Pro subjekty, na něž dopadá regulace zákona o kybernetické bezpečnosti, jsou stanoveny konkrétní povinnosti, prostřednictvím kterých dojde ke zvýšení ochrany jejich informačních systémů, resp. sítí, které provozují. Tyto povinnosti lze přitom vnímat jako v zásadě minimalistické, avšak dostatečně zajišťující dosažení předpokládaného cíle.

Jedná se především o povinnost zavést a provádět bezpečnostní opatření a vést o nich bezpečnostní dokumentaci, povinnost detekovat kybernetické bezpečnostní události a hlásit kybernetické bezpečností incidenty, povinnost provádět opatření vydaná Národním bezpečnostním úřadem a povinnost oznamovat kontaktní údaje Národnímu bezpečnostnímu úřadu nebo provozovateli národního CERT. V neposlední řadě pak povinností oznámení o provedení reaktivního opatření a jeho výsledku s cílem zajištění zpětné vazby o účinnosti reaktivních opatření vydaných Národním bezpečnostním úřadem za účelem řešení kybernetického bezpečnostního incidentu.