(Erst) Seit dem 6. Dezember 2025 gilt die NIS-2-Richtlinie. Viele Unternehmen in Deutschland sind dadurch erstmals verpflichtet, ihre Cybersicherheit deutlich zu stärken.

Doch nun könnte es erneut Anpassungen geben.

Kritik von Anfang an 🧐

Schon zum Start gab es Unsicherheiten vor allem hinsichtlich:

• unklarer Begriffe
• handwerklicher Fehler
• sehr breiten Anwendungsbereichen
• hohem Umsetzungsdruck

Viele Organisationen mussten kurzfristig Maßnahmen einführen. Nicht selten ohne genau zu wissen, ob und in welchem Umfang sie betroffen sind.

Neues Cybersicherheitspaket 🔐

Am 20. Januar 2026 hat die EU-Kommission überraschend ein neues Cybersicherheitspaket vorgestellt. Es enthält mögliche Änderungen an der NIS-2-Richtlinie.

Sollten diese umgesetzt werden, könnte sich:

• der Kreis der betroffenen Unternehmen verändern
• der Anwendungsbereich präzisiert werden
• der regulatorische Rahmen angepasst werden

Für betroffene Organisationen bedeutet das vor allem: erneute Unsicherheit, da sie sich auf weitere Anpassungen einstellen müssen.

🚨Ausblick

Die Vorschläge werden nun von EU-Kommission, Rat und Parlament beraten. Ob und in welcher Form Änderungen kommen, ist derzeit unklar.

Bis dahin gilt weiterhin die aktuelle NIS-2-Regelegung. Unternehmen und Organisationen sollten regulatorische Entwicklungen aufmerksam verfolgen und flexibel bleiben.