Virksomheder skal have procedurer for sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer. Procedurerne skal indeholde:
-
1) Krav til opretholdelse af et passende sikkerhedsniveau i net- og informationssystemer, som en virksomhed erhverver, udvikler og vedligeholder, herunder krav til sikkerheden i udviklings- og testmiljøer.
-
2) Metoder til at kontrollere, om de erhvervede eller udviklede net- og informationssystemer lever op til virksomhedens krav efter nr. 1.