1. Touto smernicou sa stanovujú opatrenia na dosiahnutie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v rámci Únie s cieľom zlepšiť fungovanie vnútorného trhu.
2. Na tento účel sa v tejto smernici:
a) stanovujú pre všetky členské štáty povinnosti prijať národnú stratégiu v oblasti bezpečnosti sietí a informačných systémov;
b) vytvára skupina pre spoluprácu s cieľom podporiť a uľahčiť strategickú spoluprácu a výmenu informácií medzi členskými štátmi a rozvíjať vzájomnú dôveru medzi nimi;
c) vytvára sieť jednotiek pre riešenie počítačových bezpečnostných incidentov (computer security incident response teams network – ďalej len „sieť jednotiek CSIRT“) s cieľom prispievať k rozvoju dôvery medzi členskými štátmi a podporovať rýchlu a účinnú operačnú spoluprácu;
d) stanovujú bezpečnostné a oznamovacie požiadavky pre prevádzkovateľov základných služieb a pre poskytovateľov digitálnych služieb;
e) stanovujú povinnosti členských štátov určiť príslušné vnútroštátne orgány, národné jednotné kontaktné miesta a jednotky CSIRT s úlohami súvisiacimi s bezpečnosťou sietí a informačných systémov.
3. Bezpečnostné a oznamovacie požiadavky stanovené v tejto smernici sa nevzťahujú na podniky, ktoré podliehajú požiadavkám článkov 13a a 13b smernice 2002/21/ES, ani na poskytovateľov dôveryhodných služieb, na ktorých sa vzťahujú požiadavky článku 19 nariadenia (EÚ) č. 910/2014.
4. Uplatňovaním tejto smernice nie je dotknutá smernica Rady 2008/114/ES (14) a smernice Európskeho parlamentu a Rady 2011/93/EÚ (15) a 2013/40/EÚ (16).
5. Bez toho, aby bol dotknutý článok 346 ZFEÚ, informácie, ktoré sú dôverné podľa predpisov Únie a vnútroštátnych predpisov, ako napríklad predpisov o obchodnom tajomstve, sa vymieňajú s Komisiou a inými príslušnými orgánmi len v prípade, ak je takáto výmena potrebná na účely uplatňovania tejto smernice. Vymieňané informácie sa obmedzujú na tie, ktoré sú relevantné a primerané účelu takejto výmeny. Pri takejto výmene informácií sa zachováva dôvernosť týchto informácií a chránia sa bezpečnostné a obchodné záujmy prevádzkovateľov základných služieb a poskytovateľov digitálnych služieb.
6. Touto smernicou nie sú dotknuté opatrenia prijímané členskými štátmi na zabezpečenie ich základných štátnych funkcií, najmä na zabezpečenie národnej bezpečnosti vrátane opatrení na ochranu informácií, ktorých sprístupnenie členské štáty považujú za odporujúce základným záujmom ich bezpečnosti, a na udržanie verejného poriadku, najmä na účely umožnenia vyšetrovania, odhaľovania a stíhania trestných činov.
7. Ak sa podľa právneho aktu Únie špecifického pre určité odvetvie vyžaduje, aby prevádzkovatelia základných služieb alebo poskytovatelia digitálnych služieb buď zaisťovali bezpečnosť ich sietí a informačných systémov, alebo aby oznamovali incidenty, uplatňujú sa ustanovenia tohto právneho aktu Únie špecifického pre určité odvetvie pod podmienkou, že tieto požiadavky majú aspoň rovnocenný účinok ako povinnosti stanovené v tejto smernici.