I henhold til de nye kravene må medlemsstatene utvikle en nasjonal strategi og gjennomføre risikoanalyser minst hvert fjerde år for å identifisere de kritiske enhetene som leverer essensielle tjenester. Kritiske enheter må selv vurdere relevante risikoer, iverksette tiltak for å sikre sin resiliens og rapportere forstyrrende hendelser til ansvarlige myndigheter. Av særlig interesse er de kritiske enhetene med spesiell europeisk betydning, definert som enheter som leverer essensielle tjenester til seks eller flere medlemsland.
CER-direktivet:
Erstatter direktivet fra 2008 og utvider beskyttelsen av kritisk infrastruktur mot trusler som naturkatastrofer, terrorisme og sabotasje. Dekker 11 sektorer, inkludert energi, transport, helse og digital infrastruktur. Medlemsstatene må gjennomføre risikoanalyser og identifisere kritiske enheter hvert fjerde år.
NIS 2-direktivet:
Styrker EUs cybersikkerhet ved å inkludere flere sektorer, som datasentre, post- og helsetjenester, under regelverket for sikkerhet. Utvider kravene til cybersikkerhetsstyring og rapportering ved sikkerhetshendelser.