Kapitel 3 Generelle informationssikkerhedsforanstaltninger i net og tjenester
Væsentlige erhvervsmæssige udbydere af NUIK-tjenester og offentligt tilgængelige elektroniske kommunikationsnet og -tjenester skal sikre, at medarbejdere og samarbejdspartnere i fornødent omfang er bekendte med det aktuelle trusselsbillede for udbyderen, herunder at de har et generelt kendskab til trusler, der kan påvirke udbuddet af net og tjenester.
Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester skal til brug for risikostyringen efter §§ 5 og 9 have etableret og vedligeholde et register over udbyderens kritiske netkomponenter, systemer og værktøjer.
Stk. 2 Væsentlige erhvervsmæssige udbydere af NUIK-tjenester skal til brug for risikostyringen efter § 5 have etableret og vedligeholde et register over udbyderens kritiske netkomponenter, systemer og værktøjer.
Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester skal på baggrund af risikostyringen efter §§ 5 og 9 udarbejde og implementere en sikringsplan for beskyttelse af udbydernes kritiske netkomponenter, systemer og værktøjer.
Stk. 2 Væsentlige erhvervsmæssige udbydere af NUIK-tjenester skal på baggrund af risikostyringen efter § 5 udarbejde og implementere en sikringsplan for beskyttelse af udbydernes kritiske netkomponenter, systemer og værktøjer.
Væsentlige erhvervsmæssige udbydere af NUIK-tjenester og offentligt tilgængelige elektroniske kommunikationsnet og -tjenester skal i fornødent omfang etablere procedurer for og implementere logning og monitorering med henblik på at sikre sporbarhed ved eventuelle sikkerhedshændelser.
Stk. 2 Udbyderne skal sikre, at al aktivitet i forbindelse med logisk adgang til kritiske netkomponenter, systemer og værktøjer udført af medarbejdere med administratorrettigheder logges.
Stk. 3 Logfilerne skal sikres mod manipulation, og alene et begrænset antal særligt betroede medarbejdere må kunne ændre på, hvilke informationer der logges.
Stk. 4 Udbyderne skal regelmæssigt gennemgå logfilerne med henblik på identifikation af mulige sikkerhedshændelser.
Stk. 5 Center for Cybersikkerhed kan dispensere fra kravene i stk. 2-4. Dispensationen kan betinges af, at udbyderen implementerer nærmere fastsatte kompenserende sikkerhedsforanstaltninger.
Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester skal i fornødent omfang implementere processer for installation, flytning og fjernelse af eller ændringer i øvrigt i systemer og udstyr.
Stk. 2 Ved ændringer i kritiske netkomponenter, systemer og værktøjer skal udbyderne gennemføre en risikovurdering med henblik på at definere, hvilke tests der skal udføres forud for ændringen. De herefter identificerede tests skal være gennemført og evalueret forud for ændringen.
Stk. 3 Ved ændringer efter stk. 2 skal der være etableret procedurer for genskabelse til en tidligere version, hvis en ændring fejler.
Væsentlige erhvervsmæssige udbydere af NUIK-tjenester skal i fornødent omfang implementere processer for installation, flytning og fjernelse af eller ændringer i øvrigt i systemer og udstyr.
Stk. 2 Ved ændringer i kritiske netkomponenter, systemer og værktøjer skal udbyderne gennemføre en risikovurdering med henblik på at definere, om der skal gennemføres tests og i givet fald, hvilke tests der skal udføres forud for ændringen. De herefter identificerede tests skal være gennemført og evalueret forud for ændringen.
Stk. 3 Ved ændringer efter stk. 2 skal der i fornødent omfang være etableret procedurer for genskabelse til en tidligere version, hvis en ændring fejler.
Væsentlige erhvervsmæssige udbydere af NUIK-tjenester og offentligt tilgængelige elektroniske kommunikationsnet og -tjenester skal etablere procedurer for håndtering af sikkerhedshændelser. Som led heri skal udbyderne sikre, at roller og ansvarsområder for håndtering af sikkerhedshændelser er fastlagt. Procedurerne skal herudover beskrive håndtering og kategorisering af sikkerhedshændelser, sikring af nødvendige informationer til brug for efterfølgende sikkerhedshændelsesanalyser samt intern og ekstern rapportering.
Væsentlige erhvervsmæssige udbydere af NUIK-tjenester og offentligt tilgængelige elektroniske kommunikationsnet og -tjenester skal til enhver tid holde sig orienteret om nye sårbarheder, der vil kunne have konsekvenser for udbydernes net og tjenester.
