Sikkerhedsskanningen består af en sikkerhedstest af alle it-systemer, der vender ud mod Internettet, herunder firewalls, mail-servere, web-servere, dns-servere og load balancers. Herudover skal der udføres en skanning af web-applikationer og trådløse netværk. 
 
Det er et krav, at alle enheder bliver testet - også i de tilfælde hvor de er adskilt ved hjælp af DMZ. Der er også krav om, at alle websites på web-servere skal testes. 
 
Ingen systemer må have sårbarheder, der vurderes at have risikoen "high".

I så fald skal sårbarheden udbedres, og der skal udføres en ny test, der verificerer, at sårbarheden er fjernet.