Ein weiteres Ziel der neuen NIS2 Richtlinie ist der Aufbau von CSIRTs (Security Incident Response Teams), welche auf EU-Ebene zusammenarbeiten und sich mit Cybervorfällen beschäftigen. Deren Hauptaufgaben ist die Überwachung und Reaktion auf Vorfälle, sowie die Bereitstellungen von Warnungen, Ankündigungen für Stakeholder. Dabei werden innerhalb dieser CSIRTs alle wesentlichen Dienste und Anbieter abgedeckt. Weiterhin wird die Meldepflicht verschärft, welche dazu
führen soll, dass schneller relevante Behörden informiert werden, um so besser und strukturierter Maßnahmen ergreifen zu können. Außerdem werden die Sanktionen erhöht, welche verteilt werden, wenn Vorschriften nicht eingehalten
werden.

Unternehmen aus den folgenden Sektoren inkludiert in die NIS2 Richtlinie:

• Sektoren mit hoher Kritikalität („essentielle Einrichtungen“)
  Energie (Strom, Öl, Gas, Fernwärme und Wasserstoff)
• Verkehr (Luft, Schiene, Wasser und Straße)
• Bankwesen
• Finanzmarktinfrastrukturen
• Gesundheitswesen (einschließlich Labors und Forschung zu Arzneimitteln und medizinischen Geräten)
• Trinkwasser, Abwasser (nur wenn es eine Tätigkeit von Bedeutung für die Firma ist)
• Digitale Infrastruktur
  (Telekommunikation, DNS, TLD, Rechenzentren, Vertrauensdienste, Cloud-Dienste)
• Verwaltung von IKT-Diensten
• Öffentliche Verwaltung
• Weltraum

Sonstige kritische Sektoren („wichtige Einrichtungen“):

• Post- und Kurierdienste
• Abfallbewirtschaftung
• Produktion, Herstellung und Handel mit chemischen Stoffen (Produktion und Vertrieb)
• Produktion, Verarbeitung und Vertrieb von Lebensmitteln (Herstellung, Verarbeitung und Vertrieb)
• Verarbeitendes Gewerbe / Herstellung von Waren (insbesondere, aber nicht ausschließlich, Medizin-, Computer- und
  Transportausrüstung)
• Anbieter digitaler Dienste (Suchmaschinen, Online-Märkte, soziale Netzwerke)
• Forschung

Weiterhin wird ein Unternehmen daran bewertet, wie viele Mitarbeiter und welchen Umsatz dieses macht. NIS2-relevant ist man, wenn man ein mittleres Unternehmen (50 bis 249 Mitarbeiter; weniger als 50 Mio Euro Umsatz und/oder weniger als 43 Mio Euro Bilanz) oder ein Großunternehmen (mehr als 250 Mitarbeiter oder min. 50 Mio Umsatz)

Im Gegensatz zu der in 2017 verkündeten NIS-Richtline sind nun deutlich mehr Sektoren inkludiert, was zu einer steigenden Anzahl der betroffenen Unternehmen führen wird. Außerdem wird sich erhofft, durch die festgelegten Strafsätze bei Missachtung von Anforderungen an die Sicherheit, dass diese von einer Mehrzahl der Unternehmen umgesetzt werden. Weiterhin werden die Prozesse zum Vorfallmanagement angepasst, statt einer allgemeinen Meldepflicht innerhalb von 72 Stunden, wird jetzt eine erste Benachrichtigung über einen erheblichen Vorfall
nach 24 Stunden benötigt. Außerdem müssen neuerdings auch andere Interessensparteien benachrichtigt werden. Da die Formulierung in der Richtlinie nicht eindeutig ist, muss jeder EU-Staat einen Plan zur Umsetzung vorgeben, ein
entsprechendes bekanntgegebenes Amtsblatt für Deutschland liegt zur Verfassung dieses Texts noch nicht vor.