Organisaation olisi laadittava ja ylläpidettävä resilienssisuunnitelma kriittisten toimintojensa jatkuvuuden varmistamiseksi. Suunnitelman perustana olisi oltava kaikenlaisten vaarojen riskinarviointi, joka kattaa luonnonkatastrofien, onnettomuuksien aiheuttamat uhat ja pahantahtoiset uhat. Suunnitelmaa olisi tarkistettava tietyin väliajoin ja kaikkien merkittävien tapahtumien tai toimintaympäristön olennaisten muutosten jälkeen.

Suunnitelmassa olisi kuvattava toimenpiteet, jotka on toteutettu sellaisten häiriötilanteiden ehkäisemiseksi, niiltä suojautumiseksi, niihin reagoimiseksi, niiden sietämiseksi ja niistä toipumiseksi, jotka voivat häiritä sen palveluja. Suunnitelman olisi sisällettävä ainakin seuraavat seikat

• Ennaltaehkäisy, mukaan lukien katastrofiriskin vähentäminen ja ilmastoon sopeutuminen, jotta voidaan vähentää vaaratilanteiden todennäköisyyttä.
• toimitilojen ja kriittisen infrastruktuurinfyysinen suojaus, mukaan luettuina rajavalvonta, valvonta, havaitsemislaitteet ja pääsynhallinta.
• Reagointi ja lieventäminen, mukaan lukien kriisinhallintamenettelyt, hälytysrutiinit sekä sisäiset ja ulkoiset viestintäprotokollat.
• Toipuminen ja liiketoiminnan jatkuvuus, mukaan lukien järjestelyt keskeisten palvelujen tarjoamisen jatkamiseksi, varajärjestelmät ja vaihtoehtoisten toimitusketjujen ja toimittajien määrittäminen.
• Henkilöstön turvallisuus, mukaan lukien taustatarkastukset tarvittaessa arkaluonteisten tehtävien osalta ja käyttöoikeuksien hallinta koko työsuhteen elinkaaren ajan.
• Henkilöstön tietoisuus ja koulutus, jotta asiaankuuluva henkilöstö ymmärtää suunnitelman mukaiset tehtävänsä ja voi toimia suunnitelman mukaisesti tehokkaasti.
• Toteutusaikataulu, johon sisältyy määritelty aikataulu, jossa on selkeät välitavoitteet ja määräajat kunkin teknisen, turvallisuuteen liittyvän ja organisatorisen toimenpiteen toteuttamiseksi käytännössä. Näin varmistetaan jäsennelty ja vastuullinen lähestymistapa häiriönsietokyvyn parantamiseen ajan mittaan.

Suunnitelmassa voidaan käsitellä myös seuraavia asioita

• Häiriötilanteisiin vastaaminen ja niiden lieventäminen
• laitosten ja arkaluonteisten operatiivisten tietojen luokittelu
• toiminnan valvontajärjestelmien resilienssi

Näin varmistetaan tarvittaessa suojaus-, tieto- ja viestintätekniikka- ja tietotekniikkatoimenpiteiden sekä henkilöstö- ja jatkuvuustoimenpiteiden oikeasuhteisuus.

Organisaation tulisi nimetä henkilöstöä, joka vastaa resilienssisuunnitelman suunnittelusta, ylläpidosta ja toteuttamisesta. Näiden henkilöiden tulisi myös huolehtia siitä, että toimivaltaiselle viranomaiselle ilmoitetaan viipymättä, kun tapahtuu häiriöitä, jotka merkittävästi häiritsevät (tai saattavat häiritä) elintärkeitä palveluja.