Virksomheder skal gennemføre en risiko- og sårbarhedsvurdering af kendte og mulige risici, der kan forstyrre eller forhindre leveringen af virksomhedens tjenester.
Stk. 2 Risiko- og sårbarhedsvurderingen efter stk. 1 skal indeholde:
-
1) En identifikation og vurdering af risici og sårbarheder.
-
2) En vurdering af konsekvenser ved potentielle hændelser, herunder mulige afledte samfundsmæssige konsekvenser.
-
3) En handlingsplan for risikohåndtering, som angiver:
-
a) Foranstaltninger til at mitigere og styre risici og sårbarheder, herunder foranstaltninger jf. kapitel 10 og kapitel 11.
-
b) Tidsplan for implementering af foranstaltningerne i litra a.
-
c) Intern ansvarsplacering for implementering foranstaltningerne i litra a.
-
Stk. 3 Virksomheder skal som led i deres identifikation og analyse af risici og sårbarheder:
-
1) Tage stilling til Energistyrelsens risiko- og sårbarhedsscenarier, jf. § 107, stk. 5.
-
2) Inkludere relevante informationskilder, herunder virksomhedens egne erfaringer samt trussels- og sårbarhedsvurderinger fra myndigheder og it-sikkerhedstjenesten, jf. § 33, stk. 1.
-
3) Tage stilling til risici, der vurderes at være tilbage, efter at virksomheden har implementeret foranstaltninger efter stk. 2, nr. 3, litra a.
Stk. 4 Risiko- og sårbarhedsvurderingen efter stk. 1 skal gennemføres med inddragelse af relevante medarbejdere og leverandører med teknisk og organisatorisk kendskab til virksomhedens processer, anlæg, net- og informationssystemer, netværksinfrastruktur og leverandørforhold.
Stk. 5 Risiko- og sårbarhedsvurderingen efter stk. 1 skal opdateres ved væsentlige ændringer og integreres i virksomhedens samlede risikobillede.
Stk. 6 Foranstaltninger efter stk. 2, nr. 3, skal implementeres under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostninger og risicienes alvor.