Ustawa, której projekt został przygotowany w Ministerstwie Cyfryzacji, ma umożliwić zbudowanie systemu, który zapewni cyberbezpieczeństwo na poziomie krajowym. Obejmie on operatorów usług kluczowych i dostawców usług cyfrowych. W jego skład wejdą też: zespoły CSIRT (Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego) poziomu krajowego, sektorowe zespoły cyberbezpieczeństwa, podmioty publiczne, podmioty świadczące usługi z zakresu cyberbezpieczeństwa oraz organy państwa właściwe do spraw cyberbezpieczeństwa. 

Za usługi kluczowe zostały uznane usługi o szczególnym znaczeniu dla zapewnienia stabilności funkcjonowania państwa i społeczeństwa, związane m.in. z dostawami wody, gazu, prądu, opieką medyczną, finansami, transportem itp. W załączniku do ustawy znajdują się wszystkie potencjalne kategorie podmiotów w poszczególnych sektorach gospodarki i działalności państwa, z których mogą być wyłaniani w drodze decyzji administracyjnej operatorzy usług kluczowych. Z kolei do dostawców usług cyfrowych zostały zaliczone: elektroniczne platformy zakupowe, usługi chmurowe i wyszukiwarki internetowe.

Projekt ustawy określa obowiązki operatorów usług kluczowych w zakresie cyberbezpieczeństwa. Dotyczą one wdrożenia efektywnego systemu zarządzania bezpieczeństwem, obejmującego m.in.: zarządzanie ryzykiem, stosowanie skutecznych zabezpieczeń systemów informacyjnych, procedur i mechanizmów zgłaszania i postępowania z incydentami oraz organizację struktur bezpieczeństwa na poziomie operatora. Operator usługi kluczowej będzie miał również obowiązek przeprowadzenia co najmniej raz na dwa lata audytu bezpieczeństwa systemów informacyjnych wykorzystywanych do świadczenia usługi kluczowej. Natomiast dostawcy usług cyfrowych zostaną objęci łagodniejszymi wymaganiami w zakresie cyberbezpieczeństwa.