(15) Директива (ЕС) 2016/1148 на Европейския парламент и на Съвета (7) беше първата хоризонтална рамка в областта на киберсигурността, приета на равнището на Съюза, която се прилага освен това към три вида финансови субекти, а именно кредитни институции, места за търговия и централни контрагенти. Въпреки това, тъй като в Директива (ЕС) 2016/1148 е предвиден механизъм за определяне на национално равнище на операторите на основни услуги, само конкретни кредитни институции, места за търговия и централни контрагенти, които са били определени от държавите членки, са били включени на практика в нейния обхват и съответно подлежат на предвидените в нея изисквания за сигурност на ИКТ и за уведомяване за инцидентите с ИКТ. С Директива (ЕС) 2022/2555 на Европейския парламент и на Съвета (8) се установява единен критерий за определяне на субектите, попадащи в нейния обхват (правило за размера на предприятието), като същевременно трите вида финансови субекти остават в приложното ѝ поле.