Virksomheder, jf. § 2, stk. 1, skal afholde it-beredskabsøvelser med udgangspunkt i egne it-beredskabsplaner, jf. § 14 stk. 1.
Stk. 2 It-beredskabsøvelser skal indgå i virksomhedernes øvelsesplan, jf. bekendtgørelser om beredskab for elsektoren og naturgassektoren, og tage udgangspunkt i relevante trusler, sårbarheder eller erfaringer.
Stk. 3 Virksomheder i kategori 1, jf. § 9, stk. 1, nr. 1, skal minimum afholde én årlig it-beredskabsøvelse. Virksomheder i kategori 2 og 3, jf. § 9, stk. 1, nr. 2 og 3, skal sikre, at it-beredskabet i lighed med andre elementer i virksomhedens beredskabsplan øves.
Stk. 4 Virksomhederne skal dokumentere mindre interne øvelser, der træner virksomhedens it-sikkerhed. Dokumentationen af mindre øvelser skal fremsendes til Energistyrelsen én gang årligt.
Stk. 5 Energinet skal som minimum hvert tredje år afholde it-beredskabsøvelser, der træner anvendelse af sektorberedskabsplanen i it-beredskabssituationer, jf. § 16.
Stk. 6 Virksomhederne henholdsvis Energinet skal udarbejde en evaluering af hver afholdt it-beredskabsøvelse. Øvelsesevalueringen skal angive øvelsens forløb, opnåede erfaringer samt planlagt opfølgning og tidsplan herfor. Evalueringen skal indeholde en vurdering af, hvilke læringspunkter der er relevante at dele med andre virksomheder eller myndigheder.
Stk. 7 Virksomhedernes øvelsesevalueringer efter stk. 3 og stk. 4 fremsendes senest tre måneder efter øvelsen til Energistyrelsen. Energinets øvelsesevalueringer efter stk. 5 fremsendes senest tre måneder efter øvelsen til Energistyrelsen.
Stk. 8 Energistyrelsen skal udarbejde en vejledning, om hvilke typer af øvelser virksomhederne kan gennemføre og evaluere.