1- As entidades essenciais e importantes são responsáveis por garantir a segurança das redes e dos sistemas de informação, tomando as medidas técnicas, operacionais e organizativas adequadas para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que utilizam nas suas operações e para impedir ou minimizar o impacto de incidentes nos destinatários dos seus serviços e noutros serviços.

2- As medidas de cibersegurança adotadas devem basear-se numa abordagem sistémica que abranja todos os riscos para as entidades essenciais e importantes e que vise proteger as redes e os sistemas de informação, bem como o seu ambiente físico, contra incidentes.