Die EU-Kommission hat ein neues Cybersicherheitspaket vorgestellt, das eine Überarbeitung des Cybersecurity Acts und Änderungen an der NIS-2-Richtlinie beinhaltet. Diese Anpassungen könnten erhebliche Auswirkungen auf die Betroffenheit von Unternehmen haben.
Das Ziel der EU-Kommission hinter der Änderung des Cybersecurity Acts besteht darin, die Cybersicherheitsresilienz und -kapazitäten zu stärken, um Unternehmen und Institutionen besser gegen wachsende Cyberbedrohungen zu schützen und gleichzeitig die Compliance-Anforderungen zu vereinfachen.
Vor wenigen Tagen hat die EU-Kommission ein neues Cybersicherheitspaket vorgelegt. Neben einer Überarbeitung des Cybersecurity Acts (CSA) sind darin auch einige Änderungen an der NIS-2-Richtlinie vorgesehen. Diese ist in Deutschland erst seit dem 6. Dezember 2025 offiziell in Kraft. Sollten die Vorschläge wie von der Kommission geplant umgesetzt werden, hätte dies auch Auswirkungen auf die NIS-2-Betroffenheit von Unternehmen, da die neuen Regelungen die Compliance-Anforderungen und Zertifizierungsstandards erheblich erweitern würden.
Der Cybersecurity Act, hierzulande auch Europäischer Rechtsakt zur Cybersicherheit genannt, trat am 27. Juni 2019 in Kraft. Kernelemente dieser Verordnung sind ein permanentes Mandat für die europäische Cybersicherheitsagentur European Union Agency for Cybersecurity, kurz ENISA, sowie die Einführung eines einheitlichen europäischen Zertifizierungsrahmens für IKT-Produkte, -Dienstleistungen und -Prozesse. Mit ihrem Vorschlag vom 20. Januar 2026, hat die EU-Kommission eine umfassende Reform des Cybersecurity Acts vorgestellt. Das Ziel ist es, die Cybersicherheitsresilienz und -kapazitäten der EU angesichts wachsender Cyberbedrohungen weiter zu stärken. Das neue „Cybersecurity Package“ soll zum einen sicherstellen, dass Produkte, die auf dem EU-Markt angeboten werden, durch ein vereinfachtes Zertifizierungsverfahren von vornherein cybersicher sind, und zum anderen die Einhaltung bestehender EU-Cybersicherheitsvorschriften erleichtern und die ENISA stärken.
Für das Ziel sicherer digitaler Produkte hat bereits der Cyber Resilience Act (CRA), der am 10. Dezember 2024 in Kraft getreten ist. Der CRA baut auf der EU Cybersecurity Strategy von 2020 und der EU Security Union Strategy auf. Zudem ergänzt der CRA andere Rechtsvorschriften in diesem Bereich, insbesondere die NIS-2-Richtlinie. Aus diesen Verkettungen wird bereits deutlich, wie eng verzahnt die verschiedenen EU-Regulierungen sind. Anpassungen des Cybersecurity Acts könnten also auch Auswirkungen auf andere Vorgaben haben.
Reduktion von Risiken durch Drittlandlieferanten mit Cybersicherheitsbedenken
Einführung eines vertrauenswürdigen Sicherheitsrahmens basierend auf harmonisierten, risikobasierten Ansätzen
Zertifizierungsverfahren und -programme
Einführung eines erneuerten europäischen Cybersicherheitszertifizierungsrahmens (ECCF) zur effizienteren Sicherheitsprüfung von Produkten und Dienstleistungen
Standardisierte Entwicklung von Zertifizierungssystemen innerhalb von zwölf Monaten
Die von der ENISA verwalteten Zertifizierungsprogramme sind freiwillig. Sie sollen es Unternehmen ermöglichen, die Einhaltung der EU-Gesetzgebung nachzuweisen und den Aufwand und die Kosten reduzieren.
