Un État doit faire preuve de diligence raisonnable pour ne pas permettre sur son territoire, ou sur un territoire ou une infrastructure cybernétique sous son contrôle gouvernemental, d'être utilisé pour des opérations cybernétiques qui affectent les droits et qui ont des conséquences négatives graves pour d'autres États.
Dans le Manuel de Talinn 2.0, le concept de « Due Diligence » est défini comme : l’obligation des États de contrôler les activités qui ont lieu sur le territoire. Elle peut aussi indirectement être nommée par les expressions suivantes : Obligation de vigilance et obligation de prévention. Ce concept, qui trouve sa source dans la jurisprudence, notamment l’arrêt du 04 Avril 1949 dit Affaire du Détroit de Corfou par la Cour Internationale de Justice, est aussi le reflet de l’expression des concepts de souveraineté vus précédemment. Le groupe d’experts affirme que ce concept en l’absence de mieux, s’applique au théâtre cybernétique.
Les experts reconnaissent que les opérations cybernétiques peuvent être menées sous fausse bannière ou bannière cachée. Ils entendent par-là, que le schéma celui qui attaque est forcément l’attaquant est obsolète dans ce nouveau terrain qu’est le numérique. Ils expliquent donc que le schéma remplaçant est :
(État Attaqué ; A) <-> (État(s) Proxie(s) ; B) <-> (État attaquant ; C)
Cependant, cette reconnaissance d’attaques dites par « proxies » n’exempte pas l’État de transit (B) de ce concept, il a une obligation de mettre tout en œuvre afin de stopper l’attaque dès qu’il en a la connaissance. Cette obligation de moyen est proportionnelle aux moyens de l’État et sera laissée à l’appréciation des juges.
Les experts précisent aussi ce que signifie « qui affectent les droits … des autres États » par l’ingérence d’un État sur les capacités d’un autre État à pouvoir exercer ses obligations.
Un autre point intéressant est que l’espionnage n’est pas considéré comme illicite dans le Droit International.
De plus, il est important de saisir que ce concept est désigné comme raisonnable, c’est-à-dire qu’il n’oblige pas à détecter mais demande une certaine surveillance et certains moyens non quantifiés car les experts reconnaissent aussi la sophistication des attaques et leur difficile attribution.
Enfin, les experts approuvent à l’unanimité que si un groupe non-étatique agit sur demande d’un État alors ces activités peuvent être imputées à l’État demandeur.