NIS2 étend le périmètre de la directive NIS à davantage de secteurs (santé, énergie, transport, finance, etc.) et impose des mesures de cybersécurité renforcées. Les entités doivent mettre en place une gouvernance claire, gérer les risques supply chain, déclarer les incidents significatifs sous 24h et se soumettre à des audits réguliers. La directive responsabilise personnellement les dirigeants et prévoit des sanctions lourdes.