Kapitel 12 Håndtering af hændelser
Hændelser skal håndteres af den enkelte virksomhed med udgangspunkt i virksomhedens beredskabsplaner med de nødvendige tilpasninger til situationen.
Stk. 2 Virksomheder i niveau 3-5 skal i forbindelse med håndteringen af en hændelse være i stand at indsætte tilstrækkeligt personale og teknisk assistance på alle tider af døgnet, så virksomheden kan opretholde eller genoprette virksomhedens tjenester.
Virksomheder skal have et operationelt kontaktpunkt inden for egen organisation, som myndigheder og virksomheder, der forestår sektorberedskabet, kan kontakte.
Stk. 2 Det operationelle kontaktpunkt skal være i stand til at modtage udmeldinger om ændringer i sektorberedskabsniveau på alle tider af døgnet, så virksomheden kan iværksætte sektorberedskabsforanstaltninger i henhold til § 13, stk. 3, og videreformidle information og udmeldinger internt i virksomheden.
Stk. 3 Virksomheder skal holde Energistyrelsen underrettet om opdaterede kontaktoplysninger på virksomhedens operationelle kontaktpunkt, jf. dog stk. 4.
Stk. 4 Virksomheder i henholdsvis el-, gas- og brintsektoren skal holde Energinet underrettet om opdaterede kontaktoplysninger på virksomhedens operationelle kontaktpunkt.
Virksomheder skal være i stand til at opretholde kommunikationslinjer eller anvende alternative kommunikationsformer i forbindelse med håndteringen af en hændelse.
Virksomheder skal uden unødigt ophold underrette modtagerne af deres tjenester om væsentlige hændelser jf. § 77, der sandsynligvis vil påvirke leveringen af virksomhedens tjenester negativt.
Stk. 2 Virksomhederne skal sammen ved underretningen efter stk. 1, så vidt muligt angive:
-
1) De forventede konsekvenser, faktiske konsekvenser samt den forventede varighed af hændelsen.
-
2) Eventuelle foranstaltninger eller modforholdsregler, som modtagerne af virksomhedens tjeneste kan træffe for at afbøde risici eller konsekvenser som følge af den pågældende hændelse.
-
3) Tidspunkter for yderligere information.
Virksomheder skal uden unødigt ophold oplyse modtagerne af deres tjenester, som potentielt er berørt af en væsentlig cybertrussel, om eventuelle foranstaltninger eller modforholdsregler, som modtagerne kan træffe som reaktion herpå. Enhederne skal også informere de pågældende modtagere om den væsentlige cybertrussel, hvor det er relevant.
Stk. 2 Oplysninger om væsentlige cybertrusler skal stilles til rådighed for modtagerne i et let forståeligt sprog.
Stk. 3 Virksomheder må ikke tage betaling fra modtagerne af deres tjenester for at give underretninger efter stk. 1.
Stk. 4 Virksomheder er ved oplysning efter stk. 1, ikke fritaget fra at træffe passende og øjeblikkelige foranstaltninger til at forebygge eller afhjælpe enhver trussel eller hændelses negative eller potentielle negative indvirkning på modtagerne af virksomhedens tjenester.
Virksomheder skal uden unødigt ophold og under alle omstændigheder underrette Energistyrelsen om enhver hændelse, der har en væsentlig indvirkning på leveringen af virksomhedens tjenester, jf. dog stk. 4 og 5.
Stk. 2 Væsentlige hændelser efter stk. 1 omfatter:
-
1) Hændelser, som har forårsaget eller er i stand til at forårsage alvorlige driftsforstyrrelser i leveringen af virksomhedens tjenester, herunder som følge af havari af anlæg, arbejdsmarkedskonflikter og manglende leverancer af væsentlig betydning for samfundets energiforsyning.
-
2) Hændelser, som har forårsaget eller er i stand til at forårsage økonomisk tab for den berørte virksomhed.
-
3) Hændelser, som har påvirket eller er i stand til at påvirke andre fysiske eller juridiske personer ved at forårsage betydelig fysisk eller ikke-fysisk skade.
-
4) Hændelser, som har aktiveret eller burde have aktiveret virksomhedens beredskabsplaner, herunder:
-
a) Hændelser, hvor et net- og informationssystems fortrolighed, integritet, tilgængelighed og autenticiteten er blevet kompromitteret.
-
b) Hændelser, hvor der er begrundet mistanke om eller kendskab til indbrud, tyveri, sabotage og spionage.
-
c) Hændelser, der har krævet bistand til situationsudredning, udbedring og genopretning af virksomhedens net- og informationssystemer, herunder fra en it-sikkerhedstjeneste, CSIRT og Energinet.
