歐盟層面：

增進成員國間合作與國際合作

為了增進成員國之間的戰略合作與信息共享，NIS指令要求設立一個合作團體，主要發揮四大作用：制定工作計劃；指導網絡安全相關工作開展；分享網絡安全風險等信息以及最佳實踐；總結并報告工作經驗。該合作團體由成員國代表、歐盟委員會、歐盟網絡與信息安全局組成。此外，NIS指令要求設立一個計算機安全事故響應組，以促進操作層面的合作，同時加強網絡安全領域的國際合作。

成員國層面：

制定網絡安全國家戰略

NIS指令要求各成員國制定網絡安全國家戰略，在其中應當明確戰略目標、合理政策以及監管措施。該戰略應當包括下列內容：戰略目標和重點工作；實現這些目標和重點工作的治理框架，包括政府機構以及其他相關參與者的角色和責任；明確相關的應對、防范以及恢復措施，包括政府機構與私營部門之間的合作；與網絡安全國家戰略有關的教育以及意識增強、培養項目；與網絡安全國家戰略有關的研究與發展計劃；相關風險評估計劃；實施網絡安全國家戰略的多方參與者。在具體制度安排方面，NIS指令要求成員國確定至少一個主管機構，負責監督并實施NIS指令；確定至少一個聯絡處，進行網絡安全相關合作事宜；確定至少一個計算機安全事故響應組（CSIRT），負責國家層面的網絡安全事故監測，就網絡安全風險和事故向相關利益方提供早期預警、警報、通知、信息傳遞等，應對網絡安全事故，以及提供動態的網絡安全風險和事故分析。

系統層面：

明確網絡風險管理

NIS指令適用于基礎服務運營者的網絡與信息系統。根據NIS指令第4條，網絡與信息系統包括：2002/21/EC指令中界定的電子通信網絡；按照某一程序自動化處理數字數據的設備、一組關聯設備或者一組相互連接的設備：對上述要素進行存儲、處理、檢索或者傳輸的數字數據，目的在于運作、使用、保護以及維護這些數據。

基礎服務包括能源、交通、銀行業、金融市場基礎設施、健康產業、飲用水供給、數字基礎設施。根據NIS指令第5條，基礎服務運營者的認定標準有三個：所提供的服務對于重要的社會、經濟活動是必需的；該服務的提供依賴于網絡與信息系統；一旦發生網絡安全事故，將對該服務的提供產生重大的破壞性影響。

根據NIS指令第14條，基礎服務運營者需要履行三項義務：第一，應當采取適當的技術和組織措施管理網絡安全風險，這些措施應當確保一定程度的網絡安全；第二，應當采取恰當的措施防止、削弱網絡安全事故的影響；第三，應當將具有重大影響的網絡安全事故通知主管機構。

在確定網絡安全事故的影響的重大程度時，基礎服務運營者應當考慮下列三項因素：受影響的用戶數量；該事故的持續時間；該事故波及的區域范圍。此外，為了監督基礎服務運營者履行義務，主管機構可以要求基礎服務運營者提供用于評估網絡安全的信息，提供證據證明其已經采取了有效的安全政策。

NIS指令同時適用于部分數字服務提供者的網絡與信息系統。這些數字服務包括網上市場、網絡搜索引擎以及云計算。數字服務提供者亦需履行三項義務：第一，數字服務提供者應當采取適當的技術和組織措施管理網絡安全風險，所采取的措施應當確保一定程度的網絡安全；第二，應當采取措施防止、削弱網絡安全事故的影響；第三，應當將具有實質影響的網絡安全事故通知主管機構。

在確定某個網絡安全事故是否具有實質影響時，這些數字服務提供者應當考慮下列五項因素：受影響的用戶數量；事故的持續時間；事故波及的區域范圍；對所提供的服務的破壞程度；對經濟和社會活動的影響程度。此外，為了監督數字服務提供者履行義務，主管機構可以對未達到要求的數字服務提供者采取措施，可以要求其提供用于評估網絡安全的信息并采取補救措施。