(2) При определянето на подходящи и пропорционални технически и организационни мерки съответният доставчик на цифрови услуги следва да приложи систематичен и основан на риска подход към проблема за информационната сигурност.