En operatør af finansiel digital infrastruktur skal have en forvaltnings- og kontrolramme, der sikrer en effektiv og forsigtig styring af it- og cyberrisici.
Stk. 2 En operatør skal som led i rammen for styring af it- og cyberrisici træffe passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre risici for sikkerheden i net- og informationssystemer.
Stk. 3 Foranstaltningerne nævnt i stk. 2 skal omfatte følgende:
-
1) Politikker for risikoanalyse og informationssystemsikkerhed, jf. § 333 d,
-
2) håndtering af hændelser, jf. § 333 f,
-
3) driftskontinuitet, herunder backupstyring og reetablering efter større hændelser og krisestyring, jf. § 333 e, stk. 7,
-
4) forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem operatøren og dens direkte leverandører eller tjenesteudbydere, jf. §§ 333 h-333 j,
-
5) sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder, jf. § 333 e, stk. 2,
-
6) politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici, jf. § 333 e, stk. 10, og § 333 g,
-
7) grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse, jf. § 333 b, stk. 7, og § 333 e, stk. 4 og 11,
-
8) politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering,
-
9) personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver og
-
10) brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt i infrastrukturen, hvor det er relevant.
Stk. 4 En operatør skal, når den overvejer foranstaltninger nævnt i stk. 3, nr. 4, tage hensyn til de sårbarheder, der er specifikke for hver direkte leverandør og tjenesteudbyder, og den generelle kvalitet af deres leverandørers og tjenesteudbyderes produkter og cybersikkerhedspraksis, herunder sikkerheden i deres udviklingsprocedurer. Ved vurderingen skal operatøren desuden tage hensyn til resultaterne af de koordinerede sikkerhedsrisikovurderinger af kritiske forsyningskæder, der foretages i overensstemmelse med artikel 22, stk. 1, i Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, hvor det er relevant, og hvor resultaterne af sådanne vurderinger foreligger.