Virksomheder, jf. § 2, stk. 1, skal udarbejde en vurdering af relevante risici og sårbarheder, der kan påvirke virksomhedens forsyningskritiske it-systemer.
Stk. 2 Risiko- og sårbarhedsvurderinger skal indeholde alle relevante forhold, herunder egne erfaringer fra øvelser og hændelser, jf. §§, 19 og 22, samt trusselsvurderinger fra Center for Cybersikkerhed og den tilknyttede it-sikkerhedstjeneste, jf. § 25.
Stk. 3 Risiko- og sårbarhedsvurderinger skal udarbejdes med inddragelse af relevante personer i organisationen, herunder personer, men ikke begrænset til personer med ansvar for det almene beredskab og it-beredskabet. Risiko- og sårbarhedsvurderingen skal integreres i virksomhedens samlede risikobillede.
Stk. 4 Risiko- og sårbarhedsvurderingen skal opdateres, når nye risici, trusler eller sårbarheder erkendes samt ved væsentlige ændringer af it-systemer eller trusselsbilledet. Virksomhederne skal på Energistyrelsens forlangende kunne dokumentere, hvordan og hvornår risiko- og sårbarhedsvurderingen er opdateret.
Stk. 5 Risiko- og sårbarhedsvurderingen skal forevises til Energistyrelsen ved tilsyn.
Stk. 6 Virksomheder i kategori 1, jf. § 9, stk. 1, nr. 1, skal årligt inden den 1. oktober fremsende konklusionerne fra en opdateret risiko- og sårbarhedsvurdering til Energistyrelsen. Virksomheder i kategori 2 og 3, jf. § 9, stk. 1, nr. 2 og 3, skal fremsende konklusionerne fra en opdateret risiko- og sårbarhedsvurdering til Energistyrelsen minimum hvert tredje år. Næste gang den 1. oktober 2021.
Stk. 7 Energistyrelsen skal videreformidle konklusionerne fra virksomhedernes opdaterede risiko- og sårbarhedsvurderinger til Energinet. Energinet medtager virksomhedernes konklusioner i deres risiko og sårbarhedsvurderinger for det sammenhængende elforsyningssystem og naturgasforsyningssystem efter § 11.