Virksomheder, jf. § 2, stk. 1, skal udarbejde og gennemføre awareness-tiltag om it-sikkerhed, herunder formidle oplysninger om hvordan it-sikkerheden skal varetages af den berørte gruppe af medarbejdere eller eksterne.
Stk. 2 Virksomheder i kategori 1, jf. § 9, stk. 1, nr. 1, skal minimum gennemføre awareness-tiltag årligt.
Stk. 3 Virksomheder i kategori 2 og 3, jf. § 9, stk. 1, nr. 2 og 3, skal gennemføre awareness-tiltag minimum hvert andet år.