EU-kommissionen har beslutat att inleda överträdelseförfaranden genom att skicka en formell underrättelse till 23 medlemsstater för att de inte har införlivat NIS 2-direktivet (direktiv 2022/2555) fullt ut. De 23 medlemsstaterna är Bulgarien, Tjeckien, Danmark, Tyskland, Estland, Irland, Grekland, Spanien, Frankrike, Cypern, Lettland, Luxemburg, Ungern, Malta, Nederländerna, Österrike, Polen, Portugal, Rumänien, Slovenien, Slovakien, Finland och Sverige.
Medlemsstaterna skulle ha införlivat NIS 2-direktivet i sin nationella lagstiftning senast den 17 oktober 2024. NIS 2-direktivet syftar till att säkerställa en hög nivå av cybersäkerhet i hela EU. Det omfattar enheter som är verksamma inom kritiska sektorer som offentliga elektroniska kommunikationstjänster, förvaltning av IKT-tjänster, digitala tjänster, avloppsvatten och avfallshantering, rymd, hälsa, energi, transport, tillverkning av kritiska produkter, post- och kurirtjänster samt offentlig förvaltning.
Enligt EU-kommissionen är ett fullständigt genomförande av lagstiftningen avgörande för att ytterligare förbättra motståndskraften och incidenthanteringsförmågan hos offentliga och privata enheter som är verksamma inom dessa kritiska sektorer och i EU som helhet. EU-kommissionen skickar därför formella underrättelser till de övriga 23 berörda medlemsstaterna, som nu har två månader på sig att svara, slutföra införlivandet och anmäla sina åtgärder till EU-kommissionen. Om inget tillfredsställande svar inkommer kan EU-kommissionen besluta att avge ett motiverat yttrande.