehen sollten

Da die erste Welle der NIS2-Durchsetzung näher rückt, wird Organisationen empfohlen, folgende Maßnahmen zu ergreifen:
  • Stellen Sie sicher, dass die oberste Führungsebene, einschließlich der Leitungsgremien auf Vorstandsebene, über den Compliance-Status der Organisation auf dem Laufenden gehalten wird, da bei Nichteinhaltung eine persönliche Haftung einzelner Führungskräfte entstehen kann.
  • Stellen Sie sicher, dass die oberste Führungsebene, einschließlich der Leitungsgremien auf Vorstandsebene, über den Compliance-Status der Organisation auf dem Laufenden gehalten wird, da bei Nichteinhaltung eine persönliche Haftung einzelner Führungskräfte entstehen kann.
  • Ermitteln Sie die zuständigen Aufsichtsbehörden in jeder Rechtsordnung, in der das Unternehmen tätig ist, und behalten Sie den Überblick über diese.
  • Orientieren Sie sich an den Leitlinien der ENISA und der zuständigen nationalen Stellen und verfolgen Sie einen vorausschauenden Compliance-Ansatz, bei dem Sie Anforderungen vorwegnehmen, anstatt abzuwarten, bis alle Mitgliedstaaten die formelle Umsetzung abgeschlossen haben.

Was als Nächstes kommt

Da die verbleibenden Mitgliedstaaten ihre NIS2-Umsetzungsprozesse abschließen, wird sich der Schwerpunkt in der gesamten EU voraussichtlich von der Umsetzung hin zur Durchsetzung verlagern. Unternehmen sollten ihre Compliance-Bemühungen fortsetzen und alle weiteren Entwicklungen im Zusammenhang mit den von der Kommission vorgeschlagenen Änderungen beobachten. DEKRA wird diese Änderungen weiterhin verfolgen und relevante Aktualisierungen bekannt geben, sobald sich die Situation weiterentwickelt.
Seite teilen :