Die NIS-2-RL sieht für die vom Anwendungsbereich erfassten Einrichtungen Verpflichtungen zur Governance und zu Risikomanagementmaßnahmen sowie Berichtspflichten bei erheblichen Sicherheitsvorfällen vor. Bei Nichteinhaltung der Pflichten im Bereich der Cybersicherheit drohen Geldbußen bis zu € 10 Mio oder 2 % des weltweiten Jahresumsatzes. Leitungsorgane können bei Pflichtverletzungen persönlich haften.