EU-Kommission will Cybersicherheit vereinfachen

Die EU-Kommission entlastet Unternehmen mit einem neuen Cybersicherheits-Paket. Ein zentraler Vorschlag: Die umfangreichen Meldepflichten der NIS2-Richtlinie sollen deutlich vereinfacht werden. Das könnte für rund 28.700 betroffene Firmen in der Union Erleichterung bringen.

Weniger Bürokratie für Mittelstand und KMU

Konkret plant die Kommission gezielte Änderungen an der NIS2-Richtlinie. Ziel ist mehr Rechtsklarheit und weniger Aufwand, besonders für den deutschen Mittelstand. Von den Entlastungen profitieren sollen schätzungsweise 6.200 Mikro- und Kleinunternehmen. Zusätzlich wird eine neue Kategorie für „kleine Mid-Cap-Unternehmen“ eingeführt, die weitere 22.500 Firmen entlasten soll.

Die NIS2-Richtlinie hat den Kreis der betroffenen Organisationen massiv erweitert. Allein in Deutschland müssen sich schätzungsweise 30.000 Einrichtungen an strenge Risikomanagement-Vorgaben halten und bei Vorfällen binnen 24 Stunden melden. Die hohen Compliance-Kosten waren vor allem für KMU eine enorme Belastung.

Viele Unternehmen stehen bei der Umsetzung von NIS2 und dem überarbeiteten EU‑Cybersecurity Act vor einem akuten Problem: Unklare Meldepflichten, begrenzte Ressourcen im IT‑Team und wachsende Cyberrisiken führen zu Unsicherheit. Ein kostenloser Unternehmens‑Guide erklärt praxisnah, welche Maßnahmen jetzt Priorität haben – von Incident‑Response‑Abläufen bis zu Awareness‑Trainings – und wie Sie Compliance‑Risiken für KMU systematisch senken können. Jetzt kostenlosen Cybersecurity-Guide für Unternehmen downloaden

Ein Portal für alle Meldungen

Der Kern des Vorschlags ist eine radikale Vereinfachung der Meldepflichten. Bislang mussten Unternehmen je nach Vorfall und betroffenen Daten verschiedene Behörden und Regelwerke wie NIS2, DORA oder DSGVO beachten. Künftig soll es nur noch eine zentrale Meldestelle geben.

Die EU-Agentur für Cybersicherheit (ENISA) wird mit einem „Single-Entry-Point“ betraut. Das Prinzip „Einmal melden, mehrfach teilen“ soll Doppelarbeit beenden. Unternehmen geben ihre Meldung zu einem signifikanten Cybervorfall nur noch in dieses Portal ein. ENISA leitet die Informationen dann an die zuständigen nationalen Behörden weiter.

Gesamtstrategie für sichere Lieferketten

Die NIS2-Änderungen sind Teil eines größeren Pakets. Auch der EU-Cybersecurity Act wird überarbeitet. Ziel ist ein harmonisierter, risikobasierter Rahmen, um Gefahren in 18 kritischen Sektoren – von Energie bis Gesundheitswesen – gemeinsam zu identifizieren und abzuwehren.

Zudem soll das Zertifizierungssystem für digitale Produkte (ECCF) gestärkt werden. Eine Zertifizierung könnte künftig als Nachweis für die Einhaltung mehrerer Regelwerke wie NIS2 oder dem Cyber Resilience Act gelten. Das würde den bürokratischen Aufwand für Hersteller weiter reduzieren.

Was kommt jetzt auf die Unternehmen zu?

Der Gesetzesvorschlag geht nun an das Europäische Parlament und den Rat. Der überarbeitete Cybersecurity Act könnte nach der Zustimmung direkt anwendbar sein. Für die NIS2-Änderungen haben die Mitgliedstaaten voraussichtlich ein Jahr Zeit zur nationalen Umsetzung.

Unternehmen sollten ihre Compliance-Bemühungen auf Basis der aktuell geltenden nationalen Gesetze – in Deutschland des NIS-2-Umsetzungsgesetzes – fortsetzen. Gleichzeitig lohnt es sich, die Entwicklung des neuen Meldeportals im Blick zu behalten. Es könnte die Incident-Response-Prozesse grundlegend verändern. Die Debatte in Brüssel entscheidet, wie viel Entlastung wirklich beim Mittelstand ankommt.

PS: Die Debatte in Brüssel zeigt, wie schnell neue EU-Regeln zu praktischen Meldepflichten für Unternehmen werden können. Der Gratis‑Report „Cyber Security Awareness Trends“ fasst die wichtigsten Gesetzesänderungen (inkl. KI‑Regelungen), praxisnahe Schutzmaßnahmen und eine klare Checkliste für IT‑Verantwortliche zusammen – ideal, um Vorfälle schneller zu erkennen, richtig zu melden und die Compliance-Lücke zu schließen. Gratis-Report: Cyber Security Awareness Trends herunterladen