Virksomheder skal sikre, at virksomhedens net- og informationssystemer samt software- og hardwareaktiver, som anvendes i leveringen af virksomhedens tjenester, så vidt muligt hærdes, herunder gennem sikre konfigurationer, jf. § 49, samt med antimalware og nyeste system- og sikkerhedsopdateringer i hele deres livscyklus.
Stk. 2 System- og sikkerhedsopdateringer af forsyningskritiske net- og informationssystemer efter stk. 1, skal gennemføres på baggrund af en risikovurdering, hvor risici mod sikkerheden i systemerne evalueres i forhold til risici for opretholdelsen af virksomhedens evne til at levere sine tjenester.