Pełne obowiązki operatorów usług kluczowych są określone w ustawie o KSC i każdy operator powinien się z nimi zapoznać, aby móc zapewnić zgodność z ustawą.
Do najważniejszych grup obowiązków należą:
zarządzanie ryzykiem (w tym szacowanie ryzyka);
wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych (w tym utrzymanie i bezpieczną eksploatację systemu informacyjnego; bezpieczeństwo fizyczne i środowiskowe; bezpieczeństwo i ciągłość dostaw; wdrażanie, dokumentowanie i utrzymywanie planów działania);
zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty;
obsługa incydentów i współpraca w tym zakresie z właściwym CSIRT;
