NIS 2 kaum umgesetzt – schon kündigen sich neue Änderungen an

Kaum ist das nationale Umsetzungsgesetz der NIS‑2‑Richtlinie verabschiedet, stehen bereits die nächsten Änderungen im Raum. Am 20. Januar 2026 hat die EU‑Kommission ihr neues Cybersicherheitspaket vorgestellt – mit potenziell weitreichenden Anpassungen an der NIS‑2‑Richtlinie. Sollten diese Vorschläge umgesetzt werden, könnte sich der Kreis der betroffenen Unternehmen erneut deutlich verändern.

Rückblick: Der Weg zur Umsetzung

Nach zahlreichen Entwürfen und intensiven Diskussionen wurde das deutsche NIS‑2‑Umsetzungsgesetz schließlich am 5. Dezember 2025 – mit mehr als einem Jahr Verspätung – verabschiedet. Trotz dieses Meilensteins bringt das neue Gesetz, insbesondere das novellierte BSIG, weiterhin erhebliche Rechtsunsicherheiten mit sich.

Zu den zentralen Kritikpunkten zählt vor allem der sogenannte „deutsche Sonderweg“ bei der Bestimmung des Anwendungsbereichs. Über die daraus resultierenden Herausforderungen haben wir bereits in unserem Newsletter von September 2025 berichtet. Ungeachtet dessen hat die Verabschiedung viele Unternehmen wachgerüttelt und dazu veranlasst, sich intensiv mit den Umsetzungsvorgaben auseinanderzusetzen.

Und nun werden bereits neue Änderungen diskutiert.

Was steckt im neuen Cybersicherheitspaket der EU‑Kommission?

Neben einer Überarbeitung des Cybersecurity Acts sind darin vielfältige Änderungen der NIS 2 Richtlinie vorgesehen. Für viele Unternehmen besonders relevant: die geplante Anhebung der Schwellenwerte. Künftig sollen nur noch solche Unternehmen als „wesentlich“ gelten,

• die mindestens 750 Mitarbeitende beschäftigen oder
• einen Jahresumsatz von über 150 Mio. EUR bzw.
• eine Jahresbilanzsumme von mehr als 129 Mio. EUR aufweisen

und zugleich einer Einrichtungsart aus Anhang I der NIS‑2‑Richtlinie zuzuordnen sind.

Daneben plant die EU‑Kommission weitere Änderungen bei der Einordnung bestimmter Einrichtungsarten – die Änderungsviorschläge betreffen v.a. 

• Domänennamensystem‑Diensteanbieter,
• Anbieter von Dual‑Use‑Gütern,
• Energieerzeuger,
• Betreiber intelligenter Verkehrssysteme,
• Gesundheitsdienstleister sowie
• Hersteller von Chemikalien und chemischen Erzeugnissen.

Ausblick

Die Vorschläge der Kommission werden nun im Zusammenspiel mit Rat und EU‑Parlament beraten. Ob und in welcher Form die geplanten Änderungen tatsächlich umgesetzt werden, ist derzeit offen.

Zwar dürfte die angekündigte Eingrenzung des Anwendungsbereichs bei vielen Unternehmen auf Zustimmung stoßen. Gleichzeitig droht jedoch eine neue Phase der Rechtsunsicherheit, insbesondere bei der Frage, ob und ab wann eine Zuordnung (nicht mehr) vorliegt.

Fest steht: Die NIS‑2‑Richtlinie bleibt auch 2026 ein wichtiges Thema.