1. Με μέριμνα του Υ.Α.Σ.Π.Ε., κάθε φορέας κεντρικής Κυβέρνησης καταρτίζει και τηρεί σχέδιο ανάλυσης κινδύνου το οποίο περιλαμβάνει κατ’ ελάχιστον:
α) κατάλογο με:
αα) τις υποδομές πληροφορικής και επικοινωνιών, όπως ιδίως σταθμούς εργασίας, διακομιστές, δικτυακές συσκευές, εκτυπωτές,
αβ) το λογισμικό, όπως ιδίως λειτουργικά συστήματα και εφαρμογές,
αγ) τα πληροφοριακά αγαθά του φορέα ανά κτιριακή υποδομή,
β) κατάλογο με τις διαφορετικές εκτιμώμενες απειλές που δύνανται να εκδηλωθούν στους πόρους της περ. α),
γ) κατάλογο με τις ευπάθειες συστημάτων πληροφορικής και επικοινωνιών του φορέα που είναι δυνατό να αποτελέσουν αντικείμενο εκμετάλλευσης από συγκεκριμένες πηγές απειλών,
δ) υπολογισμό του συνολικού κινδύνου, ως συνδυασμού της πιθανότητας πραγματοποίησης των απειλών που έχουν αναγνωριστεί και της εκτίμησης της επίπτωσής τους στις υποδομές, τα αγαθά, τις λειτουργίες και το προσωπικό του φορέα, καθώς και σε άλλους φορείς,
ε) προσδιορισμό του τρόπου αντιμετώπισης των κινδύνων, των τεχνικών και οργανωτικών μέτρων προστασίας και του υπολειπόμενου κινδύνου μετά την εφαρμογή τους.
2. Με μέριμνα του Υ.Α.Σ.Π.Ε., κάθε φορέας κεντρικής Κυβέρνησης καταρτίζει και τηρεί ενιαία πολιτική ασφάλειας συστημάτων πληροφορικής και επικοινωνιών, η οποία περιλαμβάνει, κατ’ ελάχιστον, τις εξής πληροφορίες:
α) τους στόχους ασφάλειας του φορέα και την προσέγγιση διαχείρισής τους,
β) τον τρόπο διαχείρισης των απαιτήσεων που δημιουργούνται από:
βα) την επιχειρησιακή στρατηγική του φορέα,
ββ) τις νομοθετικές, κανονιστικές και συμβατικές υποχρεώσεις του,
βγ) το διεθνές περιβάλλον κυβερνοαπειλών,
γ) την ανάθεση γενικών και ειδικών ρόλων και αντίστοιχων ευθυνών για τη διαχείριση της ασφάλειας πληροφοριακών συστημάτων,
δ) διαδικασίες για τον χειρισμό αποκλίσεων και εξαιρέσεων και
ε) την παραπομπή σε επιμέρους θεματικές ενότητες, όπως ενδεικτικά: την πολιτική ασφάλειας δικτύων, την πολιτική ορθής χρήσης, την πολιτική διαχείρισης ταυτότητας και ελέγχου πρόσβασης, την πολιτική αντιγράφων ασφαλείας, την πολιτική διαχείρισης περιστατικών και επιχειρησιακής συνέχειας και την πολιτική φυσικής ασφάλειας.
3. Από το πεδίο εφαρμογής του παρόντος εξαιρούνται οι υπηρεσίες της Ε.Υ.Π., τα Υπουργεία Εξωτερικών, Εθνικής Άμυνας και Προστασίας του Πολίτη, καθώς και οι εποπτευόμενοι φορείς τους.