Einführung weitreichender Programme zur Stärkung der Cybersicherheitskompetenzen
Einhaltung von Vorschriften
Vereinfachung der Einhaltung von EU-Cybersicherheitsvorschriften für Unternehmen
Einführung einer neuen Kategorie kleiner Unternehmen zur Senkung der Compliance-Kosten
Anpassung der Zuständigkeitsregeln und Optimierung der Datenerfassung zu Ransomware-Angriffen
Stärkung der ENISA
Unterstützung der EU und Mitgliedstaaten bei der Identifikation und Reaktion auf Cyberbedrohungen
Bereitstellung von Frühwarnungen und Unterstützung nach Ransomware-Angriffen
Förderung der Entwicklung von qualifizierten Cybersicherheitsexperten in Europa
Die vorgeschlagenen Änderungen, die sich durch das neue Cybersicherheitspaket für die NIS-2-Richtlinie ergeben würden, zielen darauf ab, die Rechtssicherheit zu erhöhen und die Einhaltung der Vorschriften zu erleichtern. Von dieser Verbesserung wären insgesamt 28.700 Unternehmen, darunter 6.200 Kleinst- und Kleinunternehmen betroffen. Zudem soll damit eine neue Kategorie kleiner und mittelständischer Unternehmen eingeführt werden, um die Compliance-Kosten für etwa 22.500 Unternehmen zu senken. Die Änderungen würden zudem eine Vereinfachung der Zuständigkeitsregeln mit sich bringen und die Datenerfassung zu Ransomware-Angriffen optimieren, was eine präzisere Analyse und Reaktion ermöglichen würde. Darüber hinaus soll die Aufsicht über grenzüberschreitend tätige Unternehmen durch die gestärkte Koordinierungsrolle der ENISA erleichtert werden. Das bedeutet, dass Unternehmen besser unterstützt würden und ihre Cybersicherheitsstrategien im Idealfall effektiver umsetzen könnten.
Sollte der neue Cybersecurity Act vom Europäischen Parlament und dem EU-Rat angenommen werden, würde er unmittelbar in Kraft treten. Und somit auch die Änderungen an NIS 2. Nach der Annahme hätten die EU-Mitgliedsstaaten ein Jahr Zeit, die neue Richtlinie in nationales Recht umzusetzen und die entsprechenden Texte an die EU-Kommission zu übermitteln.
Der Bitkom hat sich zu der geplanten Revision des Cybersecurity Act geäußert. Zusammenfassend lässt sich sagen, dass der Digitalverband folgende Vorteile und Schwächsen sieht:
Vorteile der Revision
Schwächen der Revision
Stärkung der ENISA zur Verbesserung der Cybersicherheitslage in der EU
Anspruch auf vereinfachte Vorgaben wird noch nicht vollständig eingelöst
Cybersicherheitszertifikate dienen künftig stärker als anerkannter Nachweis für andere EU-Vorgaben
Das Prinzip „ein Vorfall, eine Meldung“ wird durch parallel laufende Meldewege gefährdet
Rechtssicherheit durch Reduzierung von Doppelprüfungen
Notwendigkeit der Abstimmung zwischen unterschiedlichen Regelwerken bleibt ungelöst
Finanzielle Unterstützung für ENISA im nächsten EU-Haushaltszeitraum
Vorhandene nationale Pläne zur Nutzung ausländischer Komponenten müssen berücksichtigt werden
Einen wichtigen Aspekt bringt auch der Eco-Verband der Internetwirtschaft ein: „Positiv zu bewerten ist, dass die Kommission die zuständige EU-Agentur für Cybersicherheit ENISA stärkt. Allerdings bleibt abzuwarten, ob dies am Ende tatsächlich zu mehr Agilität und Stakeholdernähe führt, oder nur wieder zu mehr Bürokratie. Auch die angestrebte Beschleunigung der Zertifizierung bewerten wir positiv. Wichtig ist, dass die Zertifizierung weiter international etablierte Standards wiederspiegelt und den Mitgliedsstaaten aufgrund ihrer unterschiedlichen Ausgangslage ausreichend Zeit für die Umsetzung der neuen Regeln eingeräumt wird. Getätigte Investitionen dürfen nicht durch neue Regulierung obsolet werden.“
Security-Learning: Der Vorschlag der EU-Kommission für den Cybersecurity Act 2 und die Änderungen an der NIS-2-Richtlinie zeigen Fortschritte in der Cybersicherheitsstrategie Europas. Die Einführung eines erneuerten Zertifizierungsrahmens und die Stärkung der ENISA klingen vielversprechend und könnten Unternehmen helfen, sich besser gegen Cyberbedrohungen zu wappnen. Jedoch könnte die zusätzliche Belastung durch steigende Zertifizierungsanforderungen und verschärfte Aufsicht insbesondere für kleine und mittelständische Unternehmen herausfordernd sein. Während die Änderungen erst einmal positiv klingen, bleibt abzuwarten, wie sie in der Praxis umgesetzt werden und welche konkreten Auswirkungen sie auf die Unternehmen haben.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/cd/b0cd6ad0db8b7b584295c04c4084023d/0125494472v2.jpeg "Am 3. Juli waren auf einmal die Webseiten des Distributors Ingram Micro nicht mehr erreichbar. Schnell wurde von Mitarbeitern und Kunden ein Cyberangriff vermutet. