Jednym z pierwszych wymogów jest konieczność udoskonalenia wewnętrznych ocen ryzyka, tj. oceny pod tym kątem własnych działań i swoich dostawców - m.in. pod kątem tego, czy oni przestrzegają wymagań NIS2. Producenci elektroniki powinni regularnie aktualizować swoje praktyki w zakresie cyberbezpieczeństwa, aby uwzględnić najbezpieczniejsze i najskuteczniejsze metody kryptografii i szyfrowania, np. uwierzytelnianie wieloskładnikowe i ochronę danych. Działy IT producentów muszą również szkolić pracowników w zakresie przestrzegania tych dyrektyw, biorąc pod uwagę ich złożoność i zaawansowane technologie.
Ponadto NIS2 określa zasady raportowania incydentów poważnych - 24 godziny na przesłanie wczesnego ostrzeżenia oraz 72 godziny na zgłoszenie incydentu - a także obliguje do przekazywania raportów okresowych (na żądanie) i raportu końcowego z obsługi incydentu (po 1 miesiącu od daty zgłoszenia lub w ciągu miesiąca od zakończenia obsługi). Inne wymagania obejmują wymogi utrzymania ciągłości działania firmy i precyzują, jak ma wyglądać zarządzanie kryzysowe. Dla tych, którzy się nie dostosują przewidziano duże kary.
