14 dages gratis

Prøveabonnement

- og meget mere...

Bekendtgørelse om informationssikkerhed og beredskab i net og tjenester Kapitel 2

Dette kapitel er fra den opdaterede og konsoliderede version af denne bekendtgørelsen og bygger på bekendtgørelse nr. 567 af 01. June 2016. Eventuelle senere ændringsbekendtgørelser er implementeret i det omfang, de er trådt i kraft.

Bekendtgørelse om informationssikkerhed og beredskab i net og tjenester

Kapitel 2

Risikostyring mv.

§2 Udbydere af offentligt tilgængelige net og tjenester
Udbydere af offentligt tilgængelige net og tjenester skal gennemføre en risikovurdering, der skal tage stilling til risikoen for tab af tilgængelighed, integritet og fortrolighed i de net og tjenester, der udbydes.

Stk. 2 Såfremt udbydernes net og tjenester helt eller delvist drives af en tredjepart, skal eventuelle risici forbundet hermed medtages i risikovurderingen efter stk. 1.

Stk. 3 På baggrund af risikovurderingen efter stk. 1 og 2 skal udbyderne implementere passende foranstaltninger til sikring af tilgængelighed, integritet og fortrolighed i net og tjenester samt sikre, at tredjepart opretholder en tilsvarende sikkerhed i forhold til driftsleverancer til udbyderne efter stk. 2.

Stk. 4 Risikovurderinger efter stk. 1 og 2 samt foranstaltninger efter stk. 3 skal løbende tilpasses, herunder ved væsentlige ændringer af udbydernes virksomhed og i trusselsbilledet.

§3 Erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester
Erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester skal udarbejde og gennemføre en ledelsesgodkendt informationssikkerhedspolitik med udgangspunkt i en anerkendt international standard, eksempelvis DS/ISO/IEC 27001 eller tilsvarende. Informationssikkerhedspolitikken skal herunder beskrive de processuelle og organisatoriske rammer for arbejdet med informationssikkerheden.

Stk. 2 Udbyderne skal sikre, at informationssikkerhedspolitikken er kommunikeret til alle relevante medarbejdere.

Stk. 3 Udbyderne skal løbende tilpasse informationssikkerhedspolitikken, herunder ved væsentlige ændringer af udbydernes virksomhed og i trusselsbilledet. Der skal dog mindst én gang om året foretages en vurdering af behovet for revision af informationssikkerhedspolitikken. Informationssikkerhedspolitikken skal på den baggrund revideres i fornødent omfang.

§4 Erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester skal på baggrund af informationssikkerhedspolitikken efter § 3 sikre, at der er etableret en informationssikkerhedsorganisation. Varetagelsen af relevante sikkerhedsopgaver, herunder roller og ansvar, skal i den forbindelse være beskrevet samt i fornødent omfang være kommunikeret til udbydernes medarbejdere.

Stk. 2 Udbyderne skal sikre, at Center for Cybersikkerhed til enhver tid er orienteret om kontaktoplysninger til lederen af informationssikkerhedsorganisationen.

§5 Erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester skal foretage risikostyring med udgangspunkt i en anerkendt international standard, eksempelvis DS/ISO/IEC 27001 eller tilsvarende.

Stk. 2 Som led i risikostyringen skal udbyderne fastsætte en samlet risikostyringsproces, der omfatter risikovurdering og -håndtering af informationssikkerhedsrisici. Der skal i den forbindelse tages stilling til kriterier for udbydernes risikovillighed.

Stk. 3 Risikostyringsprocessen skal i fornødent omfang dokumenteres samt tilpasses, herunder ved væsentlige ændringer af udbydernes virksomhed.

§6 Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester
Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester skal styre informationssikkerheden gennem et ledelsessystem, der skal etableres med udgangspunkt i en anerkendt international standard, eksempelvis DS/ISO/IEC 27001 eller tilsvarende.

§7 For væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester skal informationssikkerhedspolitikken efter § 3 desuden beskrive udbydernes politik for håndtering af beredskabssituationer og andre ekstraordinære situationer med henblik på at sikre, at net og tjenester i videst muligt omfang kan opretholdes i sådanne situationer.

§8 Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester skal sikre, at informationssikkerhedsorganisationen efter § 4 desuden kan håndtere beredskabssituationer og andre ekstraordinære situationer.

§9 Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester skal som en del af fastlæggelsen af risikovillighed i risikostyringsprocessen efter § 5 desuden tage højde for, at udbyderne i videst muligt omfang skal opretholde udbuddet af net og tjenester i beredskabssituationer og i andre ekstraordinære situationer med henblik på at sikre samfundets teleforsyning.

profile photo
Profilside