Kaum ist die NIS-2-Richtlinie in nationales Recht umgesetzt, schlägt die EU-Kommission ein neues Cybersicherheitspaket vor, um die Resilienz und die Kapazitäten der EU weiter zu stärken. Auch die Domain Name Industry ist betroffen.
Nach jahrelanger Verzögerung ist am 06. Dezember 2025 das Gesetz zur Umsetzung der europäischen NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung in Kraft getreten. Mit Inkrafttreten wird der Anwendungsbereich des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) deutlich erweitert: Unternehmen, die in bestimmten Sektoren tätig sind und dabei gesetzlich festgelegte Schwellenwerte mit Blick auf Mitarbeiter, Umsatz und Bilanz überschreiten, fallen künftig unter die neuen Kategorien »wichtige Einrichtungen« und »besonders wichtige Einrichtungen«. Diese müssen drei zentralen Pflichten nachkommen: Sie sind gesetzlich verpflichtet, sich als NIS-2-Unternehmen zu registrieren, dem Bundesamt für Sicherheit in der Informationstechnik erhebliche Sicherheitsvorfälle zu melden und Risikomanagementmaßnahmen zu implementieren sowie diese zu dokumentieren. Besondere Risiken schafft das Gesetz für die Geschäftsleitungen juristischer Personen; § 38 BSIG sieht Umsetzungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen vor, deren Verletzung gesellschaftsrechtliche Schadensersatzansprüche auslösen kann. Auch bei Einschaltung von Hilfspersonen bleibt das jeweilige Leitungsorgan letztverantwortlich.
Doch noch bevor sich alle Unternehmen mit der neuen Rechtslage vertraut gemacht haben, steht die nächste Neuregelung an. Am 20. Januar 2026 hat die EU-Kommission eine überarbeitete Cybersicherheitsverordnung angekündigt, mit der die Sicherheit der EU-Lieferketten im Bereich der Informations- und Kommunikationstechnik (IKT) verbessert werden soll. So soll durch ein einfacheres Zertifizierungsverfahren sichergestellt werden, dass Produkte, die die EU-Bürger erreichen, von vornherein cybersicher sind; gezielte Änderungen an der NIS-2-Richtlinie sollen außerdem die Rechtsklarheit erhöhen, um 28.700 Unternehmen, darunter 6.200 Kleinst- und Kleinunternehmen die Einhaltung der Vorschriften zu erleichtern. Ferner ist beabsichtigt, die Rolle der Agentur der Europäischen Union für Cybersicherheit (ENISA) im Hinblick auf die Unterstützung der Mitgliedstaaten und der EU beim Umgang mit Cybersicherheitsbedrohungen zu stärken. Und das wirkt sich auch auf die Domain-Branche aus: Im »Proposal for a Regulation for the EU Cybersecurity Act« der EU-Kommission heißt es:
Within its mandate, ENISA should support the security and resilience of the public core of the open internet and the stability of its functioning, including, but not limited to, the secure deployment and operation of key protocols (in particular Domain Name System, Border Gateway Protocol, and Internet Protocol version 6) and the operation of the domain name system (such as the operation of all top-level domains), by promoting best practices, guidance, and cooperation, in accordance with established global, multistakeholder Internet governance arrangements and the respective roles and responsibilities of relevant international technical and operational bodies.
Details stehen noch nicht fest.
In ihrer Pressemitteilung lässt die EU-Kommission wissen, dass die neue Cybersicherheitsverordnung unmittelbar nach der Annahme durch das Europäische Parlament und den Rat der EU in Kraft treten wird. Bis dahin ist es noch ein weiter Weg, zumal die Richtlinie dann wiederum erst in nationales Recht umgesetzt werden müsste; allein dafür hätten die EU-Mitgliedsstaaten ein Jahr Zeit, und nicht nur die NIS-2 zeigt, dass diese Frist immer wieder überschritten wird. Klar ist nur eins: im Bereich der Cybersicherheit müssen sich große wie kleine Unternehmen auf zusätzliche Pflichten und Verschärfungen einstellen.