Vláda České republiky schválila 2. ledna 2014 návrh Zákona o kybernetické bezpečnosti. Zákon o kybernetické bezpečnosti tvoří právní rámec pro řešení velkých bezpečnostních incidentů, které přímo ohrožují kritickou síťovou infrastrukturu státu a jeho informační systémy.
Zákon definuje dvě zásady a tři pilíře.
Zásada č.1: minimalizace zásahu do práv soukromoprávních subjektů.
Zásada č.2: individuální odpovědnost za bezpečnost vlastních informačních systémů.
Tři pilíře tvoří:
a) bezpečnostní opatření,
b) hlášení kybernetických bezpečnostních incidentů
c) tvorba protiopatření, neboli reakce na bezpečnostní incidenty

Zákon dále přímo vyjmenovává konkrétní subjekty, na které se vztahuje a vymezuje tak jeho působení na důležitou infrastrukturu státu.
Vyjmenované subjekty v oblasti kybernetické bezpečnosti jsou:
a) poskytovatel služby elektronických komunikací a subjekt zajišťující infrastrukturu elektronických komunikací
b) subjekt zajišťující provoz významné sítě, pokud nespadá pod písmeno d),
c) správce informačního systému kritické informační infrastruktury,
d) správce komunikačního systému kritické informační infrastruktury a
e) správce významného informačního systému.
Jedná se tedy o takové subjekty, které se přímo podílejí na významné elektronické komunikaci či provozují kritickou infrastrukturu.
Subjekty vyjmenované v bodech a) a b) jsou do působnosti zákona zahrnuty jen v případě takzvaného stavu kybernetického nebezpečí. Ten může platit jen po omezenou dobu a vyhlašuje ho předseda vlády.
Zákon dále definuje, jak má fungovat systém k zajištění kybernetické bezpečnosti.