-
Stk. 3 Virksomheder skal uden unødigt ophold og senest inden for 24 timer efter at have fået kendskab til en væsentlig hændelse underrette Energistyrelsen. Virksomheden skal ved indberetning i videst muligt omfang angive følgende oplysning om hændelsen:
-
1) Hændelsens kendetegn, art eller type.
-
2) Hændelsens årsag og hændelsesforløb.
-
3) Hændelsens konsekvenser.
-
4) Om hændelsen mistænkes for at være forårsaget af ulovlige eller ondsindede handlinger.
-
5) Om hændelsen kunne have haft en grænseoverskridende virkning.
Stk. 4 Virksomheder skal inden for 72 timer efter at have fået kendskab til en væsentlig hændelse underrette Energistyrelsen, om status på hændelsen, herunder give en indledende vurdering af hændelsens alvor, indvirkning og hvis muligt kompromitteringsindikatorerne.
Stk. 5 Virksomheder skal underrette CSIRT’en ved væsentlige hændelser, hvor hændelsen har kompromitteret sikkerheden i virksomhedens net- og informationssystemer, på samme måde som underretninger til Energistyrelsen efter stk. 2, nr. 1-3, stk. 3-4, og § 78, stk. 1 og 2.
Stk. 6 Virksomheder i henholdsvis el-, gas- og brintsektoren skal uden unødigt ophold varsle Energinet om væsentlige hændelser efter stk. 2 i henhold til stk. 3-5.
Stk. 7 Virksomheder skal efter anmodning fra Energistyrelsen eller sikkerhedsmyndighederne herunder CSIRT’en fremsende en foreløbig rapport om relevante statusopdateringer.
Virksomheder skal senest én måned efter hændelsesunderretningen i § 77, stk. 4, sende en hændelsesrapport til Energistyrelsen. Hændelsesrapporten skal indeholde en detaljeret beskrivelse af hændelsen og virksomhedens håndtering af hændelsen, herunder:
-
1) Hændelsens alvor og indvirkning.
-
2) Antallet og andelen af brugere berørt af en eventuel forstyrrelse i leveringen af tjenesten samt forstyrrelsens varighed.
-
3) Geografisk område berørt at en eventuel forstyrrelse i leveringen af tjenesten.
-
4) Den type trussel eller grundlæggende årsag, der sandsynligvis har udløst hændelsen.
-
5) Anvendte og igangværende afbødende foranstaltninger.
-
6) Eventuelle grænseoverskridende virkninger af hændelsen.
-
7) En beskrivelse af samarbejdet med eksterne parter i håndteringen af hændelsen.
-
8) Opnåede erfaringer og læringspunkter fra virksomhedens håndtering af hændelsen.
-
9) Planlagt opfølgning på erfaringer og læringspunkter efter nr. 8, herunder tidsplan for opfølgning.
Stk. 2 Hvis en hændelse pågår for tidspunktet for hændelsesrapporten i stk. 1, kan virksomheden sende en foreløbig rapport med relevante statusopdateringer på det pågældende tidspunkt og en endelig hændelsesrapport senest en måned efter virksomhedens håndtering af hændelsen.
Stk. 3 Virksomheder kan i forbindelse med stk. 2 ansøge Energistyrelsen om, at hændelsesevalueringen i stk. 1 godkendes som en øvelsesevaluering, jf. § 23, hvis virksomheden har afprøvet konkrete øvelseselementer i bilag 4 i håndteringen af hændelsen. Ansøgninger om godkendelse af hændelse som en øvelse skal vedlægges en opdateret øvelsesplan, jf. § 20.
Underretning om væsentlige hændelser, hvor hændelsen har kompromitteret sikkerheden i virksomhedens net- og informationssystemer, efter § 77, stk. 1-5, og § 78, stk. 1 og 2, skal indberettes til CSIRT’en og Energistyrelsen via den af CSIRT’en anviste løsning for underretning, jf. dog stk. 2.
Stk. 2 Underretning om alle andre væsentlige hændelser efter § 78 skal ske gennem den af Energistyrelsen anviste løsning for underretning.
Stk. 3 Ansøgninger om godkendelse af en hændelse som en øvelse efter § 78, stk. 3, skal sendes til Energistyrelsen gennem den af Energistyrelsen anviste løsning for ansøgning.
Virksomheder skal anmelde hændelser på land, hvor der er begrundet mistanke om eller kendskab til indbrud, tyveri, sabotage og spionage til politiet.
Stk. 2 Virksomheder skal anmelde hændelser på havet, hvor der er begrundet mistanke om eller kendskab til indbrud, tyveri, sabotage og spionage til politiet og Forsvaret.