Direktivet stiller krav til landenes IKT-sikkerhet, inkludert utvikling av strategier, etablering av beredskapsenheter (CSIRT), samt pålegg om sikkerhetstiltak og varslingsplikt for alvorlige hendelser for virksomheter som leverer samfunnskritiske tjenester.
Direktivet gjelder for:
- Samfunnsviktige tjenester. Dette er virksomheter som (i) leverer en tjeneste som er viktig for å opprettholde kritiske samfunnsmessige eller økonomiske aktiviteter innenfor sektorene energi, transport, helse, bank, finansmarkedsinfrastruktur, drikkevannsforsyning og digital infrastruktur, (ii) er avhengig av nettverks- og informasjonssystemer for å levere tjenesten, og (iii) kan få tjenesteleveransen betydelig forstyrret av en hendelse. Departementet har nærmere presisert hvilke virksomheter som omfattes i forskriften som har vært på høring.
- Digitale tjenester. Dette er virksomheter som tilbyr tjenester i form av nettbaserte markedsplasser, nettbaserte søkemotorer eller skytjenester.