Schválením NIS směrnice (Network and Information Security Directive) započaly práce na její implementaci. Část povinnosti byla na straně jednotlivých členských států: tvorba strategie kybernetické povinnosti, implementace směrnice do národní legislativy nebo určení poskytovatelů základních služeb. Jeden z úkolů však zůstal na Evropské komisi (dále EK). Konkrétně šlo o nařízení, které mělo upřesnit požadavky na poskytovatele digitálních služeb.
Zatímco požadavky na zabezpečení či hlášení kybernetických bezpečnostních incidentů u poskytovatelů základních služeb spadají do kompetencí jednotlivých států, pro oblast poskytovatelů digitálních služeb (on-line tržiště, internetový vyhledávač a služba cloud computingu) bylo vydáno Prováděcí nařízení, které upřesňuje, jak by měli poskytovatelé digitálních služeb přistoupit k řízení bezpečnostních rizik, a jak by měli posuzovat, zda je incident významný a zda-li ho mají povinnost příslušnému CSIRT týmu hlásit. Kontaktním CSIRTem pro tyto povinné osoby je právě Národní bezpečnostní tým CSIRT.CZ, který je provozován sdružením CZ.NIC. Společnosti si musí samy definovat, zda-li do této skupiny spadají, a to na základě definic obsažených v Zákoně o kybernetické bezpečnosti. Kromě povinností, které obsahuje prováděcí nařízení EK, mají čeští poskytovatelé digitálních služeb také povinnost hlásit kontaktní údaje. Ta je na rozdíl od povinnosti v prováděcím nařízení již v platnosti.
Prováděcí opatření v zásadě požaduje, aby jednotlivé povinné osoby přistupovaly systematicky k řízení bezpečnosti sítí a informačních systémů a využívaly přístup založený na posouzení rizik. Nařízení se dále věnuje fyzické a environmentální bezpečnosti, bezpečnosti dodávek či kontrole přístupu k sítím a informačním systémům. Co se týká řešení incidentů, přijatá opatření by měla zahrnovat udržování a testování postupů a procesů pro jejich detekci, politiky týkající se ohlašování incidentů nebo posouzení jejich závažnosti. Tyto a další politiky a opatření musí však mít potřebnou dokumentaci, aby příslušný orgán (NÚKIB) mohl ověřit jejich dodržování. Na rozdíl od poskytovatelů základních služeb bude však kontrola u poskytovatelů digitálních služeb vykonávaná úřadem v případě, že je důvodné podezření, že daný subjekt neplní povinnosti.
Co je na tomto nařízení důležité, je posouzení významnosti incidentu. Vypracovat definici významnosti nebylo určitě jednoduché. EK zvolila přístup, při kterém zohlednila například počet dotčených osob či uživatelů, a pak také počet uživatelských hodin, kdy služba nebyla dostupná. Což může být u služeb jako je například internetový vyhledávač docela náročné stanovit. Naštěstí pro menší společnosti byly hranice určující významnost incidentů nastaveny docela vysoko. Konkrétně se za incident, který má významný dopad, považuje takový, u něhož nastala alespoň jedna z těchto situací:
a) služba nabízena poskytovatelem digitálních služeb byla nedostupná v rozsahu větším než 5 000 000 uživatelských hodin, přičemž pojem uživatelská hodina se vztahuje k počtu uživatelů v Unii, kteří byli dotčeni po dobu šedesáti minut;
b) incident vedl ke ztrátě integrity, autenticity nebo důvěrnosti uchovávaných, předávaných nebo zpracovávaných dat nebo souvisejících služeb, které nabízejí sítě nebo informační systémy poskytovatele digitálních služeb nebo jsou jejich prostřednictvím přístupné, navíc ovlivněno bylo více než 100 000 uživatelů v Unii;
c) incident vytvořil riziko pro veřejnou bezpečnost a ochranu nebo ztrátu života;
d) incident způsobil materiální škodu alespoň jednomu uživateli v Unii, přičemž škoda způsobená uvedenému uživateli překročila 1 000 000 EUR.
Poskytovatelé digitálních služeb jsou povinni, dle Zákona o kybernetické bezpečnosti, hlásit kybernetický bezpečnostní incident s významným dopadem na poskytování jejich služeb, pokud mají přístup k informacím nezbytným pro posouzení významnosti tohoto dopadu. Tedy jen incidenty, které splňují alespoň jednu z výše uvedených podmínek. Tyto incidenty by se pak měly hlásit Národnímu bezpečnostnímu týmu CSIRT.CZ. Toto nařízení je platné v celém svém rozsahu a bude účinné od 10. května 2018.