Rådet meddelade den 28 november 2022 att det antagit ny lagstiftning för en hög gemensam nivå av cybersäkerhet i hela EU efter Europaparlamentets godkännande den 10 november 2022. Det nya NIS 2-direktivet ska ersätta de nuvarande nätverks- och informationssäkerhetsreglerna (direktiv (EU) 2016/1148) (NIS-direktivet).
NIS 2-direktivet ska utgöra basen för riskhanteringsåtgärder och rapporteringskrav på cyberområdet i alla sektorer som omfattas av direktivet, såsom energi, transport, hälso- och sjukvård samt digital infrastruktur.
Syftet med det reviderade direktivet är att harmonisera de olika medlemsländernas cybersäkerhetskrav och tillämpning av cybersäkerhetsåtgärder. Därför fastställs miniminivåer för ett regelverk och mekanismer för ett effektivt samarbete mellan de berörda myndigheterna i varje medlemsland. Förteckningen över sektorer och verksamhet som omfattas av cybersäkerhetsskyldigheter uppdateras, och korrigerande åtgärder och sanktioner föreskrivs för att garantera att lagstiftningen följs. Genom direktivet inrättas formellt Europeiska kontaktnätverket för cyberkriser (EU-CyCLONe), som ska bidra till en samordnad hantering av storskaliga cyberincidenter och cyberkriser.
Enligt det gamla NIS-direktivet var det medlemsländerna som bestämde vilka entiteter som uppfyllde kriterierna för att anses vara leverantörer av samhällsviktiga tjänster. Genom det nya NIS 2-direktivet införs en storleksbaserad allmän regel för identifiering av reglerade entiteter. Detta innebär att alla medelstora och stora entiteter som verkar inom de sektorer eller tillhandahåller de tjänster som omfattas av direktivet täcks av dess tillämpningsområde.
Denna allmänna regel bibehålls i det reviderade direktivet. Texten innehåller också ytterligare bestämmelser för att garantera proportionalitet, en högre nivå av riskhantering och tydliga kritiska kriterier så att nationella myndigheter kan fastställa ytterligare entiteter som omfattas. I texten klargörs också att direktivet inte är tillämpligt på entiteter med verksamhet inom områden som försvar eller nationell säkerhet, allmän säkerhet och brottsbekämpning. Rättsväsende, parlament och centralbanker omfattas inte heller av direktivet. NIS 2-direktivet kommer också att gälla för offentliga förvaltningar på central och regional nivå. Dessutom får medlemsländerna besluta att direktivet ska gälla även för sådana entiteter på lokal nivå.
Det nya NIS 2-direktivet har anpassats till sektorsspecifik lagstiftning, främst förordningen om digital operativ motståndskraft för finanssektorn (DORA-förordningen) och direktivet om kritiska enheters resiliens. Syftet är att skapa rättslig klarhet och garantera samstämmighet mellan NIS 2-direktivet och dessa akter. En frivillig peer learning-mekanism ökar det ömsesidiga förtroendet och leder till att fler lärdomar dras av god praxis och erfarenheter i unionen. Detta bidrar i sin tur till en hög gemensam cybersäkerhetsnivå. Rapporteringskraven förenklas för att undvika överrapportering och onödiga bördor för de entiteter som omfattas av dessa.
Direktivet träder i kraft den tjugonde dagen efter att det offentliggjorts i EU:s officiella tidning. Medlemsländerna får därefter 21 månader på sig från ikraftträdandet av direktivet för att införliva bestämmelserna i sin nationella lagstiftning.