Virksomheder skal foretage adgangskontrol af adgange, identiteter og rettigheder til virksomhedens net- og informationssystemer. Adgangskontrollen skal understøtte følgende:
-
1) At adgange og rettigheder er personhenførbare og kun tildeles ved et arbejdsbetinget behov.
-
2) At inaktive identiteter, bruger- og servicekonti deaktiveres og fjernes.
-
3) At tildeling, ændring og fjernelse af adgange, identiteter, rettigheder og konti systematisk logges.
Stk. 2 Virksomheder skal som minimum gennemføre en kvartalvis sanering af adgange, identiteter og rettigheder til forsyningskritiske net- og informationssystemer.