Určuje povinné subjekty, bezpečnostní požadavky, incident reporting a dohled. Vyžaduje řízení rizik, technická a organizační opatření i prováděcí dokumentaci. Stanovuje role, odpovědnosti a sankce při nesplnění. Propojuje se s bezpečnostními standardy a praxí CSIRT/SOC. Důležitá je klasifikace služeb a dat a odpovídající úroveň ochrany. Audity a kontroly ověřují reálnou implementaci, ne pouze papíry. Změny v hrozbách a technologiích vyžadují průběžnou aktualizaci opatření. Chybí-li vedení a kapacit se soulad smrskne na formální checkboxy.
