Med subjekte, ki so po novem razvrščeni v bistvene in pomembne subjekte, se vključujejo tudi ponudniki poštnih in kurirskih storitev. Izvzet več ni bančni sektor, prav tako so vključene organizacije za upravljanje pitne vode, odpadne vode in odpadkov, vključno z večino komunalnih podjetij. Vključeni so proizvajalci in distributerji kritičnih izdelkov, kot so farmacevtski proizvodi, medicinski pripomočki in kemijska industrija. Področje zdravstva se razširja, dodana pa je tudi prehrambena industrija, ponudniki digitalnih storitev ter področje digitalne infrastrukture, vključno s ponudniki javnih elektronskih komunikacij, omrežij in strežnikov. Poleg tega se dodaja področje upravljanja storitev IKT, javne uprave, raziskovalnih organizacij in vesoljske industrije.

Vsi navedeni subjekti morajo po novem nameniti posebno pozornost tudi informacijski varnosti dobaviteljev v njihovih oskrbnih verigah.

Med pomembne subjekte se samodejno uvrščajo organizacije iz naštetih sektorjev z več kot 50 zaposlenimi in več kot desetimi milijoni evrov prihodkov, med bistvene subjekte pa podjetja z več kot 250 zaposlenimi in več kot 50 milijoni evrov prihodkov oziroma bilančno vsoto vsaj 42 milijonov evrov.

Pozor: Niso pa izvzeta niti mala podjetja, če je njihovo delovanje pomembno za katerega od bistvenih sektorjev.

Za določene sektorje in storitve veljajo posebne izjeme ne glede na velikost organizacije, kar pomeni, da morajo biti ti zavezanci skladni z zahtevami direktive, ne glede na velikost organizacije.