Virksomheder skal have ajourførte fortegnelser over følgende software- og hardwareaktiver:
-
1) Servere, databaser og netværksudstyr, som anvendes i forbindelse med leveringen af virksomhedens tjenester.
-
2) Endpoints og virtuelle maskiner, der kan tilgå virksomhedens net- og informationssystemer.
-
3) Software- og hardwareaktiver i virksomhedens forsyningskritiske net- og informationssystemer.
Stk. 2 Fortegnelserne skal være tilstrækkeligt detaljerede til at sikre hurtig identifikation af et aktiv, så eventuelle sårbarheder kan identificeres, vurderes og mitigeres, jf. § 47.
Stk. 3 Virksomhederne skal regelmæssigt og som minimum årligt kontrollere, at fortegnelser efter stk. 1 er ajourførte. Fejl og mangler skal rettes hurtigt og årsagerne hertil undersøges.
Stk. 4 Virksomhederne skal mitigere risici for software- og hardwareaktiver, jf. stk. 1, nr. 1-3, der anvendes i leveringen af virksomhedens tjenester, som ikke længere kan supporteres med system- og sikkerhedsopdateringer, jf. § 46, stk. 1.