14 dages gratis

Prøveabonnement

- og meget mere...

Bekendtgørelse om informationssikkerhed og beredskab i net og tjenester Kapitel 4

Dette kapitel er fra den opdaterede og konsoliderede version af denne bekendtgørelsen og bygger på bekendtgørelse nr. 567 af 01. June 2016. Eventuelle senere ændringsbekendtgørelser er implementeret i det omfang, de er trådt i kraft.

Bekendtgørelse om informationssikkerhed og beredskab i net og tjenester

Kapitel 4

Påbud om konkrete informationssikkerhedsforanstaltninger

§25 Erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester
Center for Cybersikkerhed kan, såfremt det er af væsentlig samfundsmæssig betydning, efter en konkret vurdering påbyde erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester at foretage en eller flere af følgende foranstaltninger:

  • 1) Etablering eller styrkelse af logisk adgangskontrol til kritiske netkomponenter, systemer og værktøjer, herunder krav til proces for adgangsstyring og kontrol med leverandørers adgang.

  • 2) Etablering eller styrkelse af foranstaltninger til fysisk sikring af kritiske netkomponenter, systemer og værktøjer, herunder fysisk adgangskontrol.

  • 3) Sikring af sporbarhed eller logning af fysisk eller logisk adgang til kritiske netkomponenter, systemer og værktøjer, herunder krav om analyse af logfiler.

  • 4) Sikring af redundans for kritiske netkomponenter, systemer og værktøjer samt backup af konfigurationsdata.

  • 5) At udstyr, der benyttes til at foretage indgreb i meddelelseshemmeligheden, skal opsættes i og drives fra Danmark.

  • 6) At udstyr, der benyttes til at foretage indgreb i meddelelseshemmeligheden, ikke må leveres af en leverandør, som er identisk med udbyderens primære leverandører af kritiske netkomponenter, systemer og værktøjer.

  • 7) Sikring af, at indlejret funktionalitet, der vil kunne benyttes til at foretage indgreb i meddelelseshemmeligheden, fjernes fra en leverance af netkomponenter, systemer og værktøjer.

§26 Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester
Center for Cybersikkerhed kan, såfremt det er af væsentlig samfundsmæssig betydning, efter en konkret vurdering påbyde væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester at foretage en eller flere af følgende foranstaltninger:

  • 1) Gennemførelse af uafhængig sikkerhedsevaluering i forbindelse med leverancer af kritiske netkomponenter, systemer og værktøjer fra en specifik leverandør, såfremt den pågældende leverandør eller den pågældende leverance ud fra en generel sikkerhedsmæssig betragtning eller det aktuelle trusselsbillede vurderes at udgøre en særlig sikkerhedsrisiko. Center for Cybersikkerhed kan i den forbindelse stille krav om, at sikkerhedsevalueringen gennemføres af et anerkendt evalueringsorgan, efter en anerkendt international standard og indenfor nærmere fastsatte rammer.

  • 2) Sikring af, at der ikke kan etableres direkte elektroniske supportforbindelser mellem en leverandør og en udbyder, såfremt den pågældende leverandør ud fra en generel sikkerhedsmæssig betragtning eller det aktuelle trusselsbillede vurderes at udgøre en særlig sikkerhedsrisiko.

  • 3) Sikring af, at personale, der har adgang til kritiske netkomponenter, systemer og værktøjer, er sikkerhedsgodkendt af den relevante danske sikkerhedsmyndighed.

  • 4) Indstationering af personale, der er sikkerhedsgodkendt af den relevante danske sikkerhedsmyndighed, hos udenlandske leverandører, som en udbyder har outsourcet hele eller dele af udbyderens net og tjenester eller varetagelsen af driften heraf til. Der kan stilles krav om, at det indstationerede personale, såfremt dette er i overensstemmelse med national lovgivning, skal have adgang til alle relevante systemer og informationer hos leverandøren med henblik på at udføre sikkerhedskontrol for udbyderen.

  • 5) Sikring af, at der på udbyderens foranstaltning i tilfælde af misligholdelse af en kontrakt om outsourcing kan ske hjemtagning af opgaver, der er outsourcede til en udenlandsk leverandør. Der kan herunder stilles krav om, at udbyderen skal fastlægge procedurer for hjemtagning af outsourcede områder.

  • 6) Sikring af, at kritiske styringsprocesser skal godkendes af udbyderen, hvis der er sket outsourcing af drift af net og tjenester.

  • 7) Fastholdelse hos udbyderen af de nødvendige kompetencer til at gennemføre risikovurdering efter § 2, hvis der er sket outsourcing af drift af net og tjenester. Der kan herunder stilles krav om, at udbyderen skal fastholde de nødvendige kompetencer til at foretage validering af, at den leverede driftsydelse svarer til det aftalte.

  • 8) Sikring af, at konfiguration af nærmere bestemte kritiske netkomponenter, systemer og værktøjer på baggrund af nærmere angivne konkrete trusler og sårbarheder sker i henhold til nærmere fastsatte internationale standarder eller anbefalinger.

profile photo
Profilside