Virksomheder skal være tilmeldt en it-sikkerhedstjeneste, som skal varsle virksomheden om relevante sårbarheder og cybertrusler uden ugrundet ophold og vejlede virksomheden om mitigerende tiltag.
Stk. 2 Det skal fremgå af leverandøraftalen med en it-sikkerhedstjeneste, hvor hurtigt it-sikkerhedstjenesten skal varsle virksomheden efter opdagelse af sårbarheder og cybertrusler.
Stk. 3 Virksomheder skal sikre, at it-sikkerhedstjenesten har det nødvendige kendskab til virksomhedens net- og informationssystemer, så it-sikkerhedstjenesten kan identificere og varsle virksomheden om relevante sårbarheder og cybertrusler.
Stk. 4 Virksomheder skal sikre, at varsler modtages af personer med de nødvendige kompetencer til at omsætte varsler til mitigerende handling i virksomheden under hensyntagen til et varsels alvor.
Stk. 5 Virksomheder, som indgår en fælles kontrakt med en it-sikkerhedstjeneste, skal alle fremgå af kontrakten med it-sikkerhedstjenesten. Kontrakten skal opbevares hos alle tilmeldte virksomheder.