V veljavo sta stopili dve direktivi, Direktiva o ukrepih za visoko skupno raven kibernetske varnosti v Uniji (direktiva NIS 2) ter Direktiva o odpornosti kritičnih subjektov (direktiva CER).
Direktiva NIS 2, ki nadomešča dosedanja pravila o varnosti omrežij in informacijskih sistemov, znatno razširja število sektorjev in vrst kritičnih subjektov, ki spadajo v njeno področje uporabe. Ti vključujejo ponudnike javnih elektronskih komunikacijskih omrežij in storitev, storitve podatkovnih centrov, ravnanje z odpadnimi vodami in odpadki, proizvodnjo kritičnih proizvodov, poštne in kurirske storitve ter subjekte javne uprave in širši zdravstveni sektor. Direktiva povečuje zahteve glede obvladovanja tveganj kibernetske varnosti, ki jih morajo izpolnjevati podjetja. Hkrati racionalizira obveznosti poročanja o incidentih z natančnejšimi določbami o poročanju, vsebini in časovnem okviru.
Nova direktiva CER nadomešča evropsko direktivo o kritični infrastrukturi iz leta 2008, pri čemer naj bi nova pravila okrepila odpornost kritične infrastrukture na različne grožnje, vključno z naravnimi nesrečami, terorističnimi napadi, notranjimi grožnjami ali sabotažami. Zajetih bo 11 sektorjev: energetika, promet, bančništvo, infrastruktura finančnih trgov, zdravje, pitna voda, odpadne vode, digitalna infrastruktura, javna uprava, vesolje in hrana. Države članice bodo morale sprejeti nacionalno strategijo in izvajati redne ocene tveganja, na osnovi katerih bodo opredelile subjekte, ki veljajo za kritične ali ključne za družbo in gospodarstvo.
Države članice imajo za prenos obeh direktiv v nacionalno zakonodajo časa 21 mesecev, v tem času pa morajo sprejeti in objaviti vse ukrepe, ki so potrebni za uskladitev z njima.
