Erhvervsmæssige udbydere af NUIK-tjenester og offentligt tilgængelige elektroniske kommunikationsnet og -tjenester skal udarbejde og gennemføre en ledelsesgodkendt informationssikkerhedspolitik efter en anerkendt international standard, eksempelvis DS/ISO/IEC 27001 eller tilsvarende. Informationssikkerhedspolitikken skal herunder beskrive de processuelle og organisatoriske rammer for arbejdet med sikkerheden i net og tjenester.
Stk. 2 Udbyderne skal sikre, at informationssikkerhedspolitikken er kommunikeret til alle relevante medarbejdere.
Stk. 3 Udbyderne skal løbende tilpasse informationssikkerhedspolitikken, herunder ved væsentlige ændringer af udbydernes virksomhed og i trusselsbilledet. Der skal dog mindst én gang om året foretages en vurdering af behovet for revision af informationssikkerhedspolitikken. Informationssikkerhedspolitikken skal på den baggrund revideres i fornødent omfang.