Mit dem IT-Sicherheitsgesetz 2.0. werden seit 2021 Unternehmen im besonderen öffentlichen Interesse (UBI), die jedoch nicht unter die KRITIS-Verordnung fallen, erfasst. Ihnen kommen mit diesem Status besondere Rechte und Pflichten zu. Diese Unternehmen werden in drei Kategorien unterteilt:

UBI 1 (AWV-UBI): Dazu zählen Unternehmen, die im Bereich Waffen, Munition und Rüstungsmaterial oder im Bereich von Produkten mit IT-Sicherheitsfunktionen zur Verarbeitung staatlicher Verschlusssachen oder für die IT-Sicherheitsfunktion wesentliche Komponenten solcher Produkte tätig sind.

UBI 2 (Wertschöpfungs-UBI): Dazu zählen die nach ihrer inländischen Wertschöpfung größten Unternehmen Deutschlands sowie wesentliche Zulieferer für diese Unternehmen.

UBI 3 (Störfall-UBI): Betreiber „eines Betriebsbereichs der oberen Klasse im Sinne der Störfall-Verordnung in der jeweils geltenden Fassung" oder Betreiber, die, "nach § 1 Absatz 2 der Störfall-Verordnung diesen gleichgestellt sind.“

Das BSI stellt auf einer eigens eingerichteten Informationsseite FAQ zum Thema UBI bereit. Unternehmen können sich hier informieren, wer im Detail unter welche Kategorie fällt, welche konkreten Rechte und Pflichten damit verbunden sind und bis wann diese umgesetzt werden müssen.