Kapitel 3 1 Virksomheders modstandsdygtighed og beredskab
Virksomheder omfattet af denne lov skal foretage nødvendig beredskabsplanlægning og gennemføre passende organisatoriske foranstaltninger for at beskytte leveringen af deres tjenester og sikre effektiv genoprettelse af deres tjenester.
Stk. 2 Klima-, energi- og forsyningsministeren fastsætter efter forhandling med ministeren for samfundssikkerhed og beredskab nærmere regler om beredskabsplanlægning og foranstaltninger efter stk. 1, herunder om følgende: Bekendtgørelse om modstandsdygtighed og beredskab i energisektoren
-
1) Ledelsespligter, herunder krav om godkendelse af virksomhedens risiko- og sårbarhedsvurdering og beredskabsplaner, tilsynsrapporter og leverandørkontrakter, og virksomhedens overblik over forsyningskæder og forsyningssikkerhed af kritiske ressourcer.
-
2) At ledelsesorganer skal tilegne sig viden og kundskaber inden for risiko- og sårbarhedsstyring.
-
3) Identifikations- og adgangskontrolpolitikker for beskyttelse mod uautoriseret adgang.
-
4) Udpegelse af personer til at varetage specifikke beredskabsroller.
-
5) Politikker for informationssystemsikkerhed.
-
6) Politikker for og udarbejdelse af risiko- og sårbarhedsvurderinger, som omfatter nyindkøb, projekter og etablering af net- og informationssystemer og anlæg.
-
7) Forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem virksomheden og dens direkte leverandører eller tjenesteudbydere.
-
8) Beredskabsplaner og beredskabsplanlægning for håndtering af hændelser.
-
9) Øvelsesplanlægning, herunder afholdelse af øvelser og træning af beredskabsforanstaltninger.
-
10) Beredskabstræning, cybersikkerhedsadfærds- og sikkerhedsuddannelse af ansatte i virksomheden.
-
11) Kapacitet til at modtage og videreformidle advarsler om trusler.
-
12) Tilmelding til en it-sikkerhedstjeneste.
Virksomheder omfattet af denne lov skal træffe passende foranstaltninger for at opretholde nødvendig fysisk sikring af lokationer og anlæg, der bruges til at levere virksomhedens tjenester, eller hvorfra drift af net- og informationssystemer finder sted.
Stk. 2 Klima-, energi- og forsyningsministeren fastsætter nærmere regler om fysisk sikring efter stk. 1, herunder om følgende: Bekendtgørelse om modstandsdygtighed og beredskab i energisektoren
-
1) Forhindring af, at hændelser indtræffer, under behørig hensyntagen til katastroferisikoreduktions- og klimatilpasningsforanstaltninger.
-
2) Etablering af foranstaltninger til overvågning, detektion og reaktion i forbindelse med uautoriseret adgang til og på anlæg og lokationer.
-
3) Tilstrækkelig fysisk sikring af virksomhedens anlæg og lokationer, herunder kontrolrum og kontrolrummets arbejdsstationer.
-
4) Håndtering af hændelser og genopretning efter hændelser.
-
5) Medarbejdersikkerhedsstyring.
Virksomheder omfattet af denne lov skal foretage nødvendig planlægning og træffe passende cybersikkerhedsforanstaltninger for at sikre beskyttelsen af net- og informationssystemer, der bruges til at levere virksomhedens tjenester.
Stk. 2 Klima-, energi- og forsyningsministeren fastsætter efter forhandling med ministeren for samfundssikkerhed og beredskab nærmere regler for cybersikkerhedsforanstaltninger efter stk. 1, herunder om følgende: Bekendtgørelse om modstandsdygtighed og beredskab i energisektoren
-
1) Forvaltning af net- og informationssystemer og passende teknisk sikkerhed til beskyttelse af enheder med adgang til virksomhedens netværk.
-
2) Etablering af netværks- og infrastruktursikkerhed, herunder principper for netværksarkitektur og -topologi med henblik på at minimere risici for virksomhedens net- og informationssystemer.
-
3) Sikkerhedskrav til geografisk placering af drift af net- og informationssystemer.
-
4) Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer.
-
5) Backupstyring og genopretning af net- og informationssystemer til sikring af driftskontinuitet for leveringen af tjenesten.
-
6) Etablering af logning til at understøtte alarmer, efterforskningsarbejde, hændelseshåndtering og monitorering af uregelmæssigheder i net- og informationssystemer.
-
7) Etablering af procedurer for løbende kontrol af cybersikkerheden i og omkring net- og informationssystemer.
-
8) Brug af sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer.
-
9) Brug af kryptering og politikker og procedurer, der skal understøtte sikkerheden og fortroligheden af net- og informationssystemer, der er kritiske for leveringen af virksomhedens tjenester.
-
10) Brug af multifaktorautentificering eller kontinuerlig autentificering og adgangsbeskyttelse til sikring mod uautoriseret adgang til virksomhedernes net- og informationssystemer.
-
11) Foranstaltninger til forebyggelse og håndtering af hændelser.
Klima-, energi- og forsyningsministeren kan efter forhandling med ministeren for samfundssikkerhed og beredskab fastsætte regler om, at virksomheder skal anvende særlige ikt-produkter, -tjenester og -processer, der er udviklet af virksomheden eller indkøbt fra tredjeparter, og som er certificeret i henhold til en europæisk cybersikkerhedscertificeringsordning, for at påvise overensstemmelse med bestemte krav i § 8, stk. 1, eller i regler om krav til foranstaltninger fastsat i medfør af § 8, stk. 2.
Klima-, energi- og forsyningsministeren fastsætter regler om ministerens og Energinets varetagelse af koordinerende planlægningsmæssige og operative opgaver vedrørende beredskab, jf. §§ 6-8. Bekendtgørelse om modstandsdygtighed og beredskab i energisektoren
Klima-, energi- og forsyningsministeren kan i en beredskabssituation omfattende sikkerhedsrelaterede hændelser fastsætte og udmelde sektorberedskabsniveauer for hele energisektoren eller en eller flere delsektorer.
Stk. 2 Klima-, energi- og forsyningsministeren kan i en beredskabssituation omfattende sikkerhedsrelaterede hændelser fastsætte og pålægge sektorberedskabsforanstaltninger for hele energisektoren, delsektorer, en eller flere virksomheder og bestemte anlæg.
Stk. 3 Klima-, energi- og forsyningsministeren kan i en beredskabssituation bestemme, at de i stk. 2 nævnte foranstaltninger og andre foranstaltninger, der skal foretages efter loven eller regler udstedt i medfør af loven, midlertidigt skal intensiveres og suppleres med yderligere foranstaltninger for at sikre en hurtig, koordineret og prioriteret krisehåndtering, herunder gennemførelse af myndighedernes beslutninger i den nationale krisehåndtering.
Stk. 4 Energinet kan i en beredskabssituation omfattende sikkerhedsrelaterede hændelser i særlige tilfælde, hvor klima-, energi- og forsyningsministeren ikke kan fastsætte og udmelde sektorberedskabsniveauer og foranstaltninger efter stk. 1-3, varetage opgaven på ministerens vegne.