Bezpečnostné opatrenia musia zahŕňať najmenej

a) určenie manažéra kybernetickej bezpečnosti, ktorý je pri návrhu, prijímaní a presadzovaní bezpečnostných opatrení nezávislý od štruktúry riadenia prevádzky a vývoja služieb informačných technológií a ktorý spĺňa znalostné štandardy pre výkon roly manažéra kybernetickej bezpečnosti,

b) detekciu kybernetických bezpečnostných incidentov,

c) evidenciu kybernetických bezpečnostných incidentov,

d) postupy riešenia a riešenie kybernetických bezpečnostných incidentov,

e) určenie kontaktnej osoby pre prijímanie a evidenciu hlásení,

f) pripojenie do komunikačného systému pre hlásenie a riešenie kybernetických bezpečnostných incidentov a centrálneho systému včasného varovania.