Kapitel 2 Risikostyring mv.
Udbydere af NUIK-tjenester og offentligt tilgængelige elektroniske kommunikationsnet og -tjenester skal gennemføre en risikovurdering, der skal tage stilling til risikoen for tab af tilgængelighed, autenticitet, integritet og fortrolighed i de net og tjenester, der udbydes.
Stk. 2 Såfremt udbydernes net og tjenester helt eller delvist drives af en tredjepart, skal eventuelle risici forbundet hermed medtages i risikovurderingen efter stk. 1.
Stk. 3 På baggrund af risikovurderingen efter stk. 1 og 2 skal udbyderne implementere passende foranstaltninger til sikring af tilgængelighed, autenticitet, integritet og fortrolighed i net og tjenester samt sikre, at tredjepart opretholder en tilsvarende sikkerhed i forhold til driftsleverancer til udbyderne efter stk. 2.
Erhvervsmæssige udbydere af NUIK-tjenester og offentligt tilgængelige elektroniske kommunikationsnet og -tjenester skal udarbejde og gennemføre en ledelsesgodkendt informationssikkerhedspolitik efter en anerkendt international standard, eksempelvis DS/ISO/IEC 27001 eller tilsvarende. Informationssikkerhedspolitikken skal herunder beskrive de processuelle og organisatoriske rammer for arbejdet med sikkerheden i net og tjenester.
Stk. 2 Udbyderne skal sikre, at informationssikkerhedspolitikken er kommunikeret til alle relevante medarbejdere.
Stk. 3 Udbyderne skal løbende tilpasse informationssikkerhedspolitikken, herunder ved væsentlige ændringer af udbydernes virksomhed og i trusselsbilledet. Der skal dog mindst én gang om året foretages en vurdering af behovet for revision af informationssikkerhedspolitikken. Informationssikkerhedspolitikken skal på den baggrund revideres i fornødent omfang.
Erhvervsmæssige udbydere af NUIK-tjenester og offentligt tilgængelige elektroniske kommunikationsnet og -tjenester skal på baggrund af informationssikkerhedspolitikken efter § 3 sikre, at der er etableret en informationssikkerhedsorganisation. Varetagelsen af relevante sikkerhedsopgaver, herunder roller og ansvar, skal i den forbindelse være beskrevet samt i fornødent omfang være kommunikeret til udbydernes medarbejdere.
Stk. 2 Udbyderne skal sikre, at Center for Cybersikkerhed til enhver tid er orienteret om kontaktoplysninger til lederen af informationssikkerhedsorganisationen.
Erhvervsmæssige udbydere af NUIK-tjenester og offentligt tilgængelige elektroniske kommunikationsnet og -tjenester skal foretage risikostyring efter en anerkendt international standard, eksempelvis DS/ISO/IEC 27001 eller tilsvarende.
Stk. 2 Som led i risikostyringen skal udbyderne fastsætte en samlet risikostyringsproces, der omfatter risikovurdering og -håndtering af informationssikkerhedsrisici. Der skal i den forbindelse tages stilling til kriterier for udbydernes risikovillighed.
Stk. 3 Risikostyringsprocessen skal i fornødent omfang dokumenteres samt tilpasses, herunder ved væsentlige ændringer af udbydernes virksomhed.
Væsentlige erhvervsmæssige udbydere af NUIK-tjenester og offentligt tilgængelige elektroniske kommunikationsnet og -tjenester skal styre sikkerheden i net og tjenester gennem et ledelsessystem, der skal etableres efter en anerkendt international standard, eksempelvis DS/ISO/IEC 27001 eller tilsvarende.
For væsentlige erhvervsmæssige udbydere af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester skal informationssikkerhedspolitikken efter § 3 desuden beskrive udbydernes politik for håndtering af beredskabssituationer og andre ekstraordinære situationer med henblik på at sikre, at net og tjenester i videst muligt omfang kan opretholdes i sådanne situationer.
Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester skal som en del af fastlæggelsen af risikovillighed i risikostyringsprocessen efter § 5 desuden tage højde for, at udbyderne i videst muligt omfang skal opretholde udbuddet af net og tjenester i beredskabssituationer og i andre ekstraordinære situationer med henblik på at sikre samfundets teleforsyning.