Obowiązujące przepisy dotyczące bezpieczeństwa sieci i systemów informatycznych (dyrektywa w sprawie bezpieczeństwa sieci i informacji) były pierwszym ogólnounijnym aktem prawnym dotyczącym cyberbezpieczeństwa i utorowały drogę dla znaczącej zmiany sposobu myślenia oraz instytucjonalnego i regulacyjnego podejścia do cyberbezpieczeństwa w wielu państwach członkowskich. Pomimo znaczących osiągnięć i pozytywnego wpływu przepisy te musiały zostać zaktualizowane ze względu na coraz większy stopień cyfryzacji i wzajemnych powiązań w naszym społeczeństwie oraz rosnącą liczbę szkodliwych działań w obszarze cybernetycznym na szczeblu globalnym.