Qonunlar va qoidalar. Har bir davlatning kiberxavfsizlik siyosati hozirda milliy xavfsizlik siyosatining quyi qismi hisoblanadi. Davlatning kiberxavfsizlik siyosati tashqi siyosat yoki iqtisodiy siyosat bilan bir xil tarzda hisoblangan bo‘lsa ham, bu siyosatlar qonun bilan bir xil kuchga ega emas. Aksincha, siyosatlar hisobotlar va nutqlar, suhbatlar va muzokaralar orqali o‘rnatiladi va ifodalanadi. Siyosat qanday qonunlar va qoidalarni ko‘rib chiqish kerakligi haqida qaror qabul qilish uchun ishlatiladi. Bu qonunlar va qoidalarning o‘ziga tegishli emas. Albatta, dunyoda shartnomalar, qonunlar va qoidalar eng yaxshi va oqilona o‘ylangan siyosatni aks ettiradi. Shunga qaramay, kiberxavfsizlik siyosatini umuman ifodalamasdan turib kiberxavfsizlik bo‘yicha ijro direktivalari, qonunlari va qoidalariga ega bo‘lish mumkin. Masalan, Xitoy milliy davlat operatsiyalari uchun muhim bo‘lgan kiberkosmos faoliyati nazorat qilinishi kerakligi haqidagi siyosatni aniq belgilab qo‘ydi (Bishop 2010). Ushbu siyosatda Internet iqtisodiyot va davlat manfaatlariga xizmat qilishi aniq belgilab qo‘yilgan. Siyosat Xitoy hukumati telekommunikatsiya vositalarini ajratish, kuzatish va nazorat qilish, shuningdek, o‘z manfaatlariga zid deb aniqlagan internet saytlariga kirishni bloklash imkonini beruvchi qonun va qoidalarga olib keldi.
Hukumatning kiberxavfsizlik siyosati ishlab chiqilganmi yoki yo‘qmi, uning kiberxavfsizlik qoidalari boshqaruv doirasi bilan chegaralanadi. Ya’ni, hukumatning filiali yoki agentligi har qanday davlat miqyosidagi tartibga solish doirasida bo‘ladi va shuning uchun uning siyosati va qoidalari ushbu kengroq doiraga mos kelishi kerak. Filial yoki agentlik faqat o‘z saylov okrugi uchun va o‘z ustavi doirasida yangi qonunchilikni yaratishi mumkin. Masalan, sanoatni tartibga soluvchi organ tomonidan chiqarilgan kiberxavfsizlik siyosati faqat uning tartibga soluvchi sohasiga tegishli bo‘ladi. Energiya regulyatori energiya ob’ektidan ortiqcha aloqaga ega bo‘lishini talab qila oladi, lekin telekommunikatsiya provayderlaridan har bir energiya ob’ektiga ortiqcha kabel yotqizishini talab qila olmaydi. Faqat telekommunikatsiya sohasini tartibga soluvchi organ telekommunikatsiya sohasi uchun qoidalarni belgilashi mumkin va nizom boshqa tartibga soluvchi organning domeniga ko‘rsatiladigan xizmatlarni o‘z ichiga olmaydi.