Unterhändler des Europäischen Parlaments und der EU-Ministerrat haben sich auf eine Harmonisierung der Regeln für die IT-Sicherheit geeinigt: Eine neue „Netzwerk- und Informationssysteme-Richtlinie“ soll – ähnlich wie das IT-Sicherheitsgesetz in Deutschland – Unternehmen in kritischen Branchen künftig darauf verpflichten, ihre digitale Infrastruktur wirksam vor Cyber-Angriffen zu schützen sowie schwerwiegende Sicherheitsvorfälle zu melden. Betroffen sind insbesondere die Bereiche Energie, Transport, Bank- und Finanzwesen, Gesundheit, digitale Infrastrukturen und Wasserversorgung, aber auch Internet-Service-Provider wie größere Online-Händler, Suchmaschinen und Clouds. Kleine Online-Unternehmen hingegen sollen von den Pflichten grundsätzlich befreit bleiben. Die Verhandlungsergebnisse müssen noch formell vom Parlament und EU-Rat bestätigt werden; dies soll voraussichtlich noch in diesem Jahr geschehen. Anschließend müssten die Mitgliedstaaten die Vorgaben binnen 21 Monaten in nationales Recht umsetzen und nach spätestens sechs weiteren Monaten die Betreiber Kritischer Infrastrukturen benennen.