Komisja Europejska w grudniu 2020 r. opublikowała projekt dyrektywy NIS 2, która ma znowelizować obecnie obowiązującą dyrektywę NIS. Ustawa o krajowym systemie cyberbezpieczeństwa jest ustawą, która transponowała tą dyrektywę do polskiego porządku prawnego, a więc uchwalenie dyrektywy NIS 2 będzie wymagać też nowelizacji tej ustawy.
Dyrektywa NIS 2 w sposób znaczący zmienia zakres podmiotowy. Obecny podział na operatorów usług kluczowych oraz na dostawców usług cyfrowych zostanie zastąpiony podziałem na kluczowe podmioty (essential entities) i istotne podmioty (important entities. Rozszerzono też zakres obowiązywania dyrektywy na nowe sektory kluczowe, takie jak: administracja publiczna, ścieki czy przestrzeń kosmiczna.
Spod dyrektywy wyłączono mikro i małych przedsiębiorców, z nielicznymi wyjątkami. Stąd nowa dyrektywa będzie wiązać jedynie średnie i duże przedsiębiorstwa, co wydaje się logicznym rozwiązaniem, z uwagi na koszty implementacji dyrektywy, których mniejsze firmy nie podołałyby ponieść. Jednocześnie powierzono również ENISA (unijnej agencji ds. cyberbezpieczeństwa) prowadzenie rejestru podmiotów objętych dyrektywą, do którego podmioty te powinny same się zgłosić.
W ramach proponowanych zmian zwiększono wysokość kar administracyjnych za niestosowanie przepisów dyrektywy, ich górna granica ma wynosić 10 milionów euro lub 2% przychodu, w zależności od tego, która kwota będzie wyższa. Kary administracyjne przewidziane w ustawie o krajowym systemie cyberbezpieczeństwa są o wiele niższe. Zmiana ta, ma motywować podmioty objęte zakresem dyrektywą, do jej jak najlepszego stosowania.
Powyższe zmiany są dopiero na etapie propozycji Komisji Europejskiej, stąd potem Parlament Europejski będzie musiał uchwalić tę dyrektywą, a po jej uchwaleniu państwa członkowskie będą musiały transponować ją do swoich porządków prawnych. Oznacza to, że zmiany te wejdą w życie dopiero za kilka lat, a treść przepisów dyrektywy może w dalszym ciągu się zmienić.