يلتزم مقدمو خدمات تقنية المعلومات والاتصالات التى تمتلك أو تدير أو تشغل البنية التحتية المعلوماتية الحرجة المخاطبين بأحكام هذا القانون ، باتخاذ الإجراءات التقنية والتنظيمية التالية تنفيذًا للبندين (2 و3) من الفقرة أولاً من المـادة رقم (2) من القانون :
1 – إعداد سياسة أمن معلومات واعتمادها من الإدارة العليا للبنية التحتية المعلوماتية الحرجة وضمان مراجعتها كل عام لضمان استمرار ملائمة وكفاية وفاعلية تلك السياسة . على أن تتضمن تلك السياسة متطلبات الأجهزة والجهات الرقابية والتنظيمية المختصة بالبنية التحتية المعلوماتية الحرجة ، والمتطلبات القانونية ، والمتطلبات الخاصة بالموارد البشرية .
2 – ضمان التأكد من الامتثال لمـا ورد بهذا القانون ولائحته والقرارات التنفيذية ذات الصلة من التزامات تقنية أو تنظيمية .
3 – تشفير البيانات والمعلومات بما يحافظ على سريتها ، وعدم اختراقها باستخدام نظام تشفير قياسى متماثل أو غير متماثل لا يقل تأمينه عن Advanced Encryption Standard (AES-256) بمفتاح شفرة لا يقل عن (256 بت) يتم توليده باستخدام نظام عشوائى آمن . واستخدام نظام إدارة مفاتيح تشفير قياسى للحفاظ على سريتها ودورة حياتها ومستويات استخدامها فى التطبيقات المختلفة .
4 – استخدام شهادات تصديق إلكترونى صادرة من جهة من جهات إصدار شهادات التوقيع الإلكترونى المعترف بها فى جمهورية مصر العربية وبضوابط قانون تنظيم التوقيع الإلكترونى ولائحته التنفيذية ، وذلك لكافة المستخدمين لأنظمة المعلومات الخاصة بالبنية المعلوماتية التحتية الحرجة .
5 – منع الوصول المـادى لغير المخول أو المصرح لهم الدخول أو الوصول لمقار وأجهزة ومعدات أنظمة البنية التحتية المعلوماتية الحرجة .
6 – استخدام ضوابط نفاذ قوية Strong Authentication وفعالة من خلال فئتين أو أكثر من فئــات التوثـق Multi–factor Authentication وبحسب مستوى المخاطـر ، بما يضمن تحديد المسئولية وعدم الإنكار .
7 – توثيق إجراءات التنصيب والتشغيل الخاصة بنظم البنية التحتية المعلوماتية الحرجة وإتاحتها للمستخدمين المخول لهم ذلك عند حاجتهم إليها ، وإلزام الموردين بتزويد الجهة بكامل الوثائق الخاصة بالإجراءات التشغيلية .
8 – ضمان تنفيذ وتشغيل وصيانة أنظمة البنية التحتية المعلوماتية الحرجة وإلزام الأطراف المتعاقد معها بإبرام اتفاقيات تحدد مستوى تقديم الخدمة مع الجهة .
9 – تنصيب واستخدام نظم وبرامج ومعدات المكافحة والحماية من البرمجيات والهجمات الخبيثة ، والكشف عنها والتأكد من صلاحيتها وتحديثها .
10 – إجراء التحديثات الخاصة بالنظم والبرامج والتطبيقات بشكل دورى .
مع الأخذ فى الاعتبار ضوابط التعامل مع إجراء التحديثات على أنظمة التحكم الصناعى مع عدم اتصالها المباشر بشبكة الإنترنت ، وإتمام الاختبارات اللازمة قبل إجراء التحديثات .
11 – إجراء مسح سنوى لأنظمة التحكم الصناعى للكشف عن الثغرات ونقاط الضعف واتخاذ الإجراءات اللازمة للتعامل معها .
12 – إجراء اختبار سنوى للكشف عن الاختراقات أو المخاطر الأمنية وتثبيت أجهزة المنع والكشف عن الاختراقات .
13 – اتخاذ الإجراءات الملائمة للتعامل مع الثغرات الفنية للأجهزة وللنظم والبرامج والتطبيقات عند العلم بها ٫
14 – إجراء عمليات أخذ نسخ احتياطية شهرية للبيانات والمعلومات ، والاحتفاظ بها وتخزينها مشفرة فى موقع آخر .
15 – استخدام معدات وأجهزة ونظم وبرمجيات الجدران النارية (NGFW–UTM–Firewalls) لحماية الشبكات والنظم .
16 – استخدام بروتوكولات آمنة ، مثل بروتوكول نقل النص التشعبى المؤمن
HTTPS . 17 – إعداد قائمة بالأجهزة والمعدات وأرقامها المميزة والمسلسلة وطرازاتها وكذا بيان بالنظم والبرامج والتطبيقات وقواعد البيانات المستخدمة ومواصفاتها .
18 – تحديد مسئوليات الإدارة العليا ومسئولى تكنولوجيا المعلومات وأمن المعلومات بشكل واضح وصلاحيات وسلطات وواجبات والتزامات كل منهم ، مع ضرورة اتساق ذلك مع ما تقوم به إدارات الموارد البشرية وشئون العاملين من إعــداد للهياكل ، والتوصيف الوظيفى ، والأنشطة التدريبية وغيرها من أنشطة وعمليات تلك الإدارات .
19 – إبلاغ المركز الوطنى للاستعداد لطوارئ الحاسب والشبكات بالجهاز عن أى حوادث أو اختراقات فور العلم بحدوثها .
20 – وضع خطة استمرارية العمل والبدائل المقترحة فى حال حدوث أى مخاطر أو أزمات تتعلق بتقديم الخدمة أو انقطاعها ، والقدرة على استعادة الخدمة والعمل فى حال الكوارث ، واختبـار الخطـة دوريـًا