Dotyczy to m.in. tzw. operatorów usług kluczowych, których identyfikacja będzie dużym wyzwaniem dla państw członkowskich. Przepisy Dyrektywy obejmują m.in. sektor bankowy, energetyczny, transport, ochronę zdrowia. Na mocy nowych przepisów państwa zostały zobowiązane do przyjęcia krajowych strategii NIS. Przepisy przewidują również powołanie grupy współpracy (składającej się z przedstawicieli państw członkowskich) oraz sieci krajowych CSIRTów, wspomaganej przez ENISA (Europejską Agencję Bezpieczeństwa Sieci i Informacji). Państwa członkowskie mają 21 miesięcy na transpozycję przepisów dyrektywy do krajowych porządków prawnych oraz dodatkowe 6 miesięcy na identyfikację wspomnianych operatorów usług kluczowych.

W Ministerstwie Cyfryzacji trwają zaawansowane prace nad projektem strategii cyberbezpieczeństwa dla RP oraz nad ustawą o krajowym systemie cyberbezpieczeństwa. Zarówno strategia jak ustawa będą wypełniać wymagania nałożone przez NIS.