Virksomheder omfattet af denne lov skal foretage nødvendig planlægning og træffe passende cybersikkerhedsforanstaltninger for at sikre beskyttelsen af net- og informationssystemer, der bruges til at levere virksomhedens tjenester.
Stk. 2 Klima-, energi- og forsyningsministeren fastsætter efter forhandling med ministeren for samfundssikkerhed og beredskab nærmere regler for cybersikkerhedsforanstaltninger efter stk. 1, herunder om følgende: Bekendtgørelse om modstandsdygtighed og beredskab i energisektoren
-
1) Forvaltning af net- og informationssystemer og passende teknisk sikkerhed til beskyttelse af enheder med adgang til virksomhedens netværk.
-
2) Etablering af netværks- og infrastruktursikkerhed, herunder principper for netværksarkitektur og -topologