Kapittel I i rettsakten angir innledningsvis systemets formål og hvilke kategorier reisende systemet vil omfatte. Det slås deretter fast at Det europeiske byrået for operativ forvaltning av store IT-systemer (eu-LISA) skal være ansvarlig for utvikling og drift av EES, og at EES skal bestå blant annet av et sentralt system og et felles, enhetlig grensesnitt for tilkobling mellom sentralsystemet og de nasjonale grensekontrollsystemene. Det reguleres også at EES skal benytte seg av deler av den tekniske infrastrukturen for visuminformasjonssystemet (VIS), og at EES av effektivitetshensyn skal kunne hente enkelte typer informasjon fra VIS (interoperabilitet). Videre gis bestemmelser om hvilke nasjonale myndigheter som skal ha tilgang til systemet, og omfanget av denne tilgangen. Det understrekes at tilgang kun skal gis ved, og begrenses til, tjenstlig behov, og at all bruk av data i systemet skal være nødvendig og forholdsmessig. Avslutningsvis reguleres den automatiske beregningen av mulig oppholdstid på Schengen-territoriet for de reisende, når systemet skal informere medlemsstatenes kompetente myndigheter om reisende som ikke er registrert med et utreisetidspunkt innen utløpet av lovlig oppholdstid, samt etableringen av en web-basert tjeneste der reisende omfattet av systemet kan kontrollere hvor lenge de kan oppholde seg på Schengen-territoriet, og der transportører som befrakter visumpliktige passasjerer omfattet av systemet inn til Schengen-territoriet, kan kontrollere om den reisendes visum er gyldig for innreise.

Kapittel II omhandler grensemyndighetenes registrering og bruk av data i systemet. Innledningsvis fastslås prosedyrene for registrering av informasjon i EES, og det gis spesifikke retningslinjer for opptak og lagring av ansiktsbilde. Videre reguleres hvilke alfanumeriske og biometriske data som skal lagres i systemet for hver enkelt reisende, og at det også skal lagres data hvis den reisende avvises på yttergrensen. Datasettet som lagres ved avvisning på yttergrensen vil imidlertid være mer begrenset. Kapittelet angir også reserveprosedyrer til bruk i grensekontrollen dersom tilgangen til sentralsystemet skulle bli brutt. Avslutningsvis gis detaljerte bestemmelser om hvordan informasjonen i EES skal benyttes i grensekontrollprosessen.

Kapittel III omhandler bruk av systemet av andre myndigheter enn grensekontrollmyndighetene. Det gis regler for bruk av EES for å behandle og avgjøre søknader om Schengen-visum. Dernest reguleres bruk av EES-data for å fastslå identiteten til tredjestatsborgere som allerede befinner seg på Schengen-territoriet. Her reguleres også muligheten til å lagre data hentet fra EES i nasjonale systemer.

Kapittel IV omhandler vilkår og prosedyrer for rettshåndhevende myndigheters tilgang til EES. Medlemsstatene skal formidle en liste over de nasjonale myndighetene som skal gis tilgang til systemet for å forhindre, oppdage og etterforske terrorhandlinger og annen alvorlig kriminalitet. Videre skal medlemsstatene utpeke ett eller flere sentrale tilknytningspunkt som skal motta og videreformidle spørsmål om søk i systemet, og kontrollere at vilkårene for tilgang er oppfylt. Rettshåndhevende myndigheter kan kun gjøre søk i EES der dette er nødvendig for å forhindre, oppdage eller etterforske terrorhandlinger og annen alvorlig kriminalitet, der tilgang fremstår som forholdsmessig i den aktuelle saken og der det er rimelig grunn til å anta at søk i EES vil bidra til sakens opplysning. Videre slås det i kapittelet fast at søk i EES først kan skje etter at det er foretatt søk i nasjonale registre og i andre lands nasjonale registre gjennom Prüm-samarbeidet, dersom dette er teknisk mulig. Tilsvarende gir kapittelet regler om Europols tilgang til EES-data.

Kapittel V gir regler for hvor lenge data opptatt fra reisende kan lagres, samt for sletting og retting av lagrede data. Utlendingens personlige fil i systemet skal lagres i tre år og en dag fra siste utreisestempling. Denne fristen avbrytes imidlertid dersom det innen tidspunktet for sletting skjer en ny innreiseregistrering. De enkelte sett med inn- og utreiseregistreringer slettes tre år etter tidspunktet for utreiseregistreringen. Hvis det ikke registreres en korresponderende utreiseregistrering innen utløpet av utlendingens lengste mulige oppholdstid på Schengen-territoriet, bevares datasettet i fem år. Sletting av data skjer automatisk i sentralsystemet.

Kapittel VI omhandler utvikling, drift og ansvarsfordeling. Kommisjonen gis myndighet til å beslutte gjennomføringsrettsakter for å regulere nærmere enkelte forhold rundt utvikling og gjennomføring av systemet. Videre klargjøres hvilke utviklings- og driftsoppgaver som tilligger henholdsvis eu-LISA, medlemsstatene og Europol. Kapittelet gir generelle og spesifikke personvernreguleringer, og fastslår at blant annet reglene om personvern i forordning 2016/679 (GDPR) og direktiv 2016/680 skal legges til grunn ved bruk av systemet. Det gis også regler om utveksling av data med tredjestater og lagring av data opptatt for bruk i EES i nasjonale systemer. Videre fastslås medlemsstatenes ansvar for datasikkerhet, og medlemsstatenes ansvar der personer eller medlemsstater påføres tap eller skade som følge av at en medlemsstat håndterer EES-data i strid med forordningens bestemmelser. Avslutningsvis oppstilles statenes plikt til å sanksjonere misbruk av EES-data i henhold til nasjonal lovgivning på området.

Kapittel VII omhandler retten til informasjon, konkretisering av retten til retting og sletting av opplysninger og bestemmelser om tilsyn med at personvernreglene overholdes i forvaltningen av systemet. I kapittelet slås fast at medlemsstatenes nasjonale tilsynsorgan skal føre tilsyn med bruken av systemet, og at de nasjonale tilsynsorganene skal samarbeide med det europeiske datatilsynet i utføringen av sine oppgaver.

Kapittel VIII regulerer nødvendige endringer i andre rettsakter som følge av vedtakelsen av EES.

Kapittel IX gir avsluttende reguleringer om bruk av anonymiserte systemdata til produksjon av statistikk, kostnader og kostnadsfordeling mellom medlemsstatene og EU, hvilke milepæler som må være nådd for at Kommisjonen skal beslutte en dato for når systemet trer i funksjon, om fortløpende tilsyn med at utvikling og gjennomføring skjer innenfor rammene for kostnader og systemfunksjonalitet og om regelmessig evaluering av systemet etter det er satt i drift.

Vedlegg I inneholder en liste over hvilke internasjonale organisasjoner medlemsstatene kan overgi data fra EES til for å gjennomføre retur av en tredjestatsborger.

Vedlegg II inneholder særlige bestemmelser for tredjestatsborgere som transitterer gjennom Schengen-området med tog uten å forlate dette på territoriet.