Zmiany są wyrazem dostosowania polskiego systemu ochrony informacji niejawnych do reguł i praktyki obowiązujących w instytucjach Unii Europejskiej. Dotyczy to szczególnie możliwości znacznie bardziej elastycznego traktowania zasad ochrony informacji o niskich klauzulach tajności oraz ich sprawnego przekazywania i przetwarzania w systemach teleinformatycznych.

Ważną zmianą jest umożliwienie stosowania zarządzania ryzykiem przy określaniu wymogów bezpieczeństwa fizycznego i teleinformatycznego. Pozwoli to na istotne ograniczenie nadmiernych wymogów oraz związanych z nimi wydatków przez dopasowanie stosowanych środków ochrony do liczby i wagi chronionych informacji oraz rzeczywistego poziomu istniejących dla nich zagrożeń. Wprowadzenie tego rozwiązania w założeniu znacząco ułatwi akredytację systemów teleinformatycznych przygotowanych do przekazywania i przetwarzania informacji niejawnych, a jednocześnie nie będzie skutkować obniżeniem standardów ochrony. Ustawa posługuje się m.in. takimi pojęciami, jak: dokument szczególnych wymagań bezpieczeństwa, dokument procedur bezpiecznej eksploatacji systemu teleinformatycznego, dokumentacja bezpieczeństwa systemu teleinformatycznego, akredytacja bezpieczeństwa teleinformatycznego, co pozwala na precyzyjne ustalenie znaczenia z natury technicznych pojęć.