§ 48: Styring af software- og hardwareaktiver

Virksomheder skal have ajourførte fortegnelser over følgende software- og hardwareaktiver:

1. Servere, databaser og netværksudstyr, som anvendes i forbindelse med leveringen af virksomhedens tjenester.
2. Endpoints og virtuelle maskiner, der kan tilgå virksomhedens net- og informationssystemer.
3. Software- og hardwareaktiver i virksomhedens forsyningskritiske net- og informationssystemer.

Stk. 2. Fortegnelserne skal være tilstrækkeligt detaljerede til at sikre hurtig identifikation af et aktiv, så eventuelle sårbarheder kan identificeres, vurderes og mitigeres, jf. § 47.

Stk. 3. Virksomhederne skal regelmæssigt og som minimum årligt kontrollere, at fortegnelser efter stk. 1 er ajourførte. Fejl og mangler skal rettes hurtigt og årsagerne hertil undersøges.

Stk. 4. Virksomhederne skal mitigere risici for software- og hardwareaktiver, jf. stk. 1, nr. 1-3, der anvendes i leveringen af virksomhedens tjenester, som ikke længere kan supporteres med system- og sikkerhedsopdateringer, jf. § 46, stk. 1.