Rozporządzenie stanowi wykonanie upoważnienia ustawowego zawartego w art. 14 ust. 4 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. poz. 1560.), zwanej dalej „ustawą”. Przepisy określają wymagania dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa dla operatorów usług kluczowych oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo mających wykonywać zadania nałożone na nich przez ustawę.

Zgodnie z ustawą, operatorzy usług kluczowych mogą wykonywać część swoich obowiązków nałożonych przez ustawę poprzez wewnętrzne struktury albo poprzez podmioty zewnętrzne, kontraktowane na zasadach komercyjnych. Ze względu na konieczność zapewnienia odpowiedniego poziomu bezpieczeństwa świadczonych usług, konieczne było określenie warunków technicznych i organizacyjnych, jakie muszą spełniać takie podmioty.

Do wymogów organizacyjnych zalicza się posiadanie wdrożonego systemu zarządzania bezpieczeństwem informacji, zapewnianie ciągłości działania usłudze reagowania na incydenty, sporządzić i upublicznić deklarację polityki działania zgodną z RFC 2350, zapewnić wsparcie operatorowi w trybie całodobowym przez wszystkie dni w roku, z czasem reakcji adekwatnym do charakteru usługi kluczowej oraz dysponować personelem posiadającym odpowiednie umiejętności i doświadczenie.

Rozporządzenie zawiera również wymogi techniczne dotyczące sprzętu i pomieszczeń takie jak system kontroli dostępu, odpowiednie drzwi czy też właściwy sprzęt komputerowy i system łączności.

Celem zapewnienia jednoznaczności wymagań i ich zobiektywizowaniu wymagania w dużej mierze opierają się na Polskich Normach.