Kapitel 11 Sikkerhed i net- og informationssystemer
Virksomheder skal have en politik for informationssystemsikkerhed til at fastlægge en overordnet ramme for sikkerhed i virksomhedens net- og informationssystemer.
Virksomheder skal have procedurer for sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer. Procedurerne skal indeholde:
-
1) Krav til opretholdelse af et passende sikkerhedsniveau i net- og informationssystemer, som en virksomhed erhverver, udvikler og vedligeholder, herunder krav til sikkerheden i udviklings- og testmiljøer.
-
2) Metoder til at kontrollere, om de erhvervede eller udviklede net- og informationssystemer lever op til virksomhedens krav efter nr. 1.
Virksomheder skal sikre, at virksomhedens net- og informationssystemer samt software- og hardwareaktiver, som anvendes i leveringen af virksomhedens tjenester, så vidt muligt hærdes, herunder gennem sikre konfigurationer, jf. § 49, samt med antimalware og nyeste system- og sikkerhedsopdateringer i hele deres livscyklus.
Stk. 2 System- og sikkerhedsopdateringer af forsyningskritiske net- og informationssystemer efter stk. 1, skal gennemføres på baggrund af en risikovurdering, hvor risici mod sikkerheden i systemerne evalueres i forhold til risici for opretholdelsen af virksomhedens evne til at levere sine tjenester.
Virksomheder skal være i stand til at identificere, reagere på og mitigere sårbarheder, som kan påvirke sikkerheden i virksomhedens net- og informationssystemer.
Stk. 2 Virksomheder skal være i stand til at modtage varsler om sårbarheder på elektronisk vis.
Stk. 3 Virksomheder skal ved modtagelse af et varsel om en sårbarhed foretage en risikovurdering af virksomhedens eksponering og mitigere sårbarheder, som kan påvirke sikkerheden i virksomhedens net- og informationssystemer.
Stk. 4 Virksomheder i niveau 4 og 5 skal være i stand til at reagere på varsler efter stk. 2 og 3 uden unødigt ophold.
Stk. 5 Virksomheder skal tage stilling til, om sårbarheder, som virksomheden identificerer i virksomhedens net- og informationssystemer, bør offentliggøres, herunder i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, jf. § 45.
Stk. 6 Virksomheder skal sikre, at oplysninger om sårbarheder, som kan have sikkerhedsmæssig betydning for energisektoren, videreformidles til Energistyrelsen. Virksomheder i el-, gas- og brintsektoren skal ligeledes videreformidle oplysning om sårbarheder, til Energinet.
Virksomheder skal have ajourførte fortegnelser over følgende software- og hardwareaktiver:
-
1) Servere, databaser og netværksudstyr, som anvendes i forbindelse med leveringen af virksomhedens tjenester.
-
2) Endpoints og virtuelle maskiner, der kan tilgå virksomhedens net- og informationssystemer.
-
3) Software- og hardwareaktiver i virksomhedens forsyningskritiske net- og informationssystemer.
Stk. 2 Fortegnelserne skal være tilstrækkeligt detaljerede til at sikre hurtig identifikation af et aktiv, så eventuelle sårbarheder kan identificeres, vurderes og mitigeres, jf. § 47.
Stk. 3 Virksomhederne skal regelmæssigt og som minimum årligt kontrollere, at fortegnelser efter stk. 1 er ajourførte. Fejl og mangler skal rettes hurtigt og årsagerne hertil undersøges.
Stk. 4 Virksomhederne skal mitigere risici for software- og hardwareaktiver, jf. stk. 1, nr. 1-3, der anvendes i leveringen af virksomhedens tjenester, som ikke længere kan supporteres med system- og sikkerhedsopdateringer, jf. § 46, stk. 1.
Virksomheder skal have procedurer til at sikre, at virksomhedens net- og informationssystemer samt software- og hardwareaktiver efter § 48 konfigureres på sikker vis, herunder at funktioner, services, applikationer, netværksprotokoller og porte, som ikke er nødvendige for at levere virksomhedens tjenester, lukkes eller deaktiveres.
Stk. 2 Procedurer efter stk. 1 skal omfatte sikker tilslutning af nye hardwareaktiver i de netværk, som virksomheden er afhængige af i leveringen af virksomhedens tjenester.
Stk. 3 Virksomheder skal logge væsentlige konfigurationsændringer i virksomhedens forsyningskritiske net- og informationssystemer.
Stk. 4 Virksomheder skal logge ændringer på netværksudstyr, der anvendes i segmenteringen af netværk efter § 62.
Virksomheder i niveau 4 og 5 skal placere servere og datacentre, der understøtter virksomhedens forsyningskritiske net- og informationssystemer, inden for EU/EØS-lande.
