W przypadku incydentów lub zakłóceń spowodowanych na przykład przez (potencjalnych) napastników czy terrorystów, dostawcy usług muszą poinformować o tym swoje narodowe władze. Władze z kolei powinny powiadomić społeczeństwo o tym, co się dzieje, aby służyć dobru publicznemu.
Nowe prawo zawiera także definicję infrastruktury krytycznej. Ponadto przewiduje minimalne wymagania dotyczące oceny ryzyka oraz ustalania krajowych strategii odporności.
Eurodeputowany Tom Berendsen (CDA) wyraża zadowolenie z nowego ustawodawstwa. „Widzieliśmy, jak podatna może być nasza infrastruktura energetyczna i danych. Podczas gdy my na poziomie europejskim pracujemy nad tym prawem, państwa członkowskie szeroko otwierają tylne drzwi na wpływy z zagranicy.”
Berendsen podkreśla, że co najmniej 22 europejskie porty morskie nawiązały współpracę z chińskimi inwestorami. „Przekazują ważne punkty kontrolne w naszej łańcuchu transportowym w ręce obcych mocarstw. Potrzebna jest europejska strategia portowa.”
Również eurodeputowany VVD Bart Groothuis wskazuje na Chiny, a także Rosję i Iran. Według polityka te kraje dążą do sabotowania UE. „Może myślimy, że żyjemy w pokoju ze światem, ale oni tworzą przeciwko nam konflikt.”
Parlament Europejski od 2004 roku wprowadza zasady i wytyczne dotyczące ochrony krytycznej infrastruktury przed na przykład terrorystami. W ostatniej wersji uwzględnione były tylko sektory „energetyki” i „transportu”. W 2018 roku Parlament Europejski wezwał do rewizji dyrektywy. Wcześniej w tym roku Parlament przyjął dyrektywę dotyczącą cyberbezpieczeństwa.