Dies kann mit Sicherheit gesagt werden, nachdem alle nationalen Gesetze verabschiedet sind (Frist Oktober 2024). Es kann sein, dass Unternehmen mehr als ein Gesetz einhalten müssen, wenn sie (als Lieferanten) in mehr als einem Land der EU tätig sind. Diese Gesetze müssen jedoch mindestens die Mindestmaßnahmen (Kapitel 4, Artikel 21) der Richtlinie umsetzen:
(a) Richtlinien zur Risikoanalyse und Informationssystemsicherheit;
(b) Vorfallbehandlung;
(c) Geschäftskontinuität, wie Backup-Management und Notfallwiederherstellung, und Krisenmanagement;
(d) Lieferkettensicherheit, einschließlich sicherheitsrelevanter Aspekte in Bezug auf die Beziehungen zwischen jedem Unternehmen und seinen direkten Lieferanten oder Dienstleistern;
(e) Sicherheit bei der Beschaffung, Entwicklung und Wartung von Netzwerken und Informationssystemen, einschließlich Umgang mit und Offenlegung von Schwachstellen;
(f) Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen zum Risikomanagement im Bereich Cybersicherheit;
(g) grundlegende Cyberhygienepraktiken und Cybersicherheitsschulungen;
(h) Richtlinien und Verfahren in Bezug auf die Verwendung von Kryptografie und, wo angemessen, Verschlüsselung;
(i) Personalsicherheit, Zugangskontrollrichtlinien und Vermögensverwaltung;
(j) die Verwendung von Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierungslösungen, gesicherter Sprach-, Video- und Textkommunikation und gesicherten Notfallkommunikationssystemen innerhalb des Unternehmens, wo angemessen.