2 kap. Verksamhetsutövares skyldigheter
Säkerhetsåtgärder
3 § Verksamhetsutövare ska vidta lämpliga och proportionella tekniska, driftsrelaterade och organisatoriska åtgärder för att skydda nätverks- och informationssystem som de använder för sin verksamhet eller för att tillhandahålla sina tjänster och systemens fysiska miljö mot incidenter (säkerhetsåtgärder). Säkerhetsåtgärderna ska utgå från ett allriskperspektiv och säkerställa en nivå på säkerheten i nätverks- och informationssystemen som är lämplig i förhållande till risken. Säkerhetsåtgärderna ska åtminstone avse 1. strategier för riskanalys och för nätverks- och informationssystemens säkerhet, 2. incidenthantering, 3. kontinuitetshantering och krishantering, 4. säkerhet i leveranskedjan, 5. säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem, 6. strategier och förfaranden för att bedöma effektiviteten i säkerhetsåtgärderna, 7. grundläggande praxis för cyberhygien och utbildning i cybersäkerhet, 8. strategier och förfaranden för användning av kryptografi samt, vid behov, kryptering, 9. personalsäkerhet, strategier för åtkomstkontroll och tillgångsförvaltning, och 10. vid behov användning av lösningar för autentisering, säkrade kommunikationer och säkrade nödkommunikationssystem.