1. Els òrgans de direcció de les entitats essencials i importants han d’aprovar les mesures de gestió dels riscos de ciberseguretat adoptades per aquestes entitats segons el que es disposa a l’article 13, supervisar la seva posada en pràctica i respondre per l’incompliment de les obligacions recollides en dit article per part de les entitats.
2. Els membres de l’òrgan de direcció han d’assistir periòdicament a formacions específiques per adquirir coneixements i destreses suficients que permetin comprendre i avaluar els riscos de ciberseguretat i les pràctiques de gestió i el seu impacte en les operacions de l’entitat.