A legislação exige que os membros dos GDA participem em formação específica sobre cibersegurança para compreenderem os riscos e poderem tomar decisões informadas.

Mais importante ainda, a lei introduz um regime de responsabilidade pessoal: em caso de incumprimento grave ou reiterado das obrigações, os gestores podem ser considerados pessoalmente responsáveis, enfrentando sanções que podem incluir a suspensão temporária do exercício de funções de gestão.

Outra alteração relevante é a proteção conferida aos chamados "hackers éticos".

A lei passa a prever um enquadramento que protege os investigadores de segurança que, de boa-fé, reportem vulnerabilidades às entidades competentes, incentivando a divulgação responsável de falhas sem o receio de repercussões legais. Esta mudança legislativa reflete uma tendência global de tratar a cibersegurança como uma matéria de governação corporativa, essencial para a resiliência das organizações e para a proteção das infraestruturas críticas nacionais e europeias.