Informationsleverandøren skal fastsætte nærmere interne bestemmelser om sikkerhedsforanstaltninger i myndigheden til uddybning af de regler, der fremgår af denne bekendtgørelse. Bestemmelserne skal navnlig omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer. Desuden skal der fastsættes retningslinier for informationsleverandørens tilsyn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat for informationsleverandøren.
Stk. 2 De interne bestemmelser skal gennemgås mindst én gang hvert år med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold hos informationsleverandøren.