Nincs olyan, akit ne érintene virtuális fenyegetettség. Ezúttal azok a szervezetek is a törvény hatálya alá kerültek, amelyek szolgáltatásait nap mint nap veszik igénybe más vállalatok.
A stratégiai szempontból kiemelten kritikus ágazatok a következők:
- az energia
- a banki és pénzügyi szolgáltatások,
- a víz,
- az egészségügy,
- a szállítás,
- a gyógyszeripar,
- a digitális infrastruktúrák,
- a kihelyezett szolgáltatók,
- a közigazgatás, és
- a világűr földi támogatói infrastruktúrái
Kritikus ágazatnak számítanak:
- a hulladékgazdálkodás,
- a postai és futárszolgálatok,
- az elektronikai gyártás (pl: orvostechnikai eszközök, elektronikai- és optikai termékek, villamos berendezések)
- a járműgyártás
- az élelmiszer előállítás és forgalmazás
- a digitális szolgáltatások (pl: onlie piactér, online keresőmotor, közösségimédia-szolgáltatási platform)
- a vegyipari gyártás és forgalmazás
- a kutatóhelyek
Feladathalmok a vezetőkön:
Azon túl, hogy minden érintett cégnek kötelező lesz tájékoztatni és edukálni a kollégáit a lehetséges kiberfenyegetésekről, rengeteg egyéb tennivalót is nyakukba kapnak a vezetők. Például olyan, a területért felelős munkatársat kell kijelölniük, aki az információbiztonságot felügyeli. Újabb feladat, hogy két évente kiberbiztonsági auditot kell készíttetni, ami arról szól, hogy a vállalat saját rendszerét ellenőriztesse. Ennek egyik célja a védelmi osztályokba sorolás, a másik pedig, hogy a hatóság ellenőrizni tudja, betartják-e a szükséges intézkedéseket. Az érintetteknek minden érdemi információt össze kell gyűjteniük és át kell adniuk a vizsgálatot végzőnek. Már most látszik, hogy ez óriási adminisztrációs terhet ró a cégekre. Ráadásul az audit költséggel is jár majd, bár a törvény lehetőséget ad a hatóságnak az árplafon bevezetésére.