Cyberveilig Nederland heeft input geleverd bij diverse Kamerleden over de Cybersecuritywet (hiervoor ook wel bekend als de NIB-richtlijn). Het wetsvoorstel voorziet er in dat in alle EU-lidstaten dezelfde eisen gaan gelden voor de beveiliging van netwerk- en informatiesystemen. De nieuwe Cybersecuritywet is van toepassing op aanbieders van essentiële diensten (AED's) en verleners van digitale diensten (DSP's). De AED's zijn vitale diensten energie- en waterbedrijven. Zij worden door de overheid aangewezen. DSP's zijn drie soorten digitale diensten - onlinemarktplaatsen, onlinezoekmachines en cloudcomputerdiensten - die voldoen aan de definities in de richtlijn. Het ministerie van Economische Zaken en Klimaat komt later dit jaar met een checklist voor bedrijven zodat bedrijven kunnen achterhalen of ze onder de definitie van de Cybersecuritywet vallen.
Cyberveilig Nederland vindt het een aandachtspunt dat in de cybersecuritywet het melden van een cyberincident “onverwijld” moet gebeuren bij de sectorale toezichthouder, terwijl in de Algemene Verordening Gegevensbescherming wel een tijdspanne om te melden wordt gegeven, namelijk 72 uur. Dit kan voor onduidelijkheid zorgen bij bedrijven wanneer het cyberincident ook mogelijk een datalek van persoonsgegeven tot gevolg heeft.