Fornece uma estrutura geral para gerir os riscos de cibersegurança, delineando requisitos amplos, tais como reporte de incidentes, gestão de riscos e segurança da cadeia de fornecimento.
Os detalhes técnicos específicos são deixados para implementação e interpretação nacionais.