Kapitel 2 1 Foranstaltninger til styring af cybersikkerhedsrisici
Væsentlige og vigtige enheder skal træffe passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre risiciene for sikkerheden i net- og informationssystemer, som disse enheder anvender til deres operationer eller til at levere deres tjenester, og for at forhindre hændelser eller minimere deres indvirkning på modtagere af deres tjenester og på andre tjenester. Foranstaltningerne skal som minimum omfatte følgende:
-
1) Politikker for risikoanalyse og informationssystemsikkerhed.
-
2) Håndtering af hændelser.
-
3) Driftskontinuitet, herunder backupstyring og reetablering efter en katastrofe og krisestyring.
-
4) Forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte enhed og dens direkte leverandører eller tjenesteudbydere.
-
5) Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder.
-
6) Politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici.
-
7) Grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse.
-
8) Politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering.
-
9) Personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver.
-
10) Brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt hos enheden, hvor det er relevant.
Stk. 2 En enhed, der ikke overholder ét eller flere af de krav, der er nævnt i stk. 1, til foranstaltningerne eller regler om krav til foranstaltninger fastsat i medfør af stk. 3, skal uden unødigt ophold træffe alle nødvendige, passende og forholdsmæssige korrigerende foranstaltninger.
Stk. 3 Vedkommende minister kan efter forhandling med ministeren for samfundssikkerhed og beredskab fastsætte nærmere regler om foranstaltninger efter stk. 1.
De foranstaltninger, som en væsentlig eller vigtig enhed træffer på baggrund af § 6, stk. 1 og 2, og regler fastsat i medfør af § 6, stk. 3, skal være godkendt af enhedens ledelsesorgan. Ledelsesorganet fører tilsyn med foranstaltningernes gennemførelse.
Stk. 2 Medlemmerne af en væsentlig eller vigtig enheds ledelsesorgan skal deltage i relevante kurser om styring af cybersikkerhedsrisici og tilskynde til, at tilsvarende kurser tilbydes til enhedens øvrige ansatte.
Vedkommende minister kan efter forhandling med ministeren for samfundssikkerhed og beredskab fastsætte regler om, at væsentlige og vigtige enheder skal anvende særlige Ikt-produkter, -tjenester og -processer, som er certificeret i henhold til en europæisk cybersikkerhedscertificeringsordning, for at påvise overensstemmelse med bestemte krav i § 6, stk. 1, eller regler om foranstaltninger fastsat i medfør af § 6, stk. 3. Produktet kan udvikles af den væsentlige eller vigtige enhed eller indkøbes fra tredjeparter.