A NIS2 irányelv különbséget tesz a „kiemelten kockázatos szektorok” és a „kockázatos szektorok” között. A „kockázatos szektorokra” alacsonyabb bírság vonatkozik, és azok a hatóságok reaktív felügyelete alatt állnak, szemben a „kiemelten kockázatos szektorok” számára fenntartott proaktív felügyelettel.
Az egységes szabályrendszer célja az is, hogy az EU-ban ne legyenek eltérő minimális küszöbértékek, hanem az érintettséget „egységes kritériumok” alapján határozzák meg. A közép- és nagyvállalatoknak a szabályozás hatálya alá kell tartozniuk.
Közepes vállalat: 50-249 alkalmazott, vagy éves árbevétele kevesebb, mint 50 millió euró, vagy éves mérlegfőösszege kevesebb, mint 43 millió euró.
Nagyvállalat: legalább 250 alkalmazott, vagy legalább 50 millió euró éves árbevétel, vagy legalább 43 millió euró éves mérlegfőösszeg.
Ez a kategorizálás jelentősen kibővíti az alkalmazási kört Magyarországon.
A felelősség kiterjesztése/szigorítása
Akár tízmillió euróig vagy az éves forgalom két százalékáig terjedő szankciókkal sújthatók a kiemelten kockázatos szektorba eső vállalatok. A kockázatos szektorba sorolható cégeknél a bírság elérheti a hétmillió eurót, vagy az éves forgalom 1,4%-át. Mindkét esetben a magasabb összeg a meghatározó.
Az érintett vállalatoknak és szervezeteknek megfelelő intézkedéseket kell hozni olyan területeken, mint a kiberkockázat-kezelés, az ellátási lánc biztonsága, az üzletmenet-folytonosság kezelése, a titkosítás, a hozzáférési korlátozások, valamint a hatósági jelentéstétel és a korrekciós intézkedések.