Den ramme for it- og cyberrisikostyring, som en operatør af finansiel digital infrastruktur skal have, jf. § 333 a, skal omfatte en overordnet strategi for digital operationel modstandsdygtighed, der fastsætter, hvordan rammen skal gennemføres.
Stk. 2 Operatøren skal med passende mellemrum identificere og vurdere alle væsentlige it- og cyberrisici, som operatøren og dennes ydelser er eksponeret for.
Stk. 3 Rammen for it- og cyberrisikostyring skal som minimum omfatte strategier, politikker, procedurer og foranstaltninger, som er nødvendige for at beskytte al fysisk og digital infrastruktur og data i overensstemmelse med de identificerede risici, herunder software, hardware, servere, netværk og relaterede fysiske komponenter og infrastrukturer såsom lokaler, datacentre og sensitive udpegede områder mod risici.