Ligji i ri për sigurinë kibernetike ka zgjeruar gamën e subjekteve private që do të konsiderohen Operatorë të infrastrukturës kritike dhe të rëndësishme të informacionit, por duke shtuar edhe detyrimet që ata duhet të përmbushin në këtë kuadër. Operatorë kritikë do të konsiderohen subjektet që ofrojnë shërbime në sektorët e energjisë, në sektorët e transportit ajror, detar, hekurudhor, rrugor dhe postar; në sektorët e ekonomisë, financës, infrastrukturës së tregut financiar, sektorin bankar, fintek, shoqëritë e sigurimeve si dhe sistemet mikrofinanciare; në sektorët e infrastrukturës digjitale, telekomunikacionit, si dhe shërbimet digjitale; Subjektet që ofrojnë hërbime në sektorët për përpunimin dhe transmetimin e informacionit të klasifikuar që lidhen me sigurinë publike; deri te subjektet që ofrojnë shërbime në sektorin akademik.
Sipas projektligjit, të nxjerrë për konsultim publik, operatorët kanë detyrimin të raportojnë të gjitha infrastrukturat e tyre të informacionit pranë Autoritetit përgjegjës, të përdorin produkte të certifikuara, por edhe ti lejojnë akses të plotë në ambientet e infrastrukturave dhe sistemet e tyre të informacionit, të cilat janë të lidhura me shërbimet e ofruara prej tyre. Operatorët detyrohen gjithashtu të zbatojnë rekomandimet dhe masat korrigjuese të lëna nga Autoriteti, si dhe të raportojnë mbi implementimin e tyre.
Kur Autoriteti konstaton mangësi në implementimin e masave të sigurisë, në zbatim të këtij ligji, përcakton një afat të arsyeshëm, brenda të cilit operatorët e infrastrukturës kritike dhe të rëndësishme të informacionit, marrin masat korrigjuese përkatëse. “Kostot lidhur me zbatimin e masave korrigjuese mbulohen nga operatorët e infrastrukturës kritike dhe të rëndësishme të informacionit”, thekson projektligji.
Ndërkaq, projektligji parashikon gjoba deri në 10 mijë dollarë për operatorët që nuk raportojnë sulmet kibernetike, nuk bashkëpunojnë me autoritetet, apo nuk impelemntojnë detyrimet për përmrësimin e teknologjive mbrojtëse.