EU-Kommission korrigiert NIS-2 – zentrale Forderungen des Wirtschaftsrates berücksichtigt

Die EU-Kommission hat ein neues Cybersicherheitspaket vorgelegt, das darauf abzielt, die europäische Cyber-Governance fit für die Zukunft zu machen und die Widerstandsfähigkeit gegenüber wachsenden Cyberbedrohungen deutlich zu stärken. Dieses Paket umfasst – neben weiteren Rechtsakten – die Revision des EU-Cybersecurity Act. 

Der Cybersecurity Act wurde ursprünglich im Jahr 2019 eingeführt und bildet den Kern des europäischen Cyber-Rechtsrahmens, indem er unter anderem die Aufgaben und Befugnisse der EU-Agentur für Cybersicherheit (ENISA) festlegt sowie EU-weite Zertifizierungsmechanismen für IT-Produkte vorsieht. Die jüngsten Vorschläge der Kommission zielen darauf ab, ENISA weiter zu stärken, die Zertifizierung zu vereinfachen und neue Mechanismen zur Identifikation und Bewältigung von Cyberrisiken aufzubauen – und dies in enger Verzahnung mit der überarbeiteten NIS-2-Richtlinie, die die Sicherheit von Netz- und Informationssystemen EU-weit regelt. 

Vor diesem strategischen Hintergrund stehen die jetzt vorgeschlagenen Änderungen an der NIS-2-Richtlinie, die in der Praxis erhebliche Auswirkungen auf die Betroffenheit von Unternehmen haben könnten. Für die Bundesfachkommission Cybersicherheit ist dies ein wichtiges politisches Signal: Zentrale Kritikpunkte, die wir wiederholt in den Arbeitskreisen adressiert haben, finden sich in den Plänen der Kommission wieder – ein ermutigender Hinweis auf fachpolitische Wirkung und Relevanz.

Im Kern zielt das Paket darauf ab, den bislang vielfach als zu weit und unpräzise kritisierten Anwendungsbereich der NIS-2-Richtlinie zu korrigieren. Und die Vorschläge sind deutlich: So sollen Domänennamenssystem-Diensteanbieter künftig nicht mehr unabhängig von ihrer Größe erfasst werden – eine wichtige Entlastung für kleine und mittelständische Akteure, die bisher ohne klare Relevanz in den regulatorischen Rahmen gezogen wurden. Gleichzeitig bleibt die EU-Kommission bei anderen sensiblen Bereichen konsequent: Anbieter von Dual-Use-Gütern sollen weiterhin unabhängig von ihrer Größe erfasst bleiben, was zeigt, dass es der Kommission nicht um Entschärfung um jeden Preis geht, sondern um eine zielgenaue, risikobasierte Regulierung.

Besonders bemerkenswert ist die geplante Anhebung der Schwellenwerte für „wesentliche Einrichtungen“. Künftig sollen Unternehmen nur dann als wesentlich gelten, wenn sie mindestens 750 Mitarbeitende beschäftigen oder einen Jahresumsatz von über 150 Mio. EUR bzw. eine Jahresbilanzsumme über 129 Mio. EUR aufweisen – und dabei in Anhang I der NIS-2-Richtlinie fallen. Das ist ein klarer Schritt hin zu einer realistischen, wirtschaftlich tragbaren Schwellenlogik, die die NIS-2-Betroffenheit auf jene Unternehmen fokussiert, die tatsächlich eine kritische Rolle im europäischen Wirtschaftsgefüge spielen. Damit wird eine zentrale Forderung der Bundesfachkommission des Wirtschaftsrates umgesetzt: Die Regulierung muss verhältnismäßig bleiben und darf nicht in eine pauschale Übererfassung abgleiten.

Auch in der Energie- und Verkehrsbranche zeigt sich die Linie der Kommission: Energieerzeuger sollen künftig nur noch erfasst werden, wenn ihre Erzeugungsleistung über einem Megawatt liegt. Betreiber intelligenter Verkehrssysteme werden als Anbieter öffentlicher oder privater IVS-Dienste klar definiert. Beide Anpassungen schaffen dringend benötigte Klarheit und reduzieren Interpretationsspielräume, die Unternehmen bislang in erhebliche Rechtsunsicherheit stürzten. Gleichzeitig werden im Gesundheitsbereich einige Bereiche aus der NIS-2-Betroffenheit herausgenommen: Langzeitpflege, die Zuteilung von Organtransplantaten und öffentliche Impfprogramme sollen künftig nicht mehr als Gesundheitsdienstleister gelten – eine Entlastung, die vielen Einrichtungen Planungssicherheit verschafft.

Im Chemie- und Produktherstellerbereich wird die Kommission ebenfalls präziser: Erfasst werden sollen nur noch Hersteller von Chemikalien und Erzeugnissen, die einer Registrierungspflicht nach der REACH-Verordnung unterliegen. Damit wird eine klare Verbindung zur bestehenden EU-Regulierung hergestellt und eine sinnvolle Grenze gezogen, die den Anwendungsbereich deutlich eingrenzt und auf tatsächliche Risikobehaftung ausrichtet.

Der Vorschlag der Kommission wird nun im Trilog zwischen Kommission, Rat und Europäischem Parlament verhandelt, und es ist keineswegs sicher, welche Änderungen tatsächlich umgesetzt werden. Doch die Richtung ist eindeutig: Die EU-Kommission erkennt die Notwendigkeit, gravierende Fehler im Anwendungsbereich zu korrigieren. Das ist ein wichtiges Signal für die Wirtschaft, denn Unternehmen, die bei ihrer Betroffenheitsprüfung bisher auf Unklarheiten stießen, erhalten durch die Diskussion neue, belastbare Argumente.

Für die Bundesfachkommission Cybersicherheit ist diese Entwicklung ein ermutigender Beleg dafür, dass ihre Arbeit wirkt. Die Argumente, die wir in die Gremien eingebracht haben, gewinnen in Brüssel an Relevanz – und das in einem Bereich, der für die gesamte deutsche Wirtschaft existenziell ist. 

Es ist ein Hinweis darauf, dass eine fundierte, praxisorientierte Regulierung möglich ist, wenn sie konsequent vertreten wird. Jetzt gilt es, den Prozess im Trilog aufmerksam zu begleiten und dafür zu sorgen, dass die NIS-2-Richtlinie am Ende nicht nur sicherer, sondern auch fairer und praktikabler wird. Denn die klare Botschaft lautet: Cybersicherheit muss wirksam sein – aber sie muss auch wirtschaftlich tragbar bleiben.