Para beneficiar desta proteção, o investigador não pode ter criado a vulnerabilidade e não pode visar qualquer vantagem económica para além da remuneração profissional habitual.

A lei impõe um dever de comunicação imediata da falha ao proprietário do sistema, ao responsável pelo tratamento de dados (quando aplicável) e, de forma crucial, ao Centro Nacional de Cibersegurança (CNCS). As ações do investigador devem ser limitadas ao estritamente necessário para confirmar a vulnerabilidade, sendo proibido causar danos, como interrupções de serviço, perda de dados, ataques de negação de serviço ou uso de malware. Além disso, é obrigatório o cumprimento do Regulamento Geral sobre a Proteção de Dados e a eliminação de toda a informação obtida até dez dias após a correção da falha, garantindo a confidencialidade.