Kontrolní mechanismy
Kontrolu nad dodržováním nového kybernetického zákona bude mít na starosti Národní úřad pro kybernetickou a informační bezpečnost. Kontroly mohou být plánované, podle ročního kontrolního plánu, ale také mimořádné, například na základě nějakého incidentu či oznámení. U kontroly může jít o fyzickou kontrolu na místě, ale také o dálkovou elektronickou kontrolu. Kontroloři mohou požadovat přístup k systémům, datům, auditním záznamům, bezpečnostním politikám a školícím materiálům. Nedodání požadovaných informací může být samo o sobě považováno za porušení zákona.
Sankce
Za nedodržení zákonných požadavků hrozí podnikům poměrně zásadní sankce. Výše sankcí se liší podle režimu, ve kterém podnik funguje. V nižším regulatorním režimu hrozí maximální pokuta 175 milionů Kč nebo 1,4 % z ročního světového obratu. V režimu vyšších povinností pak hrozí maximální pokuta 250 milionů Kč nebo 2 % ze světového obratu, podle toho, co je vyšší.
Finanční sankce však nejsou jediným možným trestem, dalšími jsou pozastavení platnosti certifikace, ke kterému může dojít, pokud NÚKIB poskytovateli regulované služby uloží povinnost odstranit nedostatky zjištěné při kontrole a poskytovatel tuto povinnost nesplní. Krajní sankcí je pak dočasný zákaz výkonu funkce člena statutárního orgánu fyzické osobě, ke kterému může dojít, pokud by člen statutárního orgánu poskytovatele regulované služby v režimu vyšších povinností opakovaně nebo závažně porušil své povinnosti při výkonu řídicí funkce. Oba tyto nefinanční postihy platí do odstranění zjištěných nedostatků, ale nejméně 6 měsíců.