35Α.-(1) H ανώτατη διοίκηση των βασικών και σημαντικών οντοτήτων υποχρεούται να εγκρίνει τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας που λαμβάνουν οι εν λόγω οντότητες προκειμένου να συμμορφώνονται με τις διατάξεις του άρθρου 35, να επιβλέπει την εφαρμογή τους και είναι δυνατό να λογοδοτεί για την εκ μέρους των οντοτήτων παράβαση των υποχρεώσεων βάσει του εν λόγω άρθρου.
(2) Η εφαρμογή των διατάξεων του εδαφίου (1), δεν θίγει την οικεία νομοθεσία, όσον αφορά τους κανόνες περί ευθύνης που ισχύουν για τους δημόσιους οργανισμούς, καθώς και την ευθύνη δημοσίων υπαλλήλων και αιρετών ή διορισμένων αξιωματούχων.
(3) Τα μέλη της ανώτατης διοίκησης των βασικών και σημαντικών οντοτήτων υποχρεούνται να παρακολουθούν εκπαιδεύσεις και να προσφέρουν παρόμοια κατάρτιση στους υπαλλήλους τους σε τακτική βάση, προκειμένου να αποκτούν επαρκείς γνώσεις και δεξιότητες που τους επιτρέπουν να εντοπίζουν τους κινδύνους και να αξιολογούν τις πρακτικές διαχείρισης κινδύνων, στον τομέα της κυβερνοασφάλειας και τον αντίκτυπό τους στις υπηρεσίες που παρέχει η οντότητα.