Terwijl NIS zich in eerste instantie richtte op kritieke infrastructuursectoren zoals energie, transport en financiën, omvat NIS2 nu ook digitale dienstverleners, cloudserviceproviders en online marktplaatsen.

De zorgplicht houdt in dat je als organisatie ervoor moet zorgen dat jouw gehele infrastructuur op orde is. Denk aan het identificeren van potentiële kwetsbaarheden,  het opstellen van een Incident Respons Plan, Awareness en het monitoren van diensten.

De meldplicht betekent dat je melding moet maken wanneer je te maken hebt met een cyberincident wat de cyberweerbaarheid zal verhogen. Het is nu namelijk enkel verplicht om melding te doen van een datalek, maar niet van bijvoorbeeld een ransomware-aanval of misbruik van een kwetsbaarheid. 

Organisaties die onder de richtlijn vallen, komen ook onder toezicht te staan. De NIS2-richtlijn schrijft voor dat een onafhankelijk toezichthouder [buiten eventueel interbestuurlijk toezicht] naar de naleving van de verplichtingen uit de richtlijn kijkt. 

Bedrijven moeten samenwerken met de overheid bij het voorkomen en afhandelen van cybersecurity-incidenten. Dit kan bijvoorbeeld inhouden dat zij informatie delen over een incident en meewerken aan het onderzoek naar de oorzaak en de omvang van het incident.

Bedrijven moeten bepaalde gegevens bewaren die van belang zijn voor het onderzoek naar een cybersecurity-incident. Het gaat hierbij om gegevens zoals logbestanden en andere informatie over de activiteiten op hun ICT-systemen.