Les entreprises assujetties organisent la gestion de leur risque informatique de façon à :

-identifier le risque informatique auquel elles sont exposées pour l'ensemble de leurs actifs informatiques et de leurs données utilisés pour leurs différentes activités opérationnelles, de support ou de contrôle ;

-évaluer ce risque, au regard de leur appétit pour le risque, en tenant compte des menaces et des vulnérabilités connues ;

-adopter des mesures adéquates de réduction du risque informatique, y compris des contrôles ;

-surveiller l'efficacité de ces mesures et informer les dirigeants effectifs et l'organe de surveillance de leur bonne exécution.

Les entreprises assujetties s'assurent à cette fin que le contrôle interne de leur risque informatique est organisé conformément aux dispositions des articles 12 et 14 du présent arrêté.