NIS-2-Richtlinie: Vereinfachungsmaßnahmen und Angleichung an den CRA

NIS-2-Richtlinie: Vereinfachungsmaßnahmen und Angleichung an den CRA

Warum soll die NIS-2 Richtlinie jetzt vereinfacht werden?

Mit der NIS-2-Richtlinie (EU) 2022/2555 hat die Europäische Union einen einheitlichen Rechtsrahmen für Cybersicherheit in kritischen und wichtigen Sektoren geschaffen. Seit Inkrafttreten der Richtlinie zeigt sich jedoch, dass Umsetzung, Aufsicht und Abgrenzungspflichten in der Praxis mit erheblichem administrativem Aufwand verbunden sind – insbesondere für grenzüberschreitend tätige Unternehmen.

Vor diesem Hintergrund hat die Europäische Kommission Anfang 2026 einen Richtlinienvorschlag zur Vereinfachung der NIS-2-Richtlinie und zur Angleichung an das Cybersicherheitsrecht der EU vorgelegt. Ein zentrales Bezugsgesetz ist dabei der Cyber Resilience Act (CRA), der erstmals verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt.

Vereinfachung statt Absenkung

Die geplanten Änderungen verfolgen keine Absenkung des Schutzniveaus, sondern eine funktionale Entlastung der betroffenen Unternehmen und Behörden. Im Fokus stehen drei übergeordnete Ziele:

  1. Rechtsklarheit bei Anwendungsbereich und Zuständigkeiten der NIS-2-Richtlinie
  2. Reduktion von Doppelregulierung zwischen NIS-2, CRA und weiteren Cyberrechtsakten
  3. Harmonisierung der Aufsicht bei grenzüberschreitenden Sachverhalten

Die Kommission ordnet die Reform ausdrücklich als Teil eines breiteren Cybersecurity-Pakets ein, das neben NIS-2 auch den CRA, den Cyber Solidarity Act und die Reform des EU-Cybersicherheitszertifizierungsrahmens umfasst.

Angleichung von NIS-2 und Cyber Resilience Act (CRA)

Unterschiedliche Regelungslogiken – ein gemeinsames Ziel

  • NIS-2-Richtlinie: adressiert Organisationen („entities“) und deren Risiko-, Melde- und Governance-Pflichten.
  • Cyber Resilience Act (CRA): adressiert Produkte mit digitalen Elementen und deren sichere Entwicklung, Wartung und Verwundbarkeitsbehandlung.

In der Praxis überschneiden sich beide Regime dort, wo Produkte Teil kritischer Infrastrukturen oder zentrale Bestandteile von IT-Lieferketten sind. Die geplante Angleichung soll sicherstellen, dass:

  • Sicherheitsanforderungen konsistent sind,
  • Nachweise mehrfach genutzt werden können,
  • Unternehmen nicht parallel nach unterschiedlichen Logiken berichten müssen.

Zentrale Vereinfachungsmaßnahmen im Überblick

Klarstellung des Anwendungsbereichs

Die Reform präzisiert einzelne Sektoren und Unterkategorien der NIS-2-Anhänge I und II. Ziel ist es, Abgrenzungsstreitigkeiten zu vermeiden und nur solche Unternehmen einzubeziehen, deren Ausfall tatsächlich systemische Risiken birgt.

Beispiele:

  • Schwellenwerte bei Energieerzeugern
  • Konkretisierung bei Gesundheits-, Chemie- und Digital-Infrastruktur-Anbietern

Entlastung durch Größen- und Risikodifferenzierung

Mit der Einführung einer neuen Kategorie von „Small Mid-Caps“ wird der risikobasierte Ansatz der NIS-2 weiter geschärft. Unternehmen dieser Kategorie unterliegen grundsätzlich geringeren Aufsichts- und Nachweispflichten als „wesentliche Einrichtungen“.

Anerkennung von Zertifizierungen als Compliance-Nachweis

Ein zentrales Bindeglied zwischen NIS-2 und CRA ist der EU-weite Cybersicherheitszertifizierungsrahmen. Künftig sollen:

  • bestimmte Zertifizierungen
  • als Nachweis für die Einhaltung von NIS-2-Risikomanagementpflichten
  • und zugleich als Referenz für CRA-Anforderungen dienen können.

Damit wird Zertifizierung zu einem regulatorischen Effizienz-instrument.

Harmonisierung der Aufsicht und Stärkung von ENISA

Für Unternehmen mit Tätigkeiten in mehreren Mitgliedstaaten soll die Aufsicht stärker koordiniert werden. Die EU-Agentur für Cybersicherheit (ENISA) erhält dabei eine ausgeweitete Rolle, insbesondere bei:

  • Risikoanalysen für grenzüberschreitende Anbieter
  • Koordination gemeinsamer Prüfungen
  • Unterstützung nationaler Aufsichtsbehörden

Bedeutung für Unternehmen und Compliance-Strategien

Für betroffene Unternehmen bedeutet die Reform:

  • weniger parallele Nachweispflichten,
  • bessere Planbarkeit von Cyber-Compliance-Maßnahmen,
  • stärkere Verzahnung von Produkt-, IT- und Governance-Sicherheit.

Gleichzeitig bleibt klar:
Die Anforderungen an Managementverantwortung, Risikomanagement und Incident Handling bleiben hoch – sie werden lediglich systematischer und konsistenter ausgestaltet.

NIS-2 und CRA wachsen zusammen

Die geplanten Vereinfachungsmaßnahmen markieren einen wichtigen Entwicklungsschritt im EU-Cyberrecht. NIS-2-Richtlinie und Cyber Resilience Act werden nicht verschmolzen, aber strategisch aufeinander abgestimmt. Für Unternehmen entsteht damit ein kohärenterer, wenn auch weiterhin anspruchsvoller Rechtsrahmen.

Wer frühzeitig integrierte Cyber-, Produkt- und Compliance-Strategien entwickelt, kann die Reform nicht nur als Entlastung, sondern als Wettbewerbsvorteil nutzen.

COM2026_13Herunterladen
COM2026_13_AnnexHerunterladen

Quelle: https://digital-strategy.ec.europa.eu/de/library/proposal-directive-regards-simplification-measures-and-alignment-cybersecurity-act

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert