Die EU-Kommission hat am 7. Mai 2026 eine NIS2-Erleichterung für rund 28.700 europäische Unternehmen beschlossen. Mittelständler mit weniger als 250 Beschäftigten und unter 50 Millionen Euro Umsatz fallen aus der Hauptkategorie heraus, wenn sie nicht in kritischer Infrastruktur tätig sind. Die deutsche Umsetzung soll bis Q3 2026 nachgezogen werden.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Hand aufs Herz: Wann hatten Sie zuletzt eine NIS2-Compliance-Frage auf dem Schreibtisch, die niemand definitiv beantworten konnte? Genau diese Unsicherheit will Brüssel jetzt entschärfen, mit erheblichen Folgen für IT-Budgets im Mittelstand.
Das Wichtigste in Kürze
- Brüssel reduziert NIS2-Pflichten für rund 28.700 europäische Unternehmen
- Schwelle: unter 250 Beschäftigte und unter 50 Millionen Euro Umsatz
- Ausnahme nur, wenn keine kritische Infrastruktur betrieben wird
- Deutsche Umsetzung bis Q3 2026 erwartet
Was sich konkret ändert
NIS2 verlangt von betroffenen Unternehmen ein Risikomanagement-System, Meldepflichten innerhalb von 24 Stunden bei Cybervorfällen, Lieferketten-Sicherheitsanforderungen und persönliche Haftung der Geschäftsführung. Für die neu ausgenommenen Mittelständler entfallen die Hauptpflichten — verbleiben aber Basis-Anforderungen wie Backup-Strategien und grundlegende Authentifizierung.
Lesetipp: Cybersecurity Grundlagen: Was KMU 2026 können müssen
Die Ausnahmeregelung gilt nicht pauschal. Wer im Energie-, Wasser-, Gesundheits-, Transport- oder Telekommunikationssektor tätig ist, bleibt voll in NIS2. Auch IT-Dienstleister mit kritischen Kunden im Portfolio fallen weiterhin unter die volle Regulierung. Brüssel begründet die Differenzierung mit dem Sophos-Compliance-Report vom April 2026: 79 Prozent der IT-Führungskräfte hatten Schwierigkeiten, mit den Gesetzesänderungen Schritt zu halten.
Wer in Deutschland besonders profitiert
Schätzungen des Bitkom zufolge sind in Deutschland rund 6.500 bis 7.500 Unternehmen von der Erleichterung erfasst. Klassische Handelsunternehmen, Werbeagenturen, kleinere Maschinenbau-Mittelständler und Beratungsfirmen sind die Hauptgruppe. Wer bisher zwei bis fünf Manntage pro Monat für NIS2-Compliance budgetiert hat, kann dieses Budget jetzt umschichten.
Die deutsche Umsetzung erfolgt im Rahmen des NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz). Das BMI hat in einer Pressemitteilung vom 8. Mai 2026 angekündigt, den Gesetzentwurf bis Sommer entsprechend anzupassen. Die offizielle Verkündung wird laut Bundesinnenministerium für Q3 2026 erwartet.
Diese Erleichterung kommt zur richtigen Zeit. Mittelständler haben in den letzten zwei Jahren ihre IT-Budgets aufgrund regulatorischer Mehrarbeit aufgebläht. Wer jetzt herausfällt, sollte das frei werdende Budget nicht streichen, sondern in echte Sicherheitsmaßnahmen umschichten.
— Markus Seyfferth, Chefredakteur Dr. Web
Was Geschäftsführer jetzt prüfen sollten
Vier Schritte stehen an. Erstens die eigene Einstufung verifizieren: Liegt das Unternehmen unter den Schwellenwerten? Fällt es in eine kritische Branche? Diese Frage gehört auf den Tisch der Geschäftsführung, nicht in die zweite Reihe der IT-Abteilung. Zweitens auch bei Ausnahme weiter dokumentieren: Lieferanten und Großkunden werden NIS2-Compliance vertraglich verlangen, auch wenn das Gesetz es nicht mehr zwingend fordert.
Drittens das Budget umschichten in greifbare Härtung: Multi-Faktor-Authentifizierung, Backup-Strategie, Patch-Management. Konkrete Maßnahmen helfen mehr als Compliance-Theater. Viertens als Cluster-Brücke: Wer NIS2-Pflichten verliert, sollte das frei werdende Budget in Themen wie WordPress-Sicherheit oder die Härtung der Cloud-Umgebung stecken.
Mehr Newshunger?
