Gli Stati Membri devono assicurare che i soggetti essenziali e importanti dispongano di un organo di gestione che approvi formalmente le misure di gestione dei rischi cyber adottate. Le organizzazioni devono pianificare come mantenere la continuità del business in caso di gravi incidenti informatici e devono dare evidenza di aver definito sistemi per il ripristino del sistema, le procedure di emergenza e la creazione di un team di risposta alla crisi. Tra i metodi da implementare ci sono la gestione degli incidenti, il miglioramento della sicurezza della supply chain, il potenziamento della sicurezza della rete, un migliore controllo degli accessi, etc. La Direttiva si applica ai servizi essenziali, ma anche alle società (sopra i 50 dipendenti) nei seguenti settori critici: servizi postali e di corriere, gestione dei rifiuti, fabbricazione, la produzione e la distribuzione di sostanze chimiche, produzione, la trasformazione e la distribuzione di alimenti, fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro, fabbricazione di computer e prodotti di elettronica e ottica, fabbricazione di apparecchiature elettriche; fabbricazione di macchinari e apparecchiature n.c.a., fabbricazione di autoveicoli, rimorchi e semirimorchi e altri specifici mezzi di trasporto, fornitori di servizi digitali, organizzazioni di ricerca. Le sanzioni pecuniarie amministrative fino a 10 Mln di € o il 2% del fatturato.
