Virksomheder skal have ledelsesgodkendte, jf. § 10, beredskabsplaner for håndtering af hændelser og styring af kriseindsatsen. Beredskabsplaner kan omfatte en eller flere delberedskabsplaner, procedurer og instrukser.
Stk. 2 Beredskabsplaner efter stk. 1 skal som minimum beskrive:
-
1) Intern ansvars- og rollefordeling, herunder vagtordninger og etablering af en krisestab eller krisestyringsorganisation af relevans for håndteringen af en hændelse.
-
2) Muligheder for at aktivere yderligere ressourcer og materiel, herunder ekstra driftsbemanding samt støtte fra andre virksomheder i henhold til kontrakter eller andre aftaler.
-
3) Operationel ansvarsfordeling mellem virksomheden og dennes samarbejdspartnere eller leverandører i forbindelse med håndteringen af en hændelse.
-
4) Kontaktoplysninger på relevante personer i forbindelse med håndteringen af en hændelse, herunder beredskabsansvarlige og systemansvarlige medarbejdere samt krisestabens medarbejdere.
-
5) Kriterier for aktivering af en krisestab til håndteringen af en hændelse.
Stk. 3 Beredskabsplaner efter stk. 1 skal indeholde følgende procedurer:
-
1) Procedurer for etablering af alternative driftsformer ved nedbrud i processer, anlæg og net- og informationssystemer, herunder beskrivelser af:
-
a) Muligheder for at overgå til manuel drift.
-
b) Metoder til og betingelser for at aktivere redundante net- og informationssystemer og nødprocedurer.
-
-
2) Procedurer for isolering af industrielle kontrolsystemer og operationelle teknologier, herunder en beskrivelse af metoder til at isolere systemerne samt betingelser for at aktivere planerne.
-
3) Procedurer for genoprettelse af et anlæg, herunder en beskrivelse af hvor hurtigt reservedele, mandskab og øvrige ressourcer kan anskaffes for at genoprette driften ved beskadigelse af de dele af anlægget, der er væsentlige for virksomhedens tjeneste.
-
4) Procedurer for at fremskaffe kritiske reservedele fra eget lager eller fra leverandører.
-
5) Procedurer for genoprettelse af net- og informationssystemer, herunder beskrivelser af:
-
a) Maksimalt accepteret nedetid og datatab for net- og informationssystemer.
-
b) Målsætningen for genetableringstid og metoder til at genoprette net- og informationssystemer fra backup.
-
c) Betingelserne for aktivering af procedurer for genoprettelse.
-
-
6) Procedurer for iværksættelse af beredskabsforanstaltninger, som kan iværksættes i forbindelse med håndteringen af en hændelse, herunder sektorberedskabsforanstaltninger.
-
7) Procedurer for udveksling af driftskritisk information ved nedbrud i normale kommunikationslinjer i forbindelse med en hændelse.
-
8) Procedurer for dokumentation for virksomhedens håndtering af en hændelse.
-
9) Procedurer for at modtage, indhente, behandle og fordele relevant information internt i virksomheden i forbindelse med håndteringen af en hændelse.
-
10) Procedurer for ekstern informationsdeling om hændelser og håndteringen af hændelser til relevante myndigheder, samarbejdspartner, forbrugere, pressen, offentligheden og andre aktører.
Stk. 4 Beredskabsplaner efter stk. 1 skal være i overensstemmelse med sektorberedskabsplanen for den delsektor, virksomheden opererer inden for.
Stk. 5 Beredskabsplaner efter stk. 1 skal være versionsstyrede med en kort beskrivelse af ændringerne i forhold til tidligere versioner.