Virksomheder skal have en politik for adgangskontrol til at sikre, at virksomhedens net- og informationssystemer beskyttes mod uautoriseret fysisk og logisk adgang.
Virksomheder skal foretage adgangskontrol af adgange, identiteter og rettigheder til virksomhedens net- og informationssystemer. Adgangskontrollen skal understøtte følgende:
-
1) At adgange og rettigheder er personhenførbare og kun tildeles ved et arbejdsbetinget behov.
-
2) At inaktive identiteter, bruger- og servicekonti deaktiveres og fjernes.
-
3) At tildeling, ændring og fjernelse af adgange, identiteter, rettigheder og konti systematisk logges.
Stk. 2 Virksomheder skal som minimum gennemføre en kvartalvis sanering af adgange, identiteter og rettigheder til forsyningskritiske net- og informationssystemer.
Virksomheder skal så vidt muligt og hvor relevant anvende multifaktorautentificering (MFA) eller kontinuerlig autentificering ved adgang til virksomhedens net- og informationssystemer jf. dog § 55, stk. 1.
Virksomheder skal foretage styring af adgangselementer, herunder passwords til virksomhedens net- og informationssystemer samt til netværksudstyr, der kan påvirke leveringen af virksomhedens tjenester. Adgangsstyringen skal understøtte:
-
1) At anvendte adgangselementer modsvarer kritikaliteten af det pågældende net- og informationssystem eller netværksudstyr.
-
2) At der så vidt muligt sker tvungen udskiftning af passwords, så styrken af passwords modsvarer kritikaliteten af det pågældende net- og informationssystem eller netværksudstyr.
Stk. 2 Virksomheder skal foretage tvungen udskiftning af standardpasswords til net- og informationssystemer og netværksudstyr, inden at de tilsluttes virksomhedens netværk, jf. § 49, stk. 2.
Virksomheder skal sikre, at fjernadgange til virksomhedens net- og informationssystemer beskyttes efter bestemmelserne i §§ 52-54.
Stk. 2 Fjernadgange til virksomhedens forsyningskritiske net- og informationssystemer skal tildeles i en tidsbegrænset periode, så fjernadgange kun er åbne i tidsrum med et godkendt arbejdsbetinget behov for at tilgå et system.
Stk. 3 Virksomheder skal udarbejde procedurer til at kunne opdage og håndtere cyberangreb mod fjernadgange til forsyningskritiske net- og informationssystemer.
Virksomheder skal sikre, at mobile og stationære enheder, der kan tilgå virksomhedens industrielle kontrolsystemer og operationelle teknologier, ikke anvendes til privat brug og konfigureres på sikker vis, jf. § 49, så der kun kan installeres programmer, der skal anvendes i leveringen af tjenesten, på enheden.
Virksomheder skal have en politik og procedurer for backup-styring for virksomhedens net- og informationssystemer. Politikken skal som minimum indeholde minimumsfrekvens for at tage backup samt passende opbevaringstider for backup, jf. § 19, stk. 3, nr. 5, litra a.
Virksomheder skal tage backup af virksomhedens forsyningskritiske net- og informationssystemer og netværkskonfigurationer, så virksomheden kan genoprette systemerne og netværksinfrastrukturen for forsyningskritiske net- og informationssystemer.
Stk. 2 Backups efter stk. 1 skal beskyttes og opbevares på sikker vis i henhold til kritikaliteten af det forsyningskritiske net- og informationssystem eller netværkskonfiguration, der tages backup af.
Stk. 3 Virksomheder i niveau 4 og 5 skal tage backup efter stk. 1 i flere kopier, så virksomheden kan tilgå backups, uagtet om det forsyningskritiske net- og informationssystem eller netværkskonfiguration, som der tages backup af, er utilgængelig eller kompromitteret. Backups skal opbevares særskilt, eksempelvis som offline kopier.
Virksomheder skal have politikker og procedurer for brug af kryptografi, og, hvor det er relevant, skal kryptering anvendes med henblik på at beskytte data, når data lagres, og når data overføres mellem netværk.
Virksomheder skal anvende sikret tale-, video- og tekstkommunikation i virksomheden, hvor det er relevant, for at beskytte mod hændelser.
Virksomheder skal foretage netværkssegmentering, så virksomhedens forsyningskritiske net- og informationssystemer isoleres fra andre net- og informationssystemer og udstyr.
Stk. 2 Netværkssegmentering efter stk. 1, stk. 3 og stk. 5, skal ske ved brug af en demilitariseret zone eller tilsvarende, som skal placeres mellem det isolerede netværk med forsyningskritiske net- og informationssystemer og øvrige netværk.
