Die EU NIS2-Richtlinie soll 2026, zwei Jahre nach Inkraftreten in der EU überarbeitet werden. Im Rahmen des Cyber Security Act 2 (EU CSA2) von Anfang 2026 schlägt die Kommission Anpassungen und Erweiterungen von NIS2 vor. Die Betroffenheit von NIS2 soll etwas abgeschwächt und damit die Wirtschaft und Aufsichtsbehörden entlasten werden. Anpassung des Scopes betroffener Unternehmen – höhere Grenzen Essential Entities Betroffenheit von Einrichtungen von strategic dual-use infrastructure Neue Entities in Scope – Business und Identity Wallets Auschluss von kleinen und “micro-” DNS-Anbietern Berücksichtigung von Post-Quanten-Kryptographie in nationalen Cyberstrategien Harmonisierung der Implementing Acts und Maßnahmen Koordinierte Datensammlung für Ransomware-Angriffe Die Grenzen der großen Unternehmen, die Essential Entities werden, sollen im NIS2-Update 2026 erhöht werden, wozu die small mid-cap enterprises neu eingeführt werden. Die Grenzen der Essential Entities als Großunternehmen werden dann oberhalb der small mid-cap neu definiert. An den größenunabhängig regulierten Essential Entities soll es auch Änderungen geben. Weitere Änderungen sollen noch im Energiesektor vorgenommen werden, mit einem Schwellenwert von 1 MW für Einrichtungen sowie neu betroffene Unterseekabel. Die Kommission soll für EU Implementing Acts regelmäßig die Notwendigkeit von sektoralen oder Einrichtungs-spezifischen Maßnahmenkatalogen prüfen, Mitgliedsstaaten sollen Maßnahmen und Bedrohungen von Post-Quanten-Kryptographie in ihren nationalen Cyber-Strategien berücksichtigen.