Bestyrelsen henholdsvis direktionen i de virksomheder, der er omfattet af § 1, stk. 1 og 3, skal træffe foranstaltninger, der er tilstrækkelige til, at virksomheden drives betryggende. Bestyrelsen henholdsvis direktionen skal herunder tage stilling til, hvilke foranstaltninger der er tilstrækkelige til, at bekendtgørelsen overholdes. Hvilke foranstaltninger, der er tilstrækkelige, vil afhænge af virksomhedens forretningsmodel samt
-
1) virksomhedens størrelse,
-
2) virksomhedens struktur samt strukturen af den koncern, hvori virksomheden måtte indgå,
-
3) de forretningsmæssige og geografiske områder, som virksomheden opererer på,
-
4) de finansielle tjenesteydelser, som virksomheden tilbyder, og
-
5) de finansielle produkter, som virksomheden handler med.
Stk. 2 Bestyrelsen henholdsvis direktionen i de virksomheder, der er omfattet af § 1, stk. 1, nr. 1-6, og som har datterselskaber, skal træffe foranstaltninger, der er tilstrækkelige til, at koncernen drives på betryggende vis.
Stk. 3 Bestyrelsen henholdsvis direktionen i de virksomheder, der er omfattet af § 1, stk. 1, nr. 1 og 2, og som i medfør af §§ 308 eller 310 i lov om finansiel virksomhed er udpeget som systemisk vigtige finansielle institutter (SIFI) eller globalt systemisk vigtige finansielle institutter (G-SIFI), skal ved vurderingen efter stk. 1 inddrage hensynet til opretholdelsen af en stabil finansiel sektor ved vurdering af risikostyringsområdet og hensynet til opretholdelsen af en stabil finansiel infrastruktur ved vurdering af it-sikkerhedsområdet.