Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) ist eine überarbeitete Fassung der Netzwerk- und Informationssicherheits-Richtlinie (Richtlinie (EU) 2016/1148). Sie wird durch einen Implementing Act, eine verbindliche Verordnung, ergänzt, die die Anforderungen der Richtlinie präzisiert. In der neuen Richtlinie wurde die Rolle der ENISA gestärkt, die ein Leitfadendokument veröffentlicht hat, an dem sich Unternehmen bei der Umsetzung der Vorgaben des Implementing Acts orientieren können. Durch diese Konkretisierung der Anforderungen für den IT-Sektor gibt die EU einen klaren Leitfaden vor, an dem sich kritische Unternehmen ausrichten sollen.

Die ursprüngliche NIS-Richtlinie (Richtlinie (EU) 2016/1148) legte den Grundstein für eine erhöhte Cyberresilienz EU-weit und wurde in Deutschland maßgeblich durch das IT-Sicherheitsgesetz (IT-SiG) sowie korrespondierende Anpassungen im BSI-Gesetz (BSIG) umgesetzt. Die KRITIS-Verordnung (BSI-KritisV) präzisierte hierbei, welche Organisationen als Betreiber Kritischer Infrastrukturen (KRITIS-Betreiber) galten und somit besonderen Pflichten unterlagen. Diese KRITIS-Betreiber waren verpflichtet, Sicherheitsmaßnahmen nach dem „Stand der Technik“ zu implementieren. Zur Konkretisierung dieser Anforderung etablierte sich ein System branchenspezifischer Sicherheitsstandards (B3S), die von Branchenverbänden entwickelt und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) anerkannt wurden, um als Umsetzungsnachweis zu dienen. Der Anwendungsbereich dieser Standards erstreckte sich auf die in der KRITIS-Verordnung definierten kritischen Anlagen. Das BSI übernahm zentrale Aufgaben, darunter die Registrierung der KRITIS-Betreiber, die Bearbeitung von Meldungen zu Sicherheitsvorfällen und die Überwachung der Sicherheitspflichten.