Parlament Europejski uchwalił pierwszą dyrektywę w sprawie bezpieczeństwa systemów informatycznych i sieciowych (NIS). Celem było podniesienie ogólnego poziomu bezpieczeństwa cybernetycznego systemów informatycznych, które są kluczowe dla funkcjonowania społeczeństwa. Wcześniej każdy kraj europejski radził sobie z cyberzagrożeniami według własnego uznania. NIS koncentrowała się na opracowaniu interoperacyjnego podejścia do wysiłków przedsiębiorstw i administracji mających na celu rozwiązanie problemów związanych z zapewnieniem cyberbezpieczeństwa i zarządzaniem ryzykiem w tym obszarze. Dokument ten wymagał od państw członkowskich stworzenia krajowych strategii cyberbezpieczeństwa, wyznaczenia właściwych organów krajowych oraz zespołów reagowania na incydenty bezpieczeństwa komputerowego. Postawił też konkretne wymagania podmiotom należącym do dwóch kategorii: Operatorom Usług Kluczowych (OES – Operator of Essential Services) i Dostawcom Usług Cyfrowych (DSP – Digital Service Providers). Ustalono powszechnie stosowane kryteria wskazujące, które przedsiębiorstwa należą do poszczególnych kategorii i zdefiniowano związane z tym wymagania i obowiązki.
W naszym kraju wymagania dyrektywy NIS włączono do ustawy o krajowym systemie cyberbezpieczeństwa, która była pierwszym akt prawnym w tej dziedzinie. Ponieważ dyrektywa jest „harmonizacją minimalną”, polski ustawodawca częściowo włączył w zakres ustawy również administrację publiczną oraz sektor telekomunikacyjny. Dokument został przyjęty 5 lipca 2018 r. Obecnie regulacja przechodzi nowelizację, jednak do października 2023 r. nie została ona przyjęta przez Sejm.
Świadczenie tych usług jest zależne od systemów informacyjnych a incydent w tym podmiocie miałby istotny skutek zakłócający dla świadczenia tej usługi. OES odpowiadają za usługi oferowane w sektorach energetycznym, transportowym, bankowym i za infrastrukturę rynków finansowych, ochrony zdrowia, zaopatrzenia w wodę pitną (wraz z dystrybucją) i infrastruktury cyfrowej. Do tej ostatniej zalicza się m.in. punkty wymiany ruchu internetowego, dostawców usług systemu nazw domen (DNS) oraz rejestrów nazw domen najwyższego poziomu (TLD).
W grupie dostawców usług cyfrowych znalazły się natomiast takie podmioty jak serwisy zakupowe, wyszukiwarki internetowe oraz dostawcy usług chmurowych. Mają one spełniać inne, bardziej ograniczone wymagania niż pierwsza grupa. Ustawa wyznaczyła również podmioty odpowiedzialne za przyjmowanie zgłoszeń i reakcję na zgłaszane incydenty bezpieczeństwa. Są to zespoły reagowania na incydenty komputerowe (CSIRT – Computer Security Incident Response Team): CSIRT NASK, CSIRT GOV, CSIRT MON. Dokument tworzy także ramy dla funkcjonowania sektorowych zespołów cyberbezpieczeństwa, co jest istotnym posunięciem wprowadzającym wertykalizację cyberbezpieczeństwa i odpowiedzią na specyficzne ryzyka występujące w konkretnych branżach i systemach (energetyka, transport itp.). Określa ponadto ramy współpracy z innymi podmiotami zaangażowanymi w funkcjonowanie systemu cyberbezpieczeństwa w Polsce (publicznymi, instytutami badawczymi, spółkami prawa handlowego wykonującymi zadania o charakterze użyteczności publicznej czy podmiotami świadczącymi usługi z zakresu cyberbezpieczeństwa).
Wdrożenie dyrektywy i ustawy w znacznym stopniu uporządkowało system cyberbezpieczeństwa w Polsce.
