Virksomheder skal være i stand til at identificere, reagere på og mitigere sårbarheder, som kan påvirke sikkerheden i virksomhedens net- og informationssystemer.
Stk. 2 Virksomheder skal være i stand til at modtage varsler om sårbarheder på elektronisk vis.
Stk. 3 Virksomheder skal ved modtagelse af et varsel om en sårbarhed foretage en risikovurdering af virksomhedens eksponering og mitigere sårbarheder, som kan påvirke sikkerheden i virksomhedens net- og informationssystemer.
Stk. 4 Virksomheder i niveau 4 og 5 skal være i stand til at reagere på varsler efter stk. 2 og 3 uden unødigt ophold.
Stk. 5 Virksomheder skal tage stilling til, om sårbarheder, som virksomheden identificerer i virksomhedens net- og informationssystemer, bør offentliggøres, herunder i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, jf. § 45.
Stk. 6 Virksomheder skal sikre, at oplysninger om sårbarheder, som kan have sikkerhedsmæssig betydning for energisektoren, videreformidles til Energistyrelsen. Virksomheder i el-, gas- og brintsektoren skal ligeledes videreformidle oplysning om sårbarheder, til Energinet.