Atkreipti dėmesį į Kibernetinio saugumo įstatymą turi tie juridiniai ir fiziniai asmenys, kurie veikia viename iš Kibernetinio saugumo įstatymo 1 ir 2 prieduose nurodytų ypatingos svarbos ir kituose itin svarbiuose sektoriuose. Kitas svarbus kriterijus, kuris bus vertinamas – juridinio asmens dydis: kibernetinio saugumo įstatymo prieduose nurodytuose sektoriuose veikiantis asmuo patenka į įstatymo reguliavimo sritį, jei jis yra didelė ar vidutinė įmonė pagal Smulkiojo ir vidutinio verslo plėtros įstatymą (vertinamas vidutinių įmonės darbuotojų skaičius, metinės pajamos, balanse nurodyto turto vertė).
Išskyrus tam tikras išimtis, Kibernetinio saugumo įstatymas netaikomas mažoms ir labai mažoms įmonėms. Išimtys susijusios su tokių įmonių teikiamomis paslaugomis ar produktais, kurie yra kritiškai svarbūs valstybės gyvenimui, pavyzdžiui, kai tokios įmonės yra vieninteliai paslaugų teikėjai arba kai paslaugų teikimo sutrikimas gali turėti reikšmingų pasekmių visuomenės saugumui arba visuomenės sveikatai ir pan.
NKSC, vadovaudamasis Kibernetinio saugumo įstatyme nustatytais subjektų identifikavimo kriterijais (bendraisiais ir specialiaisiais), identifikavo kibernetinio saugumo subjektus ir įtraukė juos į Kibernetinio saugumo subjektų registrą ir kibernetinio saugumo subjektams išsiuntė pranešimus apie jų patekimą į Kibernetinio saugumo subjektų registrą iki 2025 m. balandžio 17 d. Kibernetinio saugumo subjektų registras bus peržiūrimas ne rečiau kaip kartą per metus. Kibernetinio saugumo subjektų registro duomenys yra konfidencialūs ir teikiami tik Kibernetinio saugumo įstatymo 19 straipsnio 5 dalyje nustatyta tvarka.
Subjektų identifikavimo metu vertinama įvairių šaltinių informacija (pavyzdžiui, gauta iš valstybės registrų ir informacinių sistemų, pačių identifikuojamų subjektų, kitų valstybės institucijų, įstaigų, ir kt.), siekiant patikrinti jų atitikimą Kibernetinio saugumo įstatymo 11 straipsnyje nustatytiems kriterijams. Kibernetinio saugumo subjektai Kibernetinio saugumo įstatymo 1 ir 2 prieduose nurodytiems sektoriams, subsektoriams ir subjekto rūšiai priskiriami pagal Ekonominės veiklos rūšių klasifikatorių, įvertinant visą įmonės vykdomą veiklą ir teikiamas paslaugas.
Kibernetinio saugumo reikalavimai nustatyti aktualia redakcija išdėstytame Kibernetinio saugumo reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“. Šiuo Vyriausybės nutarimu patvirtintas ne tik Kibernetinio saugumo reikalavimų aprašas, bet ir kitos tvarkos, kurios tampa aktualios į Kibernetinio saugumo subjektų registrą patekusiems kibernetinio saugumo subjektams: Nacionalinis kibernetinių incidentų valdymo planas, Kibernetinio saugumo subjektų identifikavimo pagal specialiuosius kriterijus metodika, Vykdymo užtikrinimo priemonių taikymo kibernetinio saugumo subjektams tvarkos aprašas.
Į Kibernetinio saugumo subjektų registrą patekę kibernetinio saugumo subjektai kibernetinio saugumo reikalavimus turi įgyvendinti per 12 mėn., o atitinkamuose Kibernetinio saugumo reikalavimų aprašo punktuose nustatytus techninius kibernetinio saugumo reikalavimus – per 24 mėn. (žr., Kibernetinio saugumo reikalavimų aprašo 71 ir 72 p.).
