Cette directive impose dix mesures de sécurité destinées à renforcer la cyber résilience des infrastructures critiques, incluant la gestion de la continuité des activités, la gestion des risques cyber, la sécurité de la chaîne d'approvisionnement et la formation et l'éducation.