Die ursprüngliche NIS-Richtlinie von 2016 war ein Meilenstein, zielte aber auf Großunternehmen und Betreiber kritischer Infrastrukturen ab. Da Cyberkriminalität die Stabilität des gesamten Wirtschaftssystems bedroht, wurde die Verordnung der EU auf weitere Branchen und Unternehmensgrößen ausgeweitet.