Am 28. November 2022 hat der Rat der Europäischen Union die Richtlinie (EU) 2022/2555 verabschiedet, besser bekannt als NIS-2-Richtlinie, deren Ziel ist, das Schutzniveau in der Europäischen Union überall zu verbessern. Die neue Richtlinie ersetzt die originale NIS I (Richtlinie (EU) 2016/1148), da sie kurzfristig veraltet wurde, wegen der Förderung der Cyberbedrohungen sowie wegen der generellen Entwicklung des Cyberspace. Die neue Richtlinie nimmt die positiven Erfahrungen über, die durch die Entwerfung der GDPR gekannt wurden, mit einem Endziel, praktischer zu sein und einfacher für die Implementierung zu werden.
Mit der NIS 2 wird der Geltungsbereich der NIS I erweitert, was zu einem erhöhten Fokus auf „wesentlichen“ und „wichtigen“ Einrichtungen geleitet hat, und gleichzeitig erlaubt den Mitgliedstaaten, eine Selbstregistrierungspflicht auf diese Einrichtungen aufzuerlegen.
Weitere Änderungen im Vergleich mit NIS I umfassen die Änderung des Mechanismus der Berichtspflichten im Bereich der Cybersicherheit – die Bedingungen sowie die Fristen für Benachrichtigung, die erweiterten minimalen Sicherheitsmaßnahmen, die Änderungen in der Konformitätsbewertung und eine erweiterte Rolle des Managements. Letztlich, wurden auch die Durchsetzungsmechanismen verbessert, mit einer Erhöhung der administrativen Geldbußen, sowie mit der Einführung der anderen Arten der Sanktionen.
Diese Änderungen versprechen, einen positiven Einfluss auf die Cybersicherheit zu haben.