Alle virksomheter i helsesektoren skal etablere styringssystem for informasjonssikkerhet. Omfang av styringssystemet skal være tilpasset virksomhetens størrelse og omfanget av behandling av helse- og personopplysninger.