Początki dyrektywy NIS sięgają 2016 r., kiedy została przyjęta przez państwa członkowskie UE, stanowiąc pierwsze europejskie prawo cyberbezpieczeństwa (dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii). Dyrektywa jest nieznaczną harmonizacją, wyznaczając określone minimalne warunki, które należy spełniać. Nie ogranicza przy tym możliwości państw członkowskich regulowania problematyki cyberbezpieczeństwa administracji publicznej, opierając się w szczególności na współpracy zarówno międzynarodowej, jak i krajowej poprzez wprowadzenie obowiązku raportowania incydentów oraz odpowiedniego zarządzania ryzykiem dla operatorów usług kluczowych i dostawców usług cyfrowych.