Stk. 3 Virksomheder i niveau 4 og 5 skal fysisk adskille netværk med forsyningskritiske net- og informationssystemer fra andre netværk, jf. dog stk. 5.
Stk. 4 Multiforsyningsvirksomheder i niveau 4 og 5 skal sikre, at netværk med forsyningskritiske net- og informationssystemer er adskilt på tværs af forsyningsarter i henhold til stk. 3, medmindre det er forsyningskritisk net- og informationssystem til styring af et anlæg der leverer flere energiforsyningstjenester.
Stk. 5 Virksomheder i niveau 4 og 5 skal foretage netværkssegmentering for net- og informationssystemer, som anvendes i adgangskontrollen for anlæg, jf. § 37 og § 38, stk. 2, nr. 3 og 4. Net- og informationssystemerne kan placeres i samme fysiske netværk som forsyningskritiske net- og informationssystemer.
Virksomheder skal have ajourført netværksdokumentation, der beskriver opbygningen af virksomhedens netværksinfrastruktur, herunder netværkssegmenteringen i § 62.
Stk. 2 Virksomheder skal have ajourført dokumentation over kommunikationsprotokoller, der anvendes i netværkssegmenter med forsyningskritiske net- og informationssystemer jf. § 62, herunder kommunikationsprotokoller med adgang til forsyningskritiske net- og informationssystemer.
Virksomheder skal have en logpolitik til at fastlægge en overordnet ramme for logning og monitorering i virksomhedens net- og informationssystemer. Logpolitikken skal som minimum indeholde følgende:
-
1) Metoder for systematisk opsamling af logs, som er nødvendige for at identificere og efterforske hændelser.
-
2) Metoder for monitorering af logs.
-
3) Ansvar for monitorering af logs.
-
4) Opbevaringstid for opbevaring af logs.
Virksomheder i niveau 2 og 3 skal i fornødent omfang implementere logning og monitorering i virksomhedens net- og informationssystemer og netværksinfrastruktur med henblik på at kunne identificere hændelser og nærvedhændelser samt understøtte myndighedernes efterforskning.
Virksomheder i niveau 4 og 5 skal implementere logning og monitorering i virksomhedens net- og informationssystemer og netværksinfrastruktur med henblik på at kunne identificere hændelser og nærvedhændelser i realtid samt understøtte myndighedernes efterforskning.
Stk. 2 Virksomheder i niveau 4 og 5 skal som minimum logge følgende:
-
1) Steder, hvorfra der går datatrafik ind og ud af virksomhedens netværk, herunder firewalls og internetvendte tjenester.
-
2) På hardware og software der understøtter leveringen af tjenesten, herunder netværkskomponenter og udstyr til fjernadgang, hvor det er muligt og de genererede logs viser forbindelser og brugerhandlinger.
-
3) På hardware og software der understøtter et anlægs adgangskontrol, jf. 38. stk. 2.
Logs efter § 65 og § 66 skal være tidssynkroniserede og skal beskyttes med foranstaltninger, der garanterer, at logs opbevares på sikker vis i henhold til kritikaliteten af det net- og informationssystem eller netværksudstyr, hvorfra der opsamles logs.
Stk. 2 Logs skal opbevares særskilt fra det net- og informationssystemer og netværksudstyr, hvorfra der opsamles logs, og skal sikres mod manipulation og beskyttes mod uautoriseret adgang.
Stk. 3 Virksomheder i niveau i 4 og 5 skal opbevare logs efter § 66 i 13 måneder.
Virksomheder i niveau 4 og 5 skal være i stand til at reagere på uregelmæssigheder i net- og informationssystemer og netværksinfrastruktur i realtid med henblik på at sikre, at hændelser håndteres uden unødigt ophold.
Virksomheder skal planlægge logning og monitoreringen jf. §§ 65-68 i koordination med virksomhedens it-sikkerhedstjeneste, så der opsamles og monitoreres logs af relevans for it-sikkerhedstjenestens hændelseshåndtering.
Stk. 2 Virksomheder i niveau 4 og 5 skal være i stand til at afgive logs til it-sikkerhedstjenesten inden for 24 timer.
Virksomheder skal regelmæssigt og som minimum årligt kontrollere, at der opsamles korrekte logs fra virksomhedens net- og informationssystemer, og at logs kan anvendes til at identificere og efterforske hændelser. Fejl og mangler skal rettes hurtigt, og årsagerne hertil undersøges.
Virksomheder skal udarbejde en politik og procedurer for vurdering af effektiviteten af foranstaltninger, som virksomheden implementerer til at understøtte sikkerheden i net- og informationssystemer efter denne bekendtgørelse, og for vurdering af behov for tekniske sikkerhedsscanninger, eksempelvis i form af sårbarhedsscanninger og penetrationstests.