Virksomheder skal have passende og forholdsmæssige foranstaltninger til at sikre, at forsøg på indtrængen og uautoriseret adgang på virksomhedens anlæg, lokationer, faciliteter, som ikke er klassificeret, men hvor der opbevares kritiske anlægskomponenter eller netværksudstyr, der kan tilgå net- og informationssystemer, opdages og uden unødigt ophold alarmeres til et døgnbemandet kontrolrum eller en af Rigspolitiet godkendt kontrolcentral.
Stk. 2 Virksomheder skal foretage stikprøvevis kontrol med, at foranstaltninger efter stk. 1 gennemføres, er intakte og fungerer efter hensigten, jf. § 40, stk. 2 og 3.