NIS2 wird überarbeitet: Was der Änderungsvorschlag 2026 für Sie und Ihre Kunden bedeutet

Zweiundzwanzig der 27 EU-Mitgliedstaaten haben NIS2 mittlerweile in nationales Recht umgesetzt. Während die meisten Organisationen noch mit den ursprünglichen Anforderungen kämpfen, hat die Europäische Kommission bereits einen Vorschlag zur Änderung der Regeln veröffentlicht. Am 20. Januar 2026 veröffentlichte die Kommission ein Änderungspaket, das Geltungsbereich, Ransomware-Meldepflichten, Zertifizierung und grenzüberschreitende Aufsicht betrifft.

Warum die Kommission bereits ändert, bevor die Richtlinie vollständig umgesetzt ist

NIS2 wurde im Oktober 2024 durchsetzbar. Das Digital Omnibus Package der Kommission, gestartet im November 2025, rationalisiert die digitale EU-Gesetzgebung, um Fragmentierung und Compliance-Belastungen zu reduzieren. Die praktische Umsetzung zeigte auch Lücken — insbesondere die Divergenz nationaler Regeln und das Fehlen eines harmonisierten Zertifizierungsweges.

Der Vorschlag vom Januar 2026 ist "gezielt" — die Kommission überdenkt die grundlegende Architektur von NIS2 nicht. Die zehn Sicherheitsmaßnahmen des Artikels 21 bleiben unverändert. Die Meldefristen für Vorfälle (24 Stunden, 72 Stunden, ein Monat) bleiben unverändert.

NIS2 Umsetzungsstatus nach Land (2025–2026)
✅
Vollständig in Kraft
🇧🇪Belgien
🇭🇷Kroatien
🇭🇺Ungarn
🇱🇹Litauen
🇱🇻Lettland
🇮🇹Italien
6 Länder
📋
Verabschiedet — Ende 2025
🇩🇪Deutschland
🇨🇿Tschechien
🇫🇮Finnland
3 Länder
⏳
In Bearbeitung — erwartet 2026
🇳🇱Niederlande
🇫🇷Frankreich
🇪🇸Spanien
🇵🇱Polen
🇦🇹Österreich
🇸🇪Schweden
🇮🇪Irland
7 Länder

Ransomware-Meldepflichten: Neue Verpflichtungen am Horizont

Auf Anfrage einer nationalen Behörde werden Organisationen verpflichtet sein offenzulegen, ob eine Lösegeldforderung gestellt wurde und von wem, ob Lösegeld gezahlt wurde, den Betrag und die Zahlungsmethode sowie die Identität des Empfängers (einschließlich etwaiger beteiligter Krypto-Asset-Dienstleister).

Die Offenlegung von Lösegeldzahlungen ist nicht automatisch — sie wird durch eine Behördenanfrage ausgelöst. Der Vorschlag zielt auf die Informationsasymmetrie ab, mit der Regulierungsbehörden zu kämpfen haben. Kunden, die Ransomware-Vorfälle managen, müssen jetzt interne Dokumentationspraktiken aufbauen.

NIS2 Zeitplan für die Vorfallmeldung
24h
⚡
Frühwarnung
Melden Sie den erheblichen Vorfall innerhalb von 24 Stunden nach Bekanntwerden bei der zuständigen Behörde (CSIRT/NCA).
Schritt 1
72h
📋
Vorfallmeldung
Übermitteln Sie innerhalb von 72 Stunden eine detaillierte Meldung mit einer ersten Bewertung von Schwere, Auswirkungen und Kompromittierungsindikatoren.
Schritt 2
1mo
📊
Abschlussbericht
Liefern Sie innerhalb eines Monats einen umfassenden Abschlussbericht mit Ursachenanalyse, ergriffenen Maßnahmen und grenzüberschreitenden Auswirkungen.
Schritt 3
24h
⚡
Frühwarnung
Melden Sie den erheblichen Vorfall innerhalb von 24 Stunden nach Bekanntwerden bei der zuständigen Behörde (CSIRT/NCA).
72h
📋
Vorfallmeldung
Übermitteln Sie innerhalb von 72 Stunden eine detaillierte Meldung mit einer ersten Bewertung von Schwere, Auswirkungen und Kompromittierungsindikatoren.
1mo
📊
Abschlussbericht
Liefern Sie innerhalb eines Monats einen umfassenden Abschlussbericht mit Ursachenanalyse, ergriffenen Maßnahmen und grenzüberschreitenden Auswirkungen.

Geltungsbereichsänderungen: Wer ist drin, wer ist draußen

Betreiber von Unterseekabeln und Unterwasserkommunikationssystemen werden erstmals in den Geltungsbereich einbezogen. Chemievertrieb fällt heraus — die Änderung streicht "Vertrieb" aus Anhang II. Eine neue Kategorie "kleine mittelgroße Unternehmen" (unter 750 Mitarbeiter, Umsatz unter 150 Mio. Euro) wird als "wichtige Einrichtungen" statt "wesentliche Einrichtungen" behandelt — reaktive statt proaktiver Aufsicht.

