Art. 8. Operator usługi kluczowej wdraża system zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej, zapewniający:
1) prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie
    tym ryzykiem;
2) wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych
    i organizacyjnych, uwzględniających najnowszy stan wiedzy, w tym:
    a) utrzymanie i bezpieczną eksploatację systemu informacyjnego,
    b) bezpieczeństwo fizyczne i środowiskowe, uwzględniające kontrolę dostępu,
    c) bezpieczeństwo i ciągłość dostaw usług, od których zależy świadczenie usługi
        kluczowej,
    d) wdrażanie, dokumentowanie i utrzymywanie planów działania umożliwiających ciągłe
        i niezakłócone świadczenie usługi kluczowej oraz zapewniających poufność,
        integralność, dostępność i autentyczność informacji,
    e) objęcie systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej
        systemem monitorowania w trybie ciągłym;
3) zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty
    systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;
4) zarządzanie incydentami;
5) stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo
    systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, w tym:
    a) stosowanie mechanizmów zapewniających poufność, integralność, dostępność
        i autentyczność danych przetwarzanych w systemie informacyjnym,
    b) dbałość o aktualizację oprogramowania,
    c) ochronę przed nieuprawnioną modyfikacją w systemie informacyjnym,
    d) niezwłoczne podejmowanie działań po dostrzeżeniu podatności lub zagrożeń
        cyberbezpieczeństwa;
6) stosowanie środków łączności umożliwiających prawidłową i bezpieczną komunikację
    w ramach krajowego systemu cyberbezpieczeństwa.