Virksomheder og den centrale lagerenhed har ansvar for sikkerheden i egen forsyningskritisk infrastruktur og egne forsyningskritiske it-systemer, ved anvendelse af eksterne leverandører til foretagelse af installation, vedligehold og opdatering.
Stk. 2 Virksomhederne og den centrale lagerenhed skal etablere procedurer for leverandørers adgang til forsyningskritisk infrastruktur og forsyningskritiske it-systemer eller dele heraf. Såfremt der er behov for fjernadgang til forsyningskritiske it-systemer, skal procedurer for denne fjernadgang beskrives i kontrakter, der på anmodning skal forevises ved tilsyn.
Stk. 3 Virksomhederne og den centrale lagerenhed sikrer, at data, der er følsomme af hensyn til forsyningen, håndteres med den fornødne sikkerhed. Den fornødne sikkerhed omfatter minimum:
-
1) at virksomhederne og den centrale lagerenhed i relation til leverandører bevarer ejerskab af forsyningskritisk data,
-
2) at adgangen til disse data logges, med mulighed for henføring til specifikke medarbejdere ved leverandører og
-
3) at disse data opbevares i lokaler, der er fysisk sikret mod uvedkommendes adgang.