この規則は公開会社がサイバーセキュリティに関する重大なインシデントを経験した場合に、それを開示し、リスクマネジメント、戦略、ガバナンスに関する情報を年次で開示することを義務づけるものとされる。さらに、外国の非公開発行体に対しても同等の開示を義務付けている。Mimecastによると、この規則はほとんどの公開会社に対して2023年12月に発効するため、最高情報セキュリティ責任者(CISO: Chief Information Security Officer)は「重要性」の概念を日常的な考え方に速やかに取り入れることが重要としている。また、この規則は中小の非公開会社に対しても、同様の基準が課される可能性があるという。