(1) Opatřeními se rozumí úkony, jichž je třeba k ochraně informačních systémů nebo služeb a sítí elektronických komunikací před hrozbou v oblasti kybernetické bezpečnosti nebo před kybernetickým bezpečnostním incidentem anebo k řešení již nastalého kybernetického bezpečnostního incidentu.
(3) Reaktivní opatření jsou povinny provádět
a) orgány a osoby uvedené v § 3 písm. a) a b) za stavu kybernetického nebezpečí nebo za nouzového stavu vyhlášeného na základě žádosti podle § 21 odst. 6 a
b) orgány a osoby uvedené v § 3 písm. c) až f).
(4) Ochranné opatření jsou povinny provádět orgány a osoby uvedené v § 3 písm. c) až f).