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/6c/dd/6cddbcf249f31748feae7096189632a2/0128612351v1.jpeg "Um die sich schnell ändernden Bedrohungen der KI-Technologie effektiv zu adressieren, sollten Unternehmen im Zuge einer aggressiven Cloud-Strategie ihre Sicherheitsvorkehrungen überdenken und konsolidieren. (Bild: © Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/f7/b3f75dd711f2385a1e7d528acc79b1c7/0128774540v1.jpeg "Mit der Übernahme von Armis will ServiceNow eine einheitliche Sicherheitsplattform für die gesamte Angriffsfläche schaffen, die die Lücke zwischen dem Erkennen von Schwachstellen und deren Behebung schließt und so Milliarden von vernetzten Geräten autonom schützt. (Bild: © twindesigner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/11/63115ba1d37c1e9499d599c744c80ab4/0123849100v1.jpeg "Jörg Hollerith, Produktmanager bei Paessler, betont die Bedeutung klar definierter Schwellenwerte, um Warnmeldungen verlässlicher einzuordnen. (Bild: Paessler)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/4d/da/4dda0e5edf9ddd0c31363f92becb045e/0127807026v1.jpeg "Proaktive IT-Wartung: Unified Endpoint Management und Digital Employee Experience sollen Fehler erkennen, bevor sie den Betrieb beeinträchtigen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0b/22/0b22469f85709c1d30f4fa6db4f832f4/0129015808v2.jpeg "Unternehmen verlieren den Überblick über ihre Daten. Um sensible Informationen angemessen schützen zu können, müssen sie alle ihre Daten erst sorgfältig klassifizieren. (Bild: © mnirat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/d0/cfd05fb7d685daeef671838eb3edf725/0128875949v2.jpeg "Drei teils kritische Schwachstellen betreffen lokale Windows-Versionen von Trend Micro Apex Central. Sie ermöglichen eine vollständige Systemübernahme durch Remote-Code-Ausführung sowie Denial-of-Service-Angriffe. (Bild: Melinda Nagy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a8/09/a809c2b47ea5879bc108f0e713988bb5/0129070533v2.jpeg "Das Ziel der EU-Kommission hinter der Änderung des Cybersecurity Acts besteht darin, die Cybersicherheitsresilienz und -kapazitäten zu stärken, um Unternehmen und Institutionen besser gegen wachsende Cyberbedrohungen zu schützen und gleichzeitig die Compliance-Anforderungen zu vereinfachen. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/ac/7d/ac7de267fffd98226a6feeee8275e6de/0128963385v2.jpeg "NIS 2 gilt! Alles, was Unternehmen dazu nun wissen müssen, gibt es im Fakten-Check mit Prof. Dennis-Kenji Kipker im Security-Insider-Podcast. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/3e/fa/3efacb47d1c6a526f593592dc476ac21/0129029791v2.jpeg "Mit dem Entwurf zur Überarbeitung des Cybersecurity Act will die EU-Kommission die Cybersecurity in der EU stärken und harmonisieren. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/ef/c6ef28bf165f5d4c68b636e28ccda78f/0127922748v2.jpeg "Alexander Dobrindt (CSU), Bundesminister des Innern, vertrat bei der Debatte im Deutschen Bundestag zur Verabschiedung der NIS-2-Richtlinie am 13. November 2025, die Bundesregierung. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/91/80/918064ea1aafd8875b0201ced4f32bc3/0128147179v2.jpeg "Die EU etabliert mit der ENISA, CERT‑EU, EU‑CyCLONe und einer finanzierten Cybersecurity‑Reserve ein koordiniertes System, das Unternehmen bei schweren Cybervorfällen schnell und grenzüberschreitend über zentrale Anlaufstellen unterstützt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/36/73/367334b845acde984423a1861a47666d/0117007798.jpeg "Auch wenn noch immer einige Fragen bei NIS-2 offen sind, sollten betroffene Unternehmen keine Zeit verlieren und sich eingehend mit den Vorgaben der EU-Richtlinie auseinandersetzen. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/91/80/918064ea1aafd8875b0201ced4f32bc3/0128147179v2.jpeg "Die EU etabliert mit der ENISA, CERT‑EU, EU‑CyCLONe und einer finanzierten Cybersecurity‑Reserve ein koordiniertes System, das Unternehmen bei schweren Cybervorfällen schnell und grenzüberschreitend über zentrale Anlaufstellen unterstützt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b9/2f/b92f69a8714905c2feecc8081fdce668/0124940765v2.jpeg "Da der CRA Teil der CE-Kennzeichnung wird, müssen alle betroffenen Produkte die neuen Anforderungen erfüllen, bevor sie auf den EU-Markt gelangen. (Bild: © Maksym Yemelyanov - stock.adobe.com)")