Virksomheder, jf. § 2, stk. 1, er ansvarlige for eget it-beredskab, herunder at omsætte informationer om it-sikkerhedstrusler og konkrete it-varsler til nødvendige tiltag i egen organisation.
Stk. 2 Virksomheder, der af geografiske eller tekniske årsager er afhængige af andre virksomheders it-systemer, skal sikre, at denne afhængighed ikke medfører komplikationer for virksomhedens håndtering af it-beredskabets operative og planlægningsmæssige opgaver.
Stk. 3 Virksomheder i kategori 1 og 2, jf. § 9, stk. 1, nr. 1 og 2, skal sikre, at der er mulighed for it-sikkerhedsmæssig assistance på alle tider af døgnet. Virksomhederne er ansvarlige for at vurdere, hvilken assistance der er relevant i den pågældende virksomhed.