Comme dans plus de 80 % des cas les attaques cyber ont pour origine une faille humaine, la directive énonce que “les mesures de gestion des risques devraient prévoir une analyse systémique qui tienne compte du facteur humain” (Considérant n° 78).