NIS2-betroffene Unternehmen müssen die Anforderungen der „Orientierungshilfe Systeme zur Angriffserkennung (OH SzA)“ nicht automatisch umsetzen. Die OH SzA ist eine vom BSI speziell für Betreiber Kritischer Infrastrukturen (KRITIS) herausgegebene Orientierungshilfe zur Umsetzung von Angriffserkennungssystemen. NIS2 hingegen ist eine EU-Richtlinie, die ein breiteres Spektrum an Unternehmen betrifft, darunter auch viele mittlere und große Unternehmen in kritischen und wichtigen Sektoren, mit umfassenden IT-Sicherheits- und Risikomanagementpflichten.
NIS2 verlangt von betroffenen Unternehmen ein umfassendes Sicherheits- und Risikomanagement sowie technische und organisatorische Maßnahmen zur Absicherung ihrer IT-Systeme. Dabei kann die Umsetzung von Angriffserkennungssystemen eine mögliche Maßnahme zur Erfüllung der Risikomanagementanforderungen sein, ist aber nicht explizit an die OH SzA gebunden.
Zusammengefasst: Nur Betreiber Kritischer Infrastrukturen, die auch unter das BSI-Gesetz fallen, sind verpflichtet, die OH SzA umzusetzen. NIS2-betroffene Unternehmen müssen zwar vergleichbare technische und organisatorische Sicherheitsmaßnahmen umsetzen, sind aber nicht per se zur OH SzA verpflichtet. Die konkrete Umsetzung von Angriffserkennungsmethoden richtet sich bei NIS2 nach den jeweiligen Risikobewertungen und Sicherheitsanforderungen der Organisation.