يلتزم مقدمو خدمات تقنيات المعلومات باتخاذ الإجراءات التقنية والتنظيمية التالية تنفيذًا للبندين (2 و3) من الفقرة أولاً من المـادة رقم (2) من القانون :

1 – تشفير البيانات والمعلومات بما يحافظ على سريتها ، وعدم اختراقها باستخدام نظام تشفير قياسى متماثل أو غير متماثل لا يقل فى تأمينه عن (ASE-128) Advanced Encryption Standard بمفتاح شفرة لا يقـل عن (128 بت) ، مع مسئوليته بالحفاظ على سرية وأمان مفتاح التشفير .

2 – تنصيب واستخدام نظم وبرامج ومعدات مكافحة البرمجيات والهجمات الخبيثة والتأكد من صلاحيتها وتحديثها .

3 – استخدام بروتوكولات آمنة ، مثل بروتوكول نقل النص التشعبى المؤمن

HTTPS . 4 – وضع صلاحيات بالشبكات والمـلفات وقواعد البيانات وتحديد المسئولين ، لضمان حماية الوصول المنطقى Logical Access إلى الأصول المعلوماتية والتقنية لمنع الوصول غير المصرح به .

5 – إعداد قائمة بالأجهزة والمعدات وأرقامها المميزة والمسلسلة وطرازاتها وكذا بيان بالنظم والبرامج والتطبيقات وقواعد البيانات المستخدمة ومواصفاتها .

6 – تطبيق أفضل الممارسات والضوابط عند اختيار مواصفات كلمات السر أو المرور وفقًا للملحق رقم (1) المرفق باللائحة التنفيذية .

7 – توثيق إجراءات التنصيب والتشغيل الخاصة بالأنظمة .

8 – ضمان تنفيذ وتشغيل وصيانة الأنظمة وإلزام الأطراف المتعاقد معها بإبرام اتفاقيات تحدد مستوى تقديم الخدمة مع الجهة وحدود مسئولية كل جهة .

9 – إجراء التحديثات الخاصة بالنظم والبرامج والتطبيقات بشكل دورى وإتمام الاختبارات اللازمة قبل إجراء التحديثات .

10 – إجراء اختبار سنوى للكشف عن الاختراقات أو المخاطر الأمنية .

11 – استخدام معدات وأجهزة ونظم وبرمجيات الجدران النارية (NGFW-UTM-Firewalls) لحماية الشبكات والنظم