De rollen van netwerk- en informatiesystemen en diensten zijn cruciaal binnen onze samenleving en de interne markt. Door cyberdreigingen en cybercriminaliteit worden deze systemen en de veiligheid ervan echter bedreigd. De bestaande capaciteiten volstonden destijds niet om een hoog niveau van beveiliging te kunnen waarborgen. Daarbij was er sprake van sterke fragmentatie: de paraatheidsniveaus van lidstaten onderling liep sterk uiteen. De betrouwbaarheid en veiligheid van deze systemen en diensten dienden daarom verbeterd te worden. Om dit te realiseren is de Network and Information Security (NIS) richtlijn tot stand gekomen. In Nederland staat het ook wel bekend als de Netwerk- en Informatiebeveiliging (NIB) richtlijn. Deze richtlijn is onderdeel van het Europees Cyberdefensiebeleid en was de eerste concrete uitwerking van Europese wetgeving over cyberveiligheid.
De NIS-richtlijn bevat beveiligingsverplichtingen voor aanbieders van digitale diensten en moet zorgen voor een verbetering van de veerkracht van netwerk- en informatiesystemen in de EU-lidstaten. Zo dient er bijvoorbeeld door elke lidstaat een nationale strategie voor de beveiliging van netwerk- en informatiesystemen vastgesteld te worden. In deze strategie dient de focus te worden gelegd op het handhaven van een hoog niveau van beveiliging van netwerk- en informatiesystemen, waarin ten minste de volgende sectoren aan bod komen: energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, levering en distributie van drinkwater, digitale infrastructuur en als laatst digitale diensten (waaronder bijvoorbeeld cloudcomputerdiensten). Ook is in de richtlijn een verplichting tot het aanwijzen van een centraal contactpunt opgenomen. Ook decentrale overheden zijn aanbieders van digitale diensten en zullen dus de voorwaarden van de NIS-richtlijn in acht moeten nemen.
De richtlijn, die in augustus 2016 in werking trad, heeft geen rechtstreekse werking en diende daarom omgezet te worden in nationale wetgeving. Om dit te realiseren is in Nederland de richtlijn geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen. Deze wet trad op 9 november 2018 in werking.
