Les entreprises assujetties déterminent le niveau de sécurité informatique jugé souhaitable par rapport aux exigences de leurs métiers.
Elles veillent au niveau de sécurité retenu et à ce que leurs systèmes d'information soient adaptés.