האיחוד האירופי מעדכן את הוראות אבטחת המידע החלות על גופים הפועלים באיחוד האירופי, לרבות גופים שאינם אירופאים ומחייב אותם, בין היתר, לאמץ את אמצעי ניהול סיכוני הסייבר, בהם ניתוח סיכונים ומדיניות אבטחת מערכות מידע, טיפול באירועי אבטחת מידע (מניעה, זיהוי ותגובה), המשכיות עסקית וניהול משברים, אבטחת שרשרת האספקה, אבטחה ברשתות ובמערכות מידע, מדיניות ונהלים לאמצעי ניהול סיכוני אבטחת סייבר, שימוש בקריפטוגרפיה והצפנה, אבטחת משאבי אנוש, מדיניות בקרת גישה וניהול נכסים, השימוש בכללי אבטחה באימות רב-גורמי ועוד.
כן קובעת הדירקטיבה חובות להנהלה הבכירה של גופים חשובים וחיוניים, כהגדרתם בדירקטיבה, לפקח על יישום אמצעים לניהול סיכוני אבטחת סייבר, וכי ההנהלה יכולה לשאת באחריות לאי ציות לאמור.
המדינות החברות באיחוד האירופי מחוייבות לחוקק חקיקה מקומית המאמצת את הכללים שנקבעו בדירקטיבה עד ה-17.10.2024.
דירקטיבת Network and Information Security) NIS2) שנכנסה לתוקף לאחרונה, מעדכנת את כללי אבטחת הסייבר שפורסמו לראשונה בשנת 2016, במטרה להגביר את הרמה הכוללת של אבטחת סייבר באיחוד האירופי, ובכדי לעמוד בקצב הדיגיטציה המוגברת ובאיומי אבטחת הסייבר המתפתחים. זאת באמצעות הרחבתה למגזרים ולגופים נוספים, וכן באמצעות קביעת חובה לנקיטת צעדי אבטחת סייבר נוספים.
הדירקטיבה מתייחסת גם למדינות שאינן חברות באיחוד האירופי. לפי סעיף 26, גם אם גוף לא הוקם באיחוד האירופי, אך מציע שירותים בתוך האיחוד האירופי, עליו למנות נציג באיחוד האירופי בתוך אחת מאותן המדינות החברות שבהן מוצעים השירותים. גוף זה ייחשב כמי שנמצא בתחום השיפוט של המדינה החברה שבה הוקמה הנציגות. בהיעדר נציגות כאמור, כל מדינה חברה שבה הגוף מספר שירותים רשאית לנקוט צעדים משפטיים כנגד אותו גוף בגין הפרת הנחייה זו.
הדירקטיבה מגדירה את תחולתה על "גופים חיוניים" ו"גופים חשובים". האבחנה המרכזית ביניהם היא כי גופים חיוניים מחויבים וכפופים לפיקוח ובקרה יזומים, מראש, בגין עמידה בכללי הגנת הסייבר, בעוד גופים חשובים כפופים לפיקוח תגובתי (ריאקטיבי) כאשר מתרחש אירוע המחייב דיווח.
הן "הגופים החיוניים" והן "הגופים החשובים" חייבים לאמץ את אמצעי ניהול סיכוני הסייבר המפורטים בסעיף 21 לדירקטיבה: ניתוח סיכונים ומדיניות אבטחת מערכות מידע, טיפול בתקריות (מניעה, זיהוי ותגובה), המשכיות עסקית וניהול משברים, אבטחת שרשרת האספקה, אבטחה ברשתות ובמערכות מידע, מדיניות ונהלים לאמצעי ניהול סיכוני אבטחת סייבר, שימוש בקריפטוגרפיה והצפנה, אבטחת משאבי אנוש, מדיניות בקרת גישה וניהול נכסים, השימוש בכללי אבטחה באימות רב-גורמי ואחרים.
גופים חיוניים הם גופים בתחומים הבאים: אנרגיה, תחבורה, בנקאות, תשתיות בשוק הפיננסי, בריאות, מים, שפכים, תשתית דיגיטלית, גופי מינהל ציבורי (למעט הרשות השופטת, הפרלמנט והבנקים המרכזיים), ניהול שירותי טכנולוגיה ותקשורת מרכזיים (ICT’S);
גופים חשובים הם גופים הפועלים במגזרים משמעותיים, אם כי שיבוש פעילותם לא בהכרח יגרום להשלכות חברתיות או כלכליות חמורות: שירותי דואר ובלדרות, ניהול פסולת, ייצור והפצה של כימיקלים, ייצור, עיבוד והפצה של מזון, ייצור מכשור רפואי (למעט מכשירים הנחשבים קריטיים בזמן חירום לבריאות הציבור), מוצרי אלקטרוניקה ותחבורה, ספקי דיגיטל, מחקר.
