Новая директива о безопасности сети и информационных систем NIS2 заменяет директиву NIS, принятую в 2016 году, и призвана согласовать меры в области кибербезопасности в государствах-членах ЕС, установив минимальные требования к нормативно-правовой базе и механизмам сотрудничества между соответствующими органами.
В NIS2 введено общее для стран ЕС правило об определении организаций, предоставляющих жизненно важные услуги и подпадающих под действие законов о кибербезопасности, на основании их размера. В предыдущей версии директивы определение оставалось за странами. Кроме того, из-под действия директивы явным образом выводятся организации, осуществляющие деятельность в областях обороны, национальной безопасности и обеспечения правопорядка, органы судебной власти, парламенты и центральные банки.
Положения новой директивы согласованы с положениями законов о регулировании отдельных областей деятельности — в частности, закона о цифровой операционной устойчивости DORA для финансового сектора и директивы об устойчивости критически важных организаций CER. Директива также предусматривает упрощение отчетности организаций.