14 dages gratis

Prøveabonnement

- og meget mere...

Bekendtgørelse om informationssikkerhed og beredskab i net og tjenester Kapitel 3

Dette kapitel er fra den opdaterede og konsoliderede version af denne bekendtgørelsen og bygger på bekendtgørelse nr. 567 af 01. June 2016. Eventuelle senere ændringsbekendtgørelser er implementeret i det omfang, de er trådt i kraft.

Bekendtgørelse om informationssikkerhed og beredskab i net og tjenester

Kapitel 3

Generelle informationssikkerhedsforanstaltninger

§10 Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester skal sikre, at medarbejdere og samarbejdspartnere i fornødent omfang er bekendte med det aktuelle trusselsbillede for udbyderen, herunder at de har et generelt kendskab til trusler, der kan påvirke udbuddet af net og tjenester.

§11 Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester skal til brug for risikostyringen efter §§ 5 og 9 have etableret og vedligeholde et register over udbyderens kritiske netkomponenter, systemer og værktøjer.

§12 Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester skal på baggrund af risikostyringen efter §§ 5 og 9 udarbejde og implementere en sikringsplan for beskyttelse af udbydernes kritiske netkomponenter, systemer og værktøjer. Sikringsplanen skal som minimum tage stilling til logisk og fysisk adgangskontrol, fysisk perimetersikring, brandsikring, klimasikring samt varslingssystemer til detektion af uautoriseret adgang.

§13 Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester skal i fornødent omfang etablere procedurer for og implementere logning med henblik på at sikre sporbarhed ved eventuelle informationssikkerhedsbrud og -hændelser.

Stk. 2 Udbyderne skal sikre, at al aktivitet i forbindelse med logisk adgang til kritiske netkomponenter, systemer og værktøjer udført af medarbejdere med administratorrettigheder logges.

Stk. 3 Logfilerne skal sikres mod manipulation, og alene et begrænset antal særligt betroede medarbejdere må kunne ændre på, hvilke informationer, der logges.

Stk. 4 Udbyderne skal regelmæssigt gennemgå logfilerne med henblik på identifikation af mulige informationssikkerhedsbrud og -hændelser.

Stk. 5 Center for Cybersikkerhed kan dispensere fra kravene i stk. 2-4. Dispensationen kan betinges af, at udbyderen implementerer nærmere fastsatte kompenserende sikkerhedsforanstaltninger.

§14 Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester skal i fornødent omfang implementere processer for installation, flytning og fjernelse af eller ændringer i øvrigt i systemer og udstyr.

Stk. 2 Ved ændringer i kritiske netkomponenter, systemer og værktøjer skal udbyderne gennemføre en risikovurdering med henblik på at definere, hvilke tests der skal udføres forud for ændringen. De herefter identificerede tests skal være gennemført og evalueret forud for ændringen.

Stk. 3 Ved ændringer efter stk. 2 skal der være etableret procedurer for genskabelse til en tidligere version, hvis en ændring fejler.

§15 Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester skal etablere procedurer for håndtering af informationssikkerhedsbrud og -hændelser. Som led heri skal udbyderne sikre, at roller og ansvarsområder for håndtering af brud og hændelser er fastlagt. Procedurerne skal herudover beskrive håndtering og kategorisering af brud og hændelser, sikring af nødvendige informationer til brug for efterfølgende hændelsesanalyser samt intern og ekstern rapportering.

§16 Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester skal til enhver tid holde sig orienteret om nye sårbarheder, der vil kunne have konsekvenser for udbydernes net og tjenester.

Stk. 2 Med henblik på at sikre, at de etablerede informationssikkerhedsforanstaltninger i net og tjenester fortsat er effektive, skal udbyderne gennemføre relevante tekniske tests for potentielle sårbarheder, eksempelvis i form af sårbarhedsscanninger.

§17 Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester skal sikre, at der er relevante procedurer for backup og genskabelse af data, og at disse procedurer regelmæssigt afprøves. Backupsystemets opbygning samt procedurer for backupdatas opbevaring, transport og destruktion skal dokumenteres. Dokumentationen skal opdateres ved væsentlige ændringer i backupsystemet.

§18 Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester skal sikre en hensigtsmæssig adskillelse mellem udbydernes net, herunder produktions-, administrations-, styrings- og testnet.

Stk. 2 Ved opdeling af udbydernes net i flere logiske net skal dette ske i overensstemmelse med internationalt anerkendte retningslinjer. På baggrund af udbydernes risikovurderinger skal der etableres adgangskontrol for hvert logiske net.

§19 Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester skal, baseret på risikostyringsprocessen efter §§ 5 og 9, sikre, at der i forhold til kritiske netkomponenter, systemer og værktøjer er etableret den nødvendige nødstrømsforsyning, redundans, understøttende forsyning eller anden sikring med tilsvarende virkning.

§20 Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester skal sikre, at der så tidligt som muligt sker inddragelse af informationssikkerhedsaspekter ved anskaffelse, udvikling, ændring og vedligeholdelse af netkomponenter, systemer og værktøjer, der anvendes i net og tjenester.

§21 Såfremt der etableres et samarbejde mellem erhvervsmæssige udbydere, hvoraf mindst en af parterne er en væsentlig erhvervsmæssig udbyder af offentligt tilgængelige net og tjenester, finder de krav, som væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester skal efterleve efter denne bekendtgørelse, anvendelse på de dele af net og tjenester, der er omfattet af aftalen.

Stk. 2 Den aftalepart, der driver det net eller den tjeneste, som samarbejdet vedrører, er ansvarlig for, at kravene efter denne bekendtgørelse efterleves.

Stk. 3 Aftaleparternes aftalegrundlag skal tage højde for informationssikkerhedsaspekter i forhold til udbuddet af net og tjenester ved samarbejdet. Aftalegrundlaget skal i fornødent omfang opdateres, hvis der sker ændringer af informationssikkerhedsmæssig betydning.

§22 Såfremt der etableres et samarbejde mellem en væsentlig erhvervsmæssig udbyder af offentligt tilgængelige net og tjenester og en leverandør, er den væsentlige erhvervsmæssige udbyder af offentligt tilgængelige net og tjenester fortsat ansvarlig for, at kravene efter denne bekendtgørelse efterleves.

Stk. 2 Aftaleparternes aftalegrundlag skal tage højde for informationssikkerhedsaspekter i forhold til udbuddet af net og tjenester ved samarbejdet. Aftalegrundlaget skal i fornødent omfang opdateres, hvis der sker ændringer af informationssikkerhedsmæssig betydning.

Stk. 3 Udbyderen skal på baggrund af risikovurderingen efter § 2 i fornødent omfang foretage verifikation af, at der er overensstemmelse mellem aftalepartens leverancer, herunder konfigurationen af leverancerne, og det mellem parterne aftalte.

Stk. 4 Verifikationen efter stk. 3 kan ske som en stikprøvekontrol, såfremt det står i forhold til udbyderens risikovurdering efter § 2.

§23 Ved etablering at et samarbejde efter §§ 21 og 22 skal de deltagende udbydere sikre, at der sker intern auditering af efterlevelsen af de informationssikkerhedskrav, der fremgår af aftalegrundlaget.

§24 Bestemmelsen i § 22, stk. 1, finder tilsvarende anvendelse på erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester.

profile photo
Profilside