1. Με μέριμνα του Υ.Α.Σ.Π.Ε., κάθε φορέας κεντρικής Κυβέρνησης καταρτίζει και τηρεί σχέδιο ανάλυσης κινδύνου το οποίο περιλαμβάνει κατ’ ελάχιστον:
α) κατάλογο με:
αα) τις υποδομές πληροφορικής και επικοινωνιών, όπως ιδίως σταθμούς εργασίας, διακομιστές, δικτυακές συσκευές, εκτυπωτές,
αβ) το λογισμικό, όπως ιδίως λειτουργικά συστήματα και εφαρμογές,
αγ) τα πληροφοριακά αγαθά (information assets) του φορέα ανά κτιριακή υποδομή,
β) κατάλογο με τις διαφορετικές εκτιμώμενες απειλές που δύνανται να εκδηλωθούν στους πόρους της περ. α΄,
γ) κατάλογο με τις ευπάθειες συστημάτων πληροφορικής και επικοινωνιών του φορέα που είναι δυνατό να αποτελέσουν αντικείμενο εκμετάλλευσης από συγκεκριμένες πηγές απειλών,
δ) υπολογισμό του συνολικού κινδύνου, ως συνδυασμού της πιθανότητας πραγματοποίησης των απειλών που έχουν αναγνωριστεί και της εκτίμησης της επίπτωσής τους στις υποδομές, τα αγαθά, τις λειτουργίες και το προσωπικό του φορέα, καθώς και σε άλλους φορείς,
ε) προσδιορισμό του τρόπου αντιμετώπισης των κινδύνων, των τεχνικών και οργανωτικών μέτρων προστασίας και του υπολειπόμενου κινδύνου μετά την εφαρμογή τους.
2. Με μέριμνα του Υ.Α.Σ.Π.Ε., κάθε φορέας κεντρικής Κυβέρνησης καταρτίζει και τηρεί ενιαία πολιτική ασφάλειας συστημάτων πληροφορικής και επικοινωνιών η οποία περιλαμβάνει, κατ’ ελάχιστον, τις εξής πληροφορίες:
α) τους στόχους ασφάλειας του φορέα και την προσέγγιση διαχείρισής τους,
β) τον τρόπο διαχείρισης των απαιτήσεων που δημιουργούνται από:
βα) την επιχειρησιακή στρατηγική του φορέα,
ββ) τις νομοθετικές, κανονιστικές και συμβατικές υποχρεώσεις του,
βγ) το διεθνές περιβάλλον κυβερνοαπειλών,
γ) την ανάθεση γενικών και ειδικών ρόλων και αντίστοιχων ευθυνών για τη διαχείριση της ασφάλειας πληροφοριακών συστημάτων,
δ) διαδικασίες για τον χειρισμό αποκλίσεων και εξαιρέσεων και
ε) την παραπομπή σε επιμέρους θεματικές ενότητες, όπως ενδεικτικά: την πολιτική ασφάλειας δικτύων (network security policy), την πολιτική ορθής χρήσης (acceptable use policy), την πολιτική διαχείρισης ταυτότητας και ελέγχου πρόσβασης (identity management and access control policy), την πολιτική αντιγράφων ασφαλείας (backup policy), την πολιτική διαχείρισης περιστατικών και επιχειρησιακής συνέχειας (incident response and business continuity policy) και την πολιτική φυσικής ασφάλειας (physical security policy).
3. Από το πεδίο εφαρμογής του παρόντος εξαιρούνται οι υπηρεσίες της Ε.Υ.Π..