2013年2月に欧州委員会によって提案された、欧州連合（EU）加盟28カ国のサイバーセキュリティー対応策を定めた法律。15年12月に欧州閣僚理事会や加盟国によっておおむね合意され、16年春に正式に欧州議会において承認される見込みとなっている。重要インフラ事業者（エネルギー、交通インフラ、銀行、金融、医療、水道、通信などのインフラ事業者）やデジタルサービスプロバイダー（グーグルなどの検索事業者やアマゾンなどのマーケットプレイス事業者、クラウドサービス事業者など）に対して、セキュリティー対策の義務化やデータ漏えい時の監督官庁への報告義務、CSIRTの設置などが規定されている。従来はEU各国が独自にセキュリティー対策を定めていたが、全加盟国共通のセキュリティー水準が求められることから、併せて提案されたサイバーセキュリティー戦略とともに本指令案が提案された。本指令が可決された際には、EU加盟国は可決後21カ月以内に本指令で規定される内容に基づき、国内法を整備することが求められる。