Bestemmelsen setter krav om at virksomhetene må identifisere alle typer informasjon som kan la seg utnytte til tilsiktede uønskede handlinger. Dette vil omfatte informasjon som er kritisk i forbindelse med sikring mot tilsiktede uønskede handlinger. Det siktes til informasjon som beskriver sårbarheter som lar seg utnytte til tilsiktede uønskede hendelser.

Dette innebærer sikring av all informasjon som kan la seg utnytte til tilsiktede uønskede handlinger, at den ikke blir kjent for uvedkommende (konfidensialitet), ikke blir endret utilsiktet, av uvedkommende, eller går tapt (integritet). Samtidig er det viktig at informasjonen er tilgjengelig for de som trenger informasjonen for å utføre sitt arbeid (tilgjengelighet). Dette vil f.eks. omfatte systemer og rutiner for tilgangskontroll, merking, oppbevaring og bruk.

Informasjon som håndteres av leverandører må sikres på samme måte. Det vises også til kommentarene til § 3-1 femte ledd og § 3-5.