Virksomheter omfattet av sikkerhetsloven skal sørge for et forsvarlig sikkerhetsnivå for skjermingsverdig verdier. Blant annet skal virksomhetene vurdere risiko og etablere et styringssystem for sikkerhet. Som en del av denne risikovurderingen skal virksomheter identifisere og rapportere inn sine avhengigheter til sektordepartement og sikkerhetsmyndigheten, jf. virksomhetsikkerhetsforskriften § 13. Det vises til NSMs Håndbok i kartlegging og vurdering av avhengigheter.

Dersom en anskaffelse kan gi leverandør eller dennes personell en mulighet til å påvirke skjermingsverdig informasjonssystem, objekt eller infrastruktur, skal oppdragsgiver vurdere risiko for at verdier kan bli rammet av eller brukt til sikkerhetstruende virksomhet jf. virksomhetsikkerhetsforskriften § 18.