Während die NIS2-Umsetzung in der EU im Gange ist, arbeitet auch Großbritannien an NIS2 und aktualisiert die Regulierung Kritischer Infrastrukturen mit NIS2-artigen Verpflichtungen. Die Vorgaben aus EU NIS (2016) hat UK mit der eigenen NIS-Verordnung 2018 umgesetzt. Obwohl nicht mehr Teil der EU, besteht für Großbritannien weiterhin der Anreiz, sich an NIS2-ähnliche Cyber-Vorgaben anzupassen. Dies verringert die Hürden in der Compliance britischer Unternehmen, die auf dem britisch-europäischen Markt tätig sind als Betreiber und als Dienstleister. In 2024 versprach die britische Regierung, dass das NIS-Regime von 2018 dringend aktualisiert werden müsse. Diese Aktualisierung durch den Cyber Security and Resilience Bill (CS&R Bill) nimmt Gestalt an. Das Gesetz wurde im November 2025 ins Unterhaus eingebracht und wird voraussichtlich 2026 vom Parlament verabschiedet. Die britische NIS-Regulierung ändert sich durch CS&R deutlich: Ausweitung des Geltungsbereichs über Betreiber wesentlicher Dienste hinaus, Erweiterung der britischen Sektoren und Ergänzung einiger digitaler Anbieter und Dienste Neue Regulierung von designierte kritische Lieferanten als direkten Hebel für eine kleine Anzahl von Lieferanten mit großer Wirkung, einschließlich grenzüberschreitender Lieferketten NIS2-ähnliche zweistufige Struktur für die Meldung von Vorfällen (24/72 Stunden) Stärkere Befugnisse der Regulierungsbehörden (Informationsaustausch, Durchsetzungs, Kosten) NIS2-ähnliche umsatzabhängige Sanktionen Flexibilität in der Anpassung von Schwellenwerten und Anforderungen in sekundären Vorschriften