«In today’s cybersecurity landscape, stepping up our capabilities, security requirements and rapid information sharing with up-to-date rules is of paramount importance. I urge the remaining Member States to implement these rules at national level as fast as possible to ensure that the services which are critical for our societies and economies are cyber secure», uttaler visepresident Margrethe Vestager i Kommisjonens pressemelding 17. oktober.

Gjennomføringsforordningen beskriver nærmere risikostyringstiltak for cybersikkerhet, samt de tilfeller hvor en hendelse bør betraktes som betydelig og rapporteres inn til nasjonale myndigheter. Den vedtatte forordningen vil gjelde for bestemte kategorier av virksomheter som leverer digitale tjenester, blant annet skytjenester, datasentre, nettmarkedsplasser, søkemaskiner og sosiale nettverksplattformer. For hver kategori spesifiserer forordningen også når en hendelse anses for å være betydelig.

NIS2-direktivet ble lagt frem av Kommisjonen i desember 2020 som del av en større pakke med tiltak, som også inkluderte direktivet om kritiske enheters motstandsdyktighet (CER-direktivet). NIS2 erstatter dagens NIS-direktiv (NIS1) og utvider direktivets virkeområde til å omfatte flere sektorer og tjenester som er av kritisk betydning for økonomien og samfunnet, blant annet offentlig forvaltning. Direktivet fjerner ulikheter mellom medlemslandene når det kommer til cybersikkerhetskrav og -tiltak, og fastsetter minimumsregler for en reguleringsramme. NIS 2 innfører også mekanismer for et effektivt samarbeid mellom relevante myndigheter i hvert medlemsland, og fastsetter rettsmidler og sanksjoner for å sikre overholdelse av regelverket. Berørte virksomheter skal flagge cybersikkerhetshendelser til myndighetene innen 24 timer, og legge frem en sluttrapport om hendelsen innen en måned. Direktivet omfatter tilbydere av samfunnsviktige tjenester innen 18 definerte sektorer, og det skilles mellom «vesentlige» og «viktige» tjenester, hvor sistnevnte er underlagt et mindre strengt tilsynsregime. Enheter som ikke overholder regelverket risikerer bøter på inntil 2 prosent av global omsetning.

NIS1-direktivet fra 2016 ble besluttet vedtatt tatt inn i EØS-avtalen 3. februar 2023, og skal gjennomføres i norsk rett gjennom digitalsikkerhetsloven som ble vedtatt av Stortinget 20. desember 2023. Advokatfirmaet BAHR skriver 17. oktober at loven fortsatt ikke har trådt i kraft, og at justis- og beredskapsdepartementet har åpnet en høring om forslag til forskrift til digitalsikkerhetsloven, som avsluttes 11. desember. I høringsnotatet skriver departementet at «[D]ersom NIS2-direktivet tas inn i EØS-avtalen blir det behov for revisjon av digitalsikkerhetsloven, eller regulering i en annen lov, og endringer eller opphevelse av en eventuell forskrift om digital sikkerhet basert på forslaget i dette høringsnotatet. Der det er hensiktsmessig har imidlertid departementet allerede forsøkt å tilnærme seg kravene i NIS2-direktivet».