De foranstaltninger, som væsentlige og vigtige teleudbydere træffer på baggrund § 5, stk. 1 og 2, og regler fastsat i medfør af § 5, stk. 3, skal være godkendt af teleudbyderens ledelsesorgan. Ledelsesorganet fører tilsyn med foranstaltningernes gennemførelse.
Stk. 2 Medlemmerne af ledelsesorganet i væsentlige og vigtige teleudbydere skal deltage i relevante kurser om styring af informationssikkerhedsrisici og tilskynde til, at tilsvarende kurser tilbydes til udbyderens øvrige ansatte.