ตามมาตรา 49 แห่งพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 กำหนดให้คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) มีอำนาจประกาศกำหนดลักษณะ หน่วยงานที่มีภารกิจหรือให้บริการในด้านต่าง ๆ ดังต่อไปนี้
(1) ด้านความมั่นคงของรัฐ
(2) ด้านบริการภาครัฐที่สำคัญ
(3) ด้านการเงินการธนาคาร
(4) ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม
(5) ด้านการขนส่งและโลจิสติกส์
(6) ด้านพลังงานและสาธารณูปโภค
(7) ด้านสาธารณสุข
(8) ด้านอื่นตามที่คณะกรรมการประกาศกำหนดเพิ่มเติม
โดย สกมช. กำหนดให้หน่วยงานควบคุมหรือกำกับดูแลดำเนินการ 5 ขั้นตอน ดังนี้
1. การระบุกระบวนการที่สำคัญ
2. การพิจารณาผลกระทบจากการหยุดชะงักของกระบวนการที่สำคัญ
3. การประเมินเวลาการหยุดชะงักที่ยอมรับได้
4. เลือกกระบวนการที่สำคัญและการระบุทรัพย์สินสารสนเทศ
5. การระบุหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ
