Dyrektywa w sprawie bezpieczeństwa sieci i systemów informatycznych weszła w życie w sierpniu 2016 roku, a państwa członkowskie UE miały ją wdrożyć do prawa krajowego do 9 maja 2018 roku. Dotychczas 11 krajów członkowskich powiadomiło KE o tym, że w pełni ją wdrożyło.
Przepisy, które przewidują m.in., że wszystkie państwa członkowskie muszą przyjąć krajową strategię w zakresie bezpieczeństwa sieci i systemów informatycznych, są pierwszym ogólnounijnym aktem prawnym w dziedzinie cyberbezpieczeństwa.
Przewidziana prawem UE strategia ma zawierać np. plan oceny ryzyka i metody współpracy między sektorem publicznym i prywatnym oraz wskazuje środki reagowania na zagrożenia cyberbezpieczeństwa.
W przepisach duży nacisk położono na współpracę między krajami członkowskimi. Stolice zostały zobowiązane do wyznaczenia punktu kontaktowego, by zapewnić łączność i współpracę transgraniczną z innymi państwami UE.
Dyrektywa przewiduje też, że państwa członkowskie muszą wyznaczyć przynajmniej jeden zespół reagowania na incydenty bezpieczeństwa komputerowego (CSIRT). Jego rolą ma być monitorowanie incydentów na poziomie krajowym, wczesne ostrzeganie, a także reagowanie na incydenty. Zespoły takie mają być połączone w sieć w całej Europie.
Z informacji zawartych w komunikacie KE wynika, że brak pełnego wdrożenia przepisów poza Polską dotyczy: Austrii, Belgii, Bułgarii, Chorwacji, Danii, Francji, Grecji, Hiszpanii, Holandii, Irlandii, Litwy, Luksemburga, Łotwy, Portugalii, Rumunii i Węgier.
Państwa członkowskie, których dotyczy procedura, mają dwa miesiące na udzielenie odpowiedzi na wezwanie do usunięcia uchybienia. W przeciwnym razie KE może podjąć decyzję o kolejnych krokach w procedurze o naruszenie prawa UE, a na końcu skierować sprawę do Trybunału Sprawiedliwości UE.
