Návrh zákona o kritickej infraštruktúre nahrádza stavechu 15 rokov starý zákon novou koncepciou zameranou na celkovú odolnosť kritických subjektov voči hrozbám. Kľúčová zmena spočíva v prechode od fyzickej ochrany jednotlivých prvkov infraštruktúry k zabezpečeniu neprerušovaného poskytovania základných služieb (energia, doprava, zdravotníctvo, voda, IT, financie atď.), ktoré sú nevyhnutné pre fungovanie spoločnosti a hospodárstva. Zákon určuje kritické subjekty na základe nových kritérií (dopad incidentu na poskytovanie služieb, podiel na trhu, počet používateľov) a stanovuje im povinnosti: vykonať posúdenie rizík do 9 mesiacov, vypracovať bezpečnostný plán do 10 mesiacov, nahlasovať incidenty do 24 hodín. Kritické subjekty v sektoroch digitálna infraštruktúra a financie sú regulované osobitne podľa zákonov o kybernetickej bezpečnosti a finančnom dohľade, aby sa vyhlo duplicitným požiadavkám. Personálna bezpečnosť sa posilňuje cez verifikáciu kontaktných osôb a oprávnených osôb (kontrola bezúhonnosti prostredníctvom výpisu z registra trestov). Ochrana citlivých informácií sa upravuje zavedením kategórie „limitovaná informácia" do zákona o utajovaných skutočnostiach, ktorá chráni údaje o kritickej infraštruktúre bez celoplošného utajenia. Za porušenia povinností hrozia pokuty do 300 000 eur. Zákon nadobúda účinnosť 1. januára 2025 s prechodným obdobím, počas ktorého sa identifikujú ďalšie kritické subjekty a prijmú potrebné opatrenia.