כן קובעת הדירקטיבה חובות להנהלה הבכירה: "גופי הניהול" של גורמים חשובים וחיוניים נדרשים לפקח על יישום אמצעים לניהול סיכוני אבטחת סייבר ויכולים לשאת באחריות לאי ציות. הוראת NIS 2 לא מגדירה את המונח "גופי ניהול", ומותירה לחקיקה המקומית של כל מדינה מהמדינות החברות באיחוד האירופי להגדיר זאת. עם זאת, משתמע מהדירקטיבה שהכוונה היא להנהלה בכירה ולנציגים משפטיים.
על אותם גופי ניהול מוטלת חובה לבצע הכשרה ולעודד את הגופים בהם הם מכהנים להציע הכשרה דומה לעובדיהם על בסיס קבוע על מנת שירכשו ידע ומיומנויות מספיקים שיאפשרו להם לזהות סיכונים ולהעריך פרקטיקות של ניהול סיכוני אביטחת סייבר והשפעתן על השירותים הניתנים על ידי הגוף בו הם עובדים.
כן מתייחסת הדירקטיבה למועדי דיווח על אירועי אבטחת סייבר: גורמים חיוניים וחשובים נדרשים להודיע לרשויות המוסמכות, תחילה באמצעות הגשת "אזהרה מוקדמת", תוך 24 שעות מרגע שנודע להם על אירועי אבטחת סייבר משמעותיים, ולאחר מכן על קרות אירוע סייבר, תוך 72 שעות; להכין דוח ביניים לפי בקשה של הרשות המוסמכת או צוותי תגובה לאירועי אבטחת מחשבים ("CRISTs"); ולהגיש דוח סופי תוך חודש אחד מההודעה על האירוע.
אירוע סייבר משמעותי כאמור, מוגדר כאירוע שיש לו סיבה או מסוגל לגרום לשיבוש תפעולי חמור של השירותים או להפסד כספי עבור הישות הנוגעת בדבר, ו/או השפיע או מסוגל להשפיע על אנשים או ישויות משפטיות אחרות על ידי גרימת נזק מהותי, או לא מהותי אך משמעותי. עוד מצופה מישויות לציין אם הן חושדות שהתקרית המשמעותית היא תוצאה של פעילות בלתי חוקית או זדונית, ואם לאירוע עשויות להיות השפעות רב-לאומיות.
הדירקטיבה קובעת כי על סוכנות האיחוד האירופי לאבטחת סייבר ("ENISA") תוטל הקמה ותחזוקה של מסד נתונים שיכלול מידע הנוגע לפרצות ידועות בציבור של מוצרים ושירותים. חשיפת המידע במאגר המידע היא וולונטרית.
כן קובעת הדירקטיבה קנסות מינהליים לגופים חיוניים וחשובים שלא יישמו אמצעים לניהול סיכונים ובגין אי עמידה בחובות הדיווח. אם תימצא הפרה של דרישות אלה, הרשויות עשויות להטיל קנסות בסך: עד 7 מיליון אירו או 1.4% מסך המחזור השנתי העולמי על גופים חשובים; ועד 10 מיליון אירו או 2% מסך המחזור השנתי העולמי על גופים חיוניים.
ברמה הלאומית, הדירקטיבה מחייבת כל מדינה החברה באיחוד האירופי לאמץ אסטרטגיית ביטחון לאומי תוך התחשבות ביעדים האסטרטגיים של כל מדינה וקביעת קשרים ומנגנונים בין מדינתיים לטיפול באירועי אבטחת סייבר. כן מחויבת כל מדינה לשלב במדיניות שלה שיקולי שרשרת אספקה, ניהול פגיעויות, הדרכה לארגונים קטנים ובינוניים, אימוץ טכנולוגיות וכלי שיותף מידע לשיפור המודעות אבטחת סייבר עבור אזרחים בכלל האוכלוסיה.