Når utfallet av oppdragsgiverens risikovurdering er at oppdragsgiveren konkluderer med at det totalt sett foreligger en risiko, og denne er mer enn ubetydelig, bør virksomheten identifisere og iverksette risikoreduserende tiltak. Dersom oppdragsgiveren gjennom risikoreduserende tiltak får redusert risiko til et ubetydelig nivå, kan oppdragsgiveren gjennomføre anskaffelsen uten å involvere det relevante sektordepartementet.

Risikoreduserende tiltak kan iverksettes hos oppdragsgiveren uavhengig av anskaffelsesprosedyren eller gjennomføres av partene i fellesskap som en del av anskaffelsen. Tiltakene kan være administrative, fysiske, menneskelige eller tekniske barrierer, eller de kan være av en annen art. Eksempler er oppsyn med leverandørens personell for å sikre at de ikke gjennom oppdraget kan utføre skade, tiltrodd tredjeparts kontroll av anskaffede komponenter, bruk av flere leverandører fra forskjellige land for å sikre at ikke en enkelt trusselaktør alene kan påføre skade samt tiltak for skadebegrensning og gjenoppretning.

Oppdragsgiveren har ingen plikt til å iverksette risikoreduserende tiltak, men plikten til å varsle sektordepartementet består så lenge risikoen er «ikke ubetydelig». Oppdragsgiveren har med andre ord valget mellom å redusere risikoen til «ubetydelig» eller å varsle departementet. Det er likevel forutsatt i lovbestemmelsens forarbeider at oppdragsgiveren bør forsøke risikoreduserende tiltak først og at varsel til departementet skal være et sekundært virkemiddel, forbeholdt spesielle situasjoner.

Dersom oppdragsgiveren har iverksatt risikoreduserende tiltak og konkludert med at anskaffelsen kan gjennomføres uten å varsle det ansvarlige sektordepartementet eller Nasjonal sikkerhetsmyndighet, anbefaler NSM likevel at oppdragsgiveren informerer den relevante tilsynsmyndigheten om anskaffelsens eksistens og om hvilke vurderinger som er gjort.