Thought Leadership
Nur wenige Wochen nach Inkrafttreten der deutschen NIS2-Umsetzung legt Brüssel ein Reformpaket vor. Im Mittelpunkt: Entlastung für mittelständische Betriebe und klarere Regeln für kritische Infrastrukturen.
Die Tinte unter dem deutschen Umsetzungsgesetz ist kaum getrocknet, da präsentiert die EU-Kommission im Rahmen des Cybersecurity Acts auch wichtige Änderungsvorschläge für die neue NIS2-Richtlinie. Seit Anfang Dezember 2025 gelten hierzulande verschärfte Cybersicherheitspflichten für Tausende Unternehmen.
Neue Kategorie entlastet Mittelstand erheblich
Kernstück der Reform ist eine zusätzliche Unternehmenskategorie, die gezielt den Mittelstand entlasten soll. Firmen zwischen 250 und 750 Beschäftigten mit Jahresumsätzen unter 150 Millionen Euro oder einer Bilanzsumme von maximal 129 Millionen Euro fallen künftig unter die neu geschaffene Klasse der “Small Mid-Caps”. Diese Neudefinition orientiert sich an der Empfehlung der Kommission aus dem Jahr 2025 und schließt damit eine Lücke zwischen klassischen KMU und größeren Mittelständlern.
Von “wesentlich” zu “wichtig” – was das bedeutet
Der entscheidende Unterschied: Small Mid-Caps werden standardmäßig nur noch als “wichtige” statt als “wesentliche” Einrichtungen behandelt. Selbst dann, wenn sie Tätigkeiten aus dem kritischen Anhang I der Richtlinie ausüben. Damit entfallen für diese Betriebe die schärfsten Aufsichtsinstrumente, intensivsten Kontrollmechanismen und umfangreichsten Dokumentationspflichten.
Weitere Änderungen im Überblick
Neben der Small-Mid-Cap-Regelung umfasst das Reformpaket weitere Anpassungen:
Energiesektor: Klare Ein-Megawatt-Schwelle für Stromproduzenten – kleinere Anlagen fallen künftig nicht mehr unter die Richtlinie
Chemiebranche: Nur noch Hersteller und Händler mit REACH-registrierungspflichtigen Produkten werden erfasst
Dual-Use-Infrastruktur: Erstmals Regulierung militärisch nutzbarer Anlagen, konkrete Festlegung erfolgt durch Mitgliedstaaten
DNS-Anbieter: Mikro- und Kleinunternehmen im DNS-Bereich werden komplett vom Anwendungsbereich ausgenommen
Zertifizierungen: EU-weite Cybersecurity-Zertifikate sollen als Compliance-Nachweis anerkannt werden
Lieferketten: Geplante Leitlinien gegen überzogene Anforderungen an nicht-regulierte Zulieferer
Grenzüberschreitende Aufsicht: ENISA erhält koordinierende Rolle bei international tätigen Unternehmen
Post-Quanten-Kryptographie: Mitgliedstaaten müssen Migrationsstrategien für quantenresistente Verschlüsselung entwickeln
Ransomware-Meldungen: EU-weit harmonisierte Datenerhebung für bessere Lagebilder
Keine Änderungen: Cloud-Anbieter, Managed-Service-Provider und Rechenzentren bleiben unverändert erfasst
Umsetzung bleibt abzuwarten
Für betroffene Firmen ändert sich vorerst nichts. Der Kommissionsvorschlag muss erst das europäische Gesetzgebungsverfahren durchlaufen und anschließend in deutsches Recht gegossen werden. Dennoch sollten gerade mittelständische Unternehmen zwischen 250 und 750 Mitarbeitern die Entwicklung aufmerksam verfolgen. Die mögliche Herabstufung könnte erhebliche praktische Erleichterungen mit sich bringen. Die Vorschläge können auf digital-strategy.ec.europa.eu nachgelesen werden.
