Væsentlige og vigtige enheder skal træffe passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre risiciene for sikkerheden i net- og informationssystemer, som disse enheder anvender til deres operationer eller til at levere deres tjenester, og for at forhindre hændelser eller minimere deres indvirkning på modtagere af deres tjenester og på andre tjenester. Foranstaltningerne skal som minimum omfatte følgende:
-
1) Politikker for risikoanalyse og informationssystemsikkerhed.
-
2) Håndtering af hændelser.
-
3) Driftskontinuitet, herunder backupstyring og reetablering efter en katastrofe og krisestyring.
-
4) Forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte enhed og dens direkte leverandører eller tjenesteudbydere.
-
5) Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder.
-
6) Politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici.
-
7) Grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse.
-
8) Politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering.
-
9) Personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver.
-
10) Brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt hos enheden, hvor det er relevant.
Stk. 2 En enhed, der ikke overholder ét eller flere af de krav, der er nævnt i stk. 1, til foranstaltningerne eller regler om krav til foranstaltninger fastsat i medfør af stk. 3, skal uden unødigt ophold træffe alle nødvendige, passende og forholdsmæssige korrigerende foranstaltninger.
Stk. 3 Vedkommende minister kan efter forhandling med ministeren for samfundssikkerhed og beredskab fastsætte nærmere regler om foranstaltninger efter stk. 1.