Im Gegensatz zu früheren Vorschriften für Kritische Infrastrukturen (KRITIS) zeichnet sich NIS2 durch einen ganzheitlichen Ansatz aus: Alle IT-Systeme von als kritisch eingestuften Einrichtungen fallen grundsätzlich unter die Regulierung – einschließlich der Buchhaltung. Hierzu sind die Meldepflichten deutlich erweitert worden, sodass eine Erstmeldung von Vorfällen innerhalb von 24 Stunden erfolgen muss, gefolgt von einer umfassenden Meldung innerhalb von spätestens 72 Stunden.
Die Aufsichtsbehörde wird das Bonner Bundesamt für Sicherheit in der Informationstechnik (BSI) sein; entsprechend wird auch das BSI-Gesetz mit der Novelle angepasst. Zusätzlich werden mit dem NIS2UmsCG Regelungen in anderen Sektoren eingeführt. Unternehmen, die ihren Verpflichtungen nicht nachkommen, müssen mit empfindlichen Bußgeldern rechnen, wobei die Verantwortung grundsätzlich beim Unternehmensmanagement liegt.
Gemäß dem Referentenentwurf soll das BSI auch gegenüber fast allen Bundesbehörden in akuten Fällen aktiv eingreifen können – bis hin zur Netzwerktrennung, die als Extremfall beschrieben wird. NIS2 sieht grundsätzlich keine Verpflichtung für deutsche Kommunen zum verbesserten Selbstschutz aufgrund einer umstrittenen Ausnahmeregelung der EU-Gesetzgebung vor.