Zákon nahrádza starý zákon o kritickej infraštruktúre z roku 2011 a transponuje európsku smernicu o odolnosti kritických subjektov (EÚ 2022/2557). Kým doteraz sa zákon zameral len na ochranu fyzických prvkov (budov, vedení, systémov), nová úprava posúva dôraz na celkovú odolnosť podnikov a organizácií, ktoré poskytujú tzv. základné služby – teda služby nevyhnutné pre fungovanie spoločnosti a hospodárstva, ako sú dodávky energie, doprava, zdravotníctvo, vodárenstvo, finančné služby, potravinárstvo či digitálna infraštruktúra. Ústredné orgány štátnej správy (príslušné ministerstvá, NBÚ a Správa štátnych hmotných rezerv) budú identifikovať konkrétne firmy či organizácie ako „kritické subjekty" na základe kritérií, ktoré vláda schváli v Stratégii odolnosti kritických subjektov – tá musí byť prijatá najneskôr do 17. januára 2026 a aktualizovaná aspoň raz za štyri roky. Prvá identifikácia kritických subjektov prebehne najneskôr do 17. júla 2026. Každý kritický subjekt bude povinný do desiatich mesiacov od oznámenia vypracovať bezpečnostný plán (vrátane GPS lokalizácie kritickej infraštruktúry a konkrétnych technických, organizačných a personálnych opatrení) a do deviatich mesiacov vykonať posúdenie vlastných rizík. Obe povinnosti sa opakujú aspoň raz za štyri roky. Subjekty musia tiež hlásiť závažné incidenty príslušnému ministerstvu do 24 hodín od ich zistenia; ak incident trvá viac ako mesiac, predložia podrobnú správu. Zákon zavádza požiadavku na personálnu bezúhonnosť: osoby s priamym alebo vzdialeným prístupom ku kritickej infraštruktúre (tzv. kontaktné a oprávnené osoby) musia preukázať bezúhonnosť výpisom z registra trestov nie starším ako tri mesiace. Subjekty môžu využívať kamerové systémy na monitorovanie kritickej infraštruktúry a jej okolia; záznamy treba uchovávať sedem dní a poskytovať ich len súdom, orgánom činným v trestnom konaní a spravodajskej službe. Zavádza sa nový pojem „limitovaná informácia" – ide o neverejné citlivé informácie, ktorých zverejnenie by ohrozilo poskytovanie základných služieb. Tieto informácie nemožno sprístupniť verejnosti ani na základe infozákona a označujú sa slovom „Limit". Subjekty finančného sektora a sektora digitálnej infraštruktúry sa riadia osobitnými predpismi (zákon o kybernetickej bezpečnosti, nariadenie DORA) a niektoré povinnosti tohto zákona sa na ne nevzťahujú. Za porušenie povinností hrozí pokuta až do 300 000 eur, pri opakovanom porušení do dvojnásobku tejto sumy. Zákon nadobúda účinnosť 1. januára 2025.