Jose išsamiai išdėstomos kibernetinio saugumo rizikos valdymo priemonės bei atvejai, kai incidentas turėtų būti laikomas dideliu, o skaitmeninę infrastruktūrą ir paslaugas teikiančios įmonės turėtų apie jį pranešti nacionalinėms institucijoms.
Numatoma, kad priimtas reglamentas bus taikomas konkrečių kategorijų įmonėms, teikiančioms skaitmenines paslaugas, pavyzdžiui, debesijos kompiuterijos paslaugų teikėjams, duomenų centrų paslaugų teikėjams, elektroninėms prekyvietėms, interneto paieškos sistemoms ir socialinių tinklų platformoms.
Įgyvendinimo akte taip pat nurodoma, kada kiekvienos paslaugų teikėjų kategorijos atveju incidentas laikomas dideliu, kam ir per kiek laiko apie jį reikia pranešti
Pranešama, kad įgyvendinimo reglamentas bus paskelbtas Oficialiajame leidinyje ir įsigalios po 20 dienų nuo paskelbimo datos.