Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester skal som minimum én gang hvert andet år afholde en intern beredskabsøvelse, som omfatter anvendelse af udbyderens krisestyringsplan.
Stk. 2 Senest tre måneder efter en afholdt øvelse skal udbyderne have udarbejdet en rapport, som beskriver øvelsens formål, forløb, opnåede erfaringer og planlagt opfølgning. Udbyderne skal efter påbud fra Center for Cybersikkerhed fremsende rapporten til centeret.