Zákon transponuje európsku smernicu NIS 2 a od 1. januára 2025 rozširuje okruh subjektov povinných dodržiavať pravidlá kybernetickej bezpečnosti. Nový prístup neidentifikuje povinné subjekty cez tzv. „základné služby", ale priamo v zákone vymenúva, kto musí byť zapísaný do registra prevádzkovateľov základnej služby – patria sem stredné a veľké podniky v kľúčových sektoroch (energia, doprava, zdravotníctvo, financie, digitálna infraštruktúra a ďalšie), ústredné orgány štátnej správy aj niektoré samosprávy. Subjekty sa delia na „kľúčové" (prevádzkujúce kritickú základnú službu) a „dôležité" (ostatní prevádzkovatelia), pričom kľúčové podliehajú prísnejším povinnostiam a vyšším pokutám – až do 10 miliónov eur alebo 2 % celosvetového obratu. Všetci prevádzkovatelia musia prijať bezpečnostné opatrenia (analýza rizík, ochrana dodávateľského reťazca, plány obnovy a i.), hlásiť závažné kybernetické incidenty – prvé varovanie do 24 hodín, podrobné oznámenie do 72 hodín – a pravidelne absolvovať audit kybernetickej bezpečnosti; menšie subjekty (nie kritické) môžu prvých päť rokov nahradiť audit samohodnotením. Zavádza sa rozsiahly systém dohľadu Národného bezpečnostného úradu vrátane kontrol na mieste, predbežných opatrení, príkazných konaní a dohôd o náprave. Zákon tiež umožňuje NBÚ vyhlásiť stav kybernetickej krízy a upravuje spoluprácu s Vojenským spravodajstvom a Národnou bankou Slovenska. Certifikovaný audítor kybernetickej bezpečnosti sa stáva viazanou živnosťou.