Virksomheder skal føre en fortegnelse over fysiske og digitale informationsstrømme, som indgår i kommunikationen mellem styringskritiske funktioner i leveringen af virksomhedens tjenester, og som virksomheden sender og modtager fra eksterne aktører og eksterne net- og informationssystemer.
Stk. 2 Fortegnelsen efter stk. 1 skal indeholde en vurdering af risici for tab af fortrolighed, integritet og tilgængelighed for nævnte informationsstrømme.