Lov om sikkerhed og beredskab i telesektoren § 5

Den konsoliderede version af denne lov er opdateret til i dag, idet vi har implementeret eventuelle senere ændringslove i det omfang, de er trådt i kraft - se mere her.

Lov nr. 435 af 6. maj 2025

§ 5

Væsentlige og vigtige teleudbydere skal træffe passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre risiciene for sikkerheden i net- og informationssystemer, som disse udbydere anvender til deres operationer eller til at levere deres tjenester, og for at forhindre hændelser eller minimere hændelsers indvirkning på modtagere af deres tjenester og på andre tjenester. Foranstaltningerne skal som minimum omfatte følgende:

  • 1) Politikker for risikoanalyse og informationssystemsikkerhed.

  • 2) Håndtering af hændelser.

  • 3) Driftskontinuitet, herunder backupstyring og reetablering efter en katastrofe, og krisestyring.

  • 4) Forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte teleudbyder og udbyderens direkte leverandører eller tjenesteudbydere.

  • 5) Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder.

  • 6) Politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af sikkerhedsrisici.

  • 7) Grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse.

  • 8) Politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering.

  • 9) Personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver.

  • 10) Brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt hos udbyderen, hvor det er relevant.

Stk. 2 Væsentlige og vigtige teleudbydere, der ikke overholder et eller flere af de krav, der er nævnt i stk. 1, til foranstaltningerne eller regler om krav til foranstaltninger fastsat i medfør af stk. 3, skal uden unødigt ophold træffe alle nødvendige, passende og forholdsmæssige korrigerende foranstaltninger.

Stk. 3 Ministeren for samfundssikkerhed og beredskab fastsætter regler om krav til foranstaltninger efter stk. 1 og om yderligere foranstaltninger og krav hertil for teleudbydere omfattet af denne lov. Ministeren kan i den forbindelse fastsætte regler om, at væsentlige og vigtige teleudbydere skal anvende særlige ikt-produkter, -tjenester og -processer, som er certificeret i henhold til en europæisk cybersikkerhedscertificeringsordning, for at påvise overensstemmelse med bestemte krav efter stk. 1 eller regler om krav til foranstaltninger fastsat i medfør af 1. pkt.