Gilt NIS2 für Ihre Organisation?
1
Ist Ihre Organisation in einem wesentlichen oder wichtigen Sektor tätig (Energie, Verkehr, Gesundheit, digitale Infrastruktur usw.)?
Ja▼
Nein▼
2
Beschäftigt Ihre Organisation 50 oder mehr Mitarbeiter oder erzielt einen Jahresumsatz von mehr als 10 Millionen Euro?
✗
NIS2 gilt nicht unmittelbar für Ihre Organisation.
Ja▼
Nein▼
✓
NIS2 gilt für Ihre Organisation als wesentliche oder wichtige Einrichtung.
3
Ist Ihre Organisation ein Anbieter kritischer Infrastruktur oder ein qualifizierter Vertrauensdiensteanbieter?
Ja▼
!
NIS2 könnte für Ihre Organisation gelten — holen Sie rechtlichen Rat ein, um Ihren Status zu bestätigen.
1
Ist Ihre Organisation in einem wesentlichen oder wichtigen Sektor tätig (Energie, Verkehr, Gesundheit, digitale Infrastruktur usw.)?
Ja ↓Nein →
2
Beschäftigt Ihre Organisation 50 oder mehr Mitarbeiter oder erzielt einen Jahresumsatz von mehr als 10 Millionen Euro?
Ja ↓Nein →
3
Ist Ihre Organisation ein Anbieter kritischer Infrastruktur oder ein qualifizierter Vertrauensdiensteanbieter?
Ja ↓Nein →
✗
NIS2 gilt nicht unmittelbar für Ihre Organisation.
✓
NIS2 gilt für Ihre Organisation als wesentliche oder wichtige Einrichtung.
!
NIS2 könnte für Ihre Organisation gelten — holen Sie rechtlichen Rat ein, um Ihren Status zu bestätigen.
Gilt
Gilt möglicherweise
Gilt nicht

Zertifizierung als Compliance-Weg: Das Cyber-Posture-Zertifikat

Nach der vorgeschlagenen Änderung werden Einrichtungen schließlich ein EU-"Cyber-Posture-Zertifikat" erwerben können — eine neue entitätsbezogene Zertifizierung unter einem künftigen europäischen Cybersicherheitszertifizierungsschema, das an CSA2 ausgerichtet ist. Wenn eine Einrichtung ein gültiges Zertifikat besitzt, das die Anforderungen des Artikels 21 abdeckt, dürfen zuständige Behörden keine zusätzlichen Sicherheitsaudits für diese Anforderungen durchführen.

CSA2 ist selbst noch ein Vorschlag. Die Zertifizierungsschemata existieren noch nicht. Aber die Richtung ist klar: Investieren Sie in Rahmenbedingungen und Kontrollen, die zertifizierbar sind. ENISAs Leitlinien, die NIS2-Anforderungen auf ISO 27001-Kontrollen abbilden, werden wahrscheinlich die Grundlage für zukünftige Cyber-Posture-Zertifikate bilden.

Weitere Hintergrundinformationen zu den zehn Artikel-21-Sicherheitsmaßnahmen finden Sie im NIS2 Artikel 21 Tiefgang.

Stärkere ENISA-Rolle: Was grenzüberschreitende Aufsicht bedeutet

ENISA wird in der Lage sein, die Zusammenarbeit zwischen nationalen Behörden zu erleichtern, eine federführende Behörde für gemeinsame Aufsichtsmaßnahmen zu bestimmen, innerhalb von 15 Monaten eine Risikoanalyse durchzuführen und auf Anfrage direkt an gemeinsamen Aufsichtsaktivitäten teilzunehmen. Dies ist kein One-Stop-Shop nach DSGVO-Modell.

Was sich wann ändert: Ein praktischer Zeitplan

Konservative Schätzung: diese Änderungen werden für die meisten Länder nicht vor Ende 2027 oder Anfang 2028 in nationales Recht umgesetzt. Beginnen Sie jetzt mit der Kundenberatung — aber selektiv. Die Ransomware-Dokumentationspflicht ist kostengünstig jetzt umzusetzen. Geltungsbereichsänderungen haben höchste Priorität für Kunden in betroffenen Sektoren.

Das große Bild: NIS2-Durchsetzung hat bereits begonnen

Sieben Mitgliedstaaten wurden bereits an den Europäischen Gerichtshof verwiesen. Nationale Behörden beginnen mit Inspektionen. Die ersten Bußgelder werden noch vor Jahresende erwartet.

NIS2-Sanktionseskalation — Jenseits der Geldbuße
!
Auslöser
Non-Compliance erkannt oder Vorfall tritt ein
Eine Aufsichtsbehörde identifiziert eine Compliance-Lücke oder eine Organisation erfüllt die NIS2-Anforderungen nicht
Behörden können verhängen
▼
Nicht-finanzielle Sanktionen
1
Anordnungen mit bindenden Fristen
2
Verpflichtende Sicherheitsaudits auf eigene Kosten
3
Öffentliche Bekanntmachung von Verstößen
4
Bindende Anweisungen zu spezifischen Sicherheitsmaßnahmen
Eskaliert zu
▼
Betriebliche und persönliche Konsequenzen
1
Aussetzung von Zertifizierungen oder Betriebsgenehmigungen
2
Vorübergehendes Verbot von Leitungsfunktionen für Personen
3
Öffentliche Benennung verantwortlicher natürlicher Personen
Auslöser
Nicht-finanziell
Betrieblich / persönlich

Die vorgeschlagenen Änderungen geben Organisationen keine zusätzliche Zeit. Sie fügen neue Verpflichtungen on top des bestehenden Basisniveaus hinzu. Die verteidigungsfähigste Position ist eine dokumentierte Gap-Analyse.

Wenn Ihre Kunden diese Gap-Analyse noch nicht durchgeführt haben, führen Sie sie jetzt durch. Der NIS2 Quick-Scan bei NIS2Certify bietet einen strukturierten Ausgangspunkt in unter 20 Minuten.