Kapitel 5 Krisestyring i beredskabssituationer og i andre ekstraordinære situationer
Udbydere af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester skal foretage planlægning og træffe foranstaltninger for krisestyring med henblik på i videst muligt omfang at kunne opretholde net og tjenester i beredskabssituationer og i andre ekstraordinære situationer.
Udbydere af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester skal, såfremt udbyderne vurderer, at dette er nødvendigt, udarbejde en krisestyringsplan.
Stk. 2 Krisestyringsplanen efter stk. 1 skal som minimum omfatte udbydernes håndtering af følgende områder:
-
1) Organisering af udbydernes interne beredskab.
-
2) Aktivering og eskalering af beredskabet.
-
3) Varetagelse af krisekommunikation.
-
4) Ressourcestyring, herunder tilkaldelse af medarbejdere i en beredskabssituation eller i en anden ekstraordinær situation.
-
5) Alternative muligheder for fremskaffelse af reserveudstyr.
-
6) Behov for serviceaftaler.
Stk. 3 Hvis der i krisestyringsplanen er identificeret behov for konkrete forberedende foranstaltninger, skal udbyderne gennemføre disse foranstaltninger uden ugrundet ophold.
Stk. 4 Krisestyringsplanen skal løbende revideres i det omfang, udviklingen tilsiger dette, herunder ved væsentlige ændringer af udbydernes virksomhed og i trusselsbilledet, dog som minimum hvert andet år.
Stk. 5 Hvis en udbyder ikke har udarbejdet en krisestyringsplan, skal vurderingen efter stk. 1 som minimum gennemføres hvert andet år.
Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester skal udarbejde en krisestyringsplan.
Stk. 2 Krisestyringsplanen skal udarbejdes i overensstemmelse med § 31, stk. 2, og skal herudover som minimum beskrive:
-
1) Etablering og drift af en krisestyringsorganisation, herunder ansvar, roller og opgaver i en beredskabssituation eller i en anden ekstraordinær situation.
-
2) Procedurer for håndtering af påbud fra Center for Cybersikkerhed om gennemførelse af akutte sikkerhedsforanstaltninger og om retablering af nærmere bestemte dele af net og tjenester samt om iværksættelse af på forhånd forberedte konkrete foranstaltninger til prioritering i net og tjenester med henblik på at sikre beredskabsaktørers samfundsvigtige kommunikation, jf. bekendtgørelse om beredskabsaktørers adgang til elektronisk kommunikation i beredskabssituationer mv.
-
3) Beskrivelse af samarbejdet med Center for Cybersikkerhed i en beredskabssituation eller i en anden ekstraordinær situation, herunder beskrivelse af proceduren for underretning af centeret i forbindelse med aktivering af udbyderens interne beredskab, jf. § 35, angivelse af kontaktinformation til centeret samt procedure for afgivelse af situationsrapporter til centeret, jf. § 36.
-
4) Udbyderens procedure for modtagelse og håndtering af oplysninger, herunder klassificeret information, fra Center for Cybersikkerhed om en beredskabssituation eller en anden ekstraordinær situation.
-
5) Beskrivelse af anvendelse af kommunikationsmidler i situationer, hvor de gængse kommunikationsmidler ikke er tilgængelige.
Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester skal sikre, at Center for Cybersikkerhed døgnet rundt kan komme i kontakt med udbyderne i forbindelse med en beredskabssituation eller en anden ekstraordinær situation. Det skal ved kontakt fra Center for Cybersikkerhed kunne foranlediges, at udbyderens interne beredskab straks aktiveres.
Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester skal straks underrette Center for Cybersikkerhed ved enhver aktivering og efterfølgende de-aktivering af udbyderens interne beredskab.
Hvis en beredskabssituation eller en anden ekstraordinær situation har medført, at en væsentlig erhvervsmæssig udbyder af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester har aktiveret udbyderens interne beredskab, skal udbyderen herefter løbende afgive situationsrapporter til Center for Cybersikkerhed. Situationsrapporterne skal fremsendes mindst hver fjerde time, medmindre andet er aftalt med Center for Cybersikkerhed.
Stk. 2 Situationsrapporterne skal, så vidt det er teknisk muligt, afgives elektronisk, og skal som minimum indeholde følgende oplysninger:
-
1) Virksomhedens kontaktoplysninger.
-
2) Tidsrummet, som situationsrapporten omfatter.
-
3) Beskrivelse af, hvad der er sket, eksempelvis berørte dele af net og tjenester, antallet af berørte slutbrugere eller berørte geografiske områder, eventuelt siden den seneste situationsrapport.
-
4) Beskrivelse af, hvilke foranstaltninger udbyderen har truffet, eventuelt siden den seneste situationsrapport.
-
5) Beskrivelse af, hvilke foranstaltninger udbyderen fremadrettet forventer at træffe.
Efter de-aktivering af udbyderens interne beredskab skal væsentlige erhvervsmæssige udbydere af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester efter påbud fra Center for Cybersikkerhed fremsende en rapport om udbydernes hændelseshåndtering, herunder eventuelt planlagt opfølgning.
Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester skal som minimum én gang hvert andet år afholde en intern beredskabsøvelse, som omfatter anvendelse af udbyderens krisestyringsplan.
Stk. 2 Senest tre måneder efter en afholdt øvelse skal udbyderne have udarbejdet en rapport, som beskriver øvelsens formål, forløb, opnåede erfaringer og planlagt opfølgning. Udbyderne skal efter påbud fra Center for Cybersikkerhed fremsende rapporten til centeret.
Center for Cybersikkerhed kan påbyde en væsentlig erhvervsmæssig udbyder af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester at deltage i en national eller international krisestyringsøvelse.
Stk. 2 Påbud efter stk. 1 kan højest udstedes to gange om året og højest fire gange indenfor en periode på fem år. Påbuddet skal indeholde et varsel på mindst tre måneder.