(1) Operaterji mobilnih komunikacijskih omrežij, ki zagotavljajo ta omrežja upravljavcem kritične infrastrukture z drugih področij urejanja kritične infrastrukture, določenim v skladu z zakonom, ki ureja področje kritične infrastrukture (v nadaljnjem besedilu: upravljavci kritične infrastrukture), izvajalcem bistvenih storitev, določenih v skladu z zakonom, ki ureja informacijsko varnost (v nadaljnjem besedilu: izvajalci bistvenih storitev), organom državne uprave, določenim v skladu z zakonom, ki ureja informacijsko varnost (v nadaljnjem besedilu: organi državne uprave) oziroma nosilcem ključnih delov sistema varnosti države, morajo poleg zahtev iz prejšnjega člena upoštevati dodatne varnostne zahteve in omejitve.

(2) Operaterji iz prejšnjega odstavka poleg ugotavljanja tveganj iz prejšnjega člena upoštevajo tudi tveganja, ki izhajajo iz odnosov in dogovorov s proizvajalci oziroma dobavitelji (v nadaljnjem besedilu: dobavitelj) informacijskih sistemov in omrežne opreme (v nadaljnjem besedilu: oprema), ter tveganja, ki izhajajo iz storitev podpore tretje ravni, ki jih tem operaterjem zagotavljajo ponudniki storitev podpore tretje ravni. Če je določena oprema prestala presojo evropskih certifikacijskih organov, ki izvajajo presojo z vidika varnosti ali kakovosti izdelkov, se šteje, da je ta oprema tehnično ustrezna brez dodatne presoje s strani operaterja.

(3) Operater iz prvega odstavka tega člena izvaja oceno tveganja za posameznega svojega dobavitelja oziroma ponudnika storitev podpore tretje ravni. V to oceno tveganja vključi vsa relevantna tveganja iz prejšnjega odstavka, vključno glede uporabe njegove opreme in storitev v kritičnih elementih in funkcijah omrežij in pripadajočih informacijskih sistemih.

(4) Obveznost opredelitev iz tretjega odstavka prejšnjega člena za operaterje iz prvega odstavka tega člena zajema tudi tveganja, ki lahko ogrozijo delovanje elektronskega komunikacijskega omrežja, ki ni javno, oziroma lahko motijo delovanje elektronskih komunikacijskih storitev, ki niso javna, če prej navedeni operater s takšnimi omrežji upravlja za potrebe upravljavcev kritične infrastrukture z drugih področij urejanja kritične infrastrukture, izvajalcev bistvenih storitev in organov državne uprave oziroma za nosilce ključnih delov sistema varnosti države.

(5) Ne glede na tretji in četrti odstavek tega člena operater iz prvega odstavka tega člena pri zagotavljanju predmetnih omrežij iz prvega odstavka tega člena oziroma iz prejšnjega odstavka v kritičnih elementih in funkcijah tega omrežja in pripadajočih informacijskih sistemih ne sme uporabljati opreme in storitev podpore tretje ravni, katere uporaba bi lahko ogrozila nacionalno varnost, kot to izhaja iz 117. člena tega zakona.

(6) Agencija za izvajanje tega člena izda splošni akt, s katerim opredeli predvsem kritične elemente omrežja in pripadajočih informacijskih sistemov iz prejšnjega odstavka, ter druge zlasti tehnične usmeritve, ki jih morajo upoštevati operaterji iz prvega odstavka tega člena. Pri pripravi splošnega akta agencija sodeluje z organom, pristojnim za informacijsko varnost.