(2) Orgán státu, právnická osoba podle § 60b a podnikatel jsou povinni

a) pro jimi provozované zařízení uvedené v odstavci 1 vydat bezpečnostní provozní směrnici; pouze v souladu s ní lze zpracovávat utajovanou informaci a

b) zaslat o provozovaném zařízení uvedeném v odstavci 1 Národnímu úřadu pro kybernetickou a informační bezpečnost informace platné k 31. prosinci kalendářního roku nejpozději do 1. února následujícího kalendářního roku.