(4) Правното основание за Директива (ЕС) 2016/1148 е член 114 от Договора за функционирането на Европейския съюз (ДФЕС), чиято цел е създаването и функционирането на вътрешния пазар чрез усъвършенстване на мерките за сближаване на националните правила. Изискванията за киберсигурност, наложени на субектите, предоставящи услуги или извършващи дейности, които са икономически значими, се различават значително в държавите членки от гледна точка на вида на изискванията, степента им на подробност и метода на надзор. Тези различия водят до допълнителни разходи и пораждат затруднения за субектите, предлагащи трансгранично стоки или услуги. Наложените от една държава членка изисквания, които са различни от наложените в друга или дори са в противоречие с тях, може съществено да засегнат подобни трансгранични дейности. Освен това възможността за недостатъчно изготвяне или прилагане на изисквания за киберсигурност в една държава членка е вероятно да има последици по отношение на нивото на киберсигурност на държави членки, по-специално предвид интензивността на трансграничния обмен. Прегледът на Директива (ЕС) 2016/1148 показва големи различия в прилагането ѝ от държавите членки, включително във връзка с нейния обхват, чието очертаване в много голяма степен бе оставено на преценката на държавите членки. Директива (ЕС) 2016/1148 предоставя на държавите членки и много широка свобода на преценка по отношение на прилагането на предвидените в нея задължения, свързани със сигурността и докладването за инциденти. Поради това тези задължения бяха приложени по значително различаващи се начини на национално равнище. Съществуват сходни различия в прилагането на разпоредбите на Директива (ЕС) 2016/1148 относно надзора и правоприлагането.