Der aktuelle Entwurf des IT-Sicherheitsgesetz 2.0 sieht vor, dass nicht nur Unternehmen und Organisationen, die zu den kritischen Infrastrukturen (KRITIS) gehören, Vorkehrungen treffen müssen, um Störungen ihrer IT-Systeme zu vermeiden.
Jetzt kommen „Unternehmen im besonderen öffentlichen Interesse“ neu hinzu. Diese müssen zwar nicht so viele Anforderungen wie die KRITIS-Einrichtungen erfüllen, sind in Zukunft aber auch gezwungen, in dieser Hinsicht aktiv zu werden. Die betroffenen „Unternehmen im besonderen öffentlichen Interesse“ sind im Wesentlichen Rüstungshersteller, Raumfahrtunternehmen, Hersteller von IT-Produkten für die Verarbeitung staatlicher Verschlusssachen, große Unternehmen, die deswegen volkswirtschaftliche Bedeutung haben, sowie Betreiber eines Betriebsbereichs der oberen Klasse im Sinne der Störfall-Verordnung, also beispielsweise Chemieunternehmen. Für letztere herrschen andere Anforderungen, dazu später mehr.