Virksomheder skal gennemføre en risikovurdering i henhold til § 18, stk. 1 og 2 og stk. 4, i forbindelse med følgende projekter:
-
1) Erhvervelse og udvikling af forsyningskritiske net- og informationssystemer.
-
2) Etablering af nye anlæg eller opkøb af anlæg i klasse 3-5, jf. tærskelværdierne i bilag 2. Ændring af eksisterende anlæg i klasse 3-5, som forventes at medføre en ændring i et anlægs klassificering, jf. tærskelværdierne i bilag 2.
-
3) Outsourcing af udviklings-, drifts- og vedligeholdelsesopgaver, der kan påvirke leveringen af virksomhedens tjenester.
Stk. 2 Risikovurderinger efter stk. 1, hvor der indgår et leverandørforhold, skal inkludere en vurdering af risici som følger af leverandørforholdet, jf. procedurerne i § 29.
Stk. 3 Risikovurderinger efter stk. 1 skal udarbejdes ved projektets opstart og foreligge skriftligt, inden projektet påbegyndes. Risikovurderingen skal opdateres, når projektets omfang, tidsplan og delleverancer ændres i en sådan grad, at det ændrer forudsætningerne for risikovurderingen.