Stk. 2 Med henblik på at sikre, at de etablerede informationssikkerhedsforanstaltninger i net og tjenester fortsat er effektive, skal udbyderne gennemføre relevante tekniske tests for potentielle sårbarheder, eksempelvis i form af sårbarhedsscanninger.
Væsentlige erhvervsmæssige udbydere af NUIK-tjenester og offentligt tilgængelige elektroniske kommunikationsnet og -tjenester skal sikre, at der er relevante procedurer for backup og genskabelse af data, og at disse procedurer regelmæssigt afprøves. Backupsystemets opbygning samt procedurer for backupdatas opbevaring, transport og destruktion skal dokumenteres. Dokumentationen skal opdateres ved væsentlige ændringer i backupsystemet.
Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester skal sikre en hensigtsmæssig adskillelse mellem udbydernes net, herunder produktions-, administrations-, styrings- og testnet.
Stk. 2 Ved opdeling af udbydernes net i flere logiske net skal dette ske i overensstemmelse med internationalt anerkendte retningslinjer. På baggrund af udbydernes risikovurderinger skal der etableres adgangskontrol for hvert logiske net.
Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester skal, baseret på risikostyringsprocessen efter §§ 5 og 9, sikre, at der i forhold til kritiske netkomponenter, systemer og værktøjer er etableret den nødvendige nødstrømsforsyning, redundans, understøttende forsyning eller anden sikring med tilsvarende virkning.
Stk. 2 Væsentlige erhvervsmæssige udbydere af NUIK-tjenester skal, baseret på risikostyringsprocessen efter § 5, sikre, at der i forhold til kritiske netkomponenter, systemer og værktøjer i fornødent omfang er etableret den nødvendige nødstrømsforsyning, redundans, understøttende forsyning eller anden sikring med tilsvarende virkning.
Væsentlige erhvervsmæssige udbydere af NUIK-tjenester og offentligt tilgængelige elektroniske kommunikationsnet og -tjenester skal sikre, at der så tidligt som muligt sker inddragelse af informationssikkerhedsaspekter ved anskaffelse, udvikling, ændring og vedligeholdelse af netkomponenter, systemer og værktøjer, der anvendes i net og tjenester.
Såfremt der etableres et samarbejde mellem erhvervsmæssige udbydere, hvoraf mindst en af parterne er en væsentlig erhvervsmæssig udbyder af NUIK-tjenester eller offentligt tilgængelige elektroniske kommunikationsnet og -tjenester, finder de krav, som henholdsvis en væsentlig erhvervsmæssig udbyder af NUIK-tjenester eller offentligt tilgængelige elektroniske kommunikationsnet og -tjenester skal efterleve efter denne bekendtgørelse, anvendelse på de dele af net og tjenester, der er omfattet af aftalen.
Stk. 2 Den aftalepart, der driver det net eller den tjeneste, som samarbejdet vedrører, er ansvarlig for, at kravene efter denne bekendtgørelse efterleves.
Stk. 3 Aftaleparternes aftalegrundlag skal tage højde for informationssikkerhedsaspekter i forhold til udbuddet af net og tjenester ved samarbejdet. Aftalegrundlaget skal i fornødent omfang opdateres, hvis der sker ændringer af informationssikkerhedsmæssig betydning.
Såfremt der etableres et samarbejde mellem en væsentlig erhvervsmæssig udbyder af NUIK-tjenester eller offentligt tilgængelige elektroniske kommunikationsnet og -tjenester og en leverandør, er den pågældende udbyder fortsat ansvarlig for, at kravene efter denne bekendtgørelse efterleves.
Stk. 2 Aftaleparternes aftalegrundlag skal tage højde for informationssikkerhedsaspekter i forhold til udbuddet af net og tjenester ved samarbejdet. Aftalegrundlaget skal i fornødent omfang opdateres, hvis der sker ændringer af informationssikkerhedsmæssig betydning.
Stk. 3 Udbyderen skal på baggrund af risikovurderingen efter § 2 i fornødent omfang foretage verifikation af, at der er overensstemmelse mellem aftalepartens leverancer, herunder konfigurationen af leverancerne, og det mellem parterne aftalte.
Bestemmelsen i § 23, stk. 1, finder tilsvarende anvendelse på erhvervsmæssige udbydere af NUIK-tjenester og offentligt tilgængelige elektroniske kommunikationsnet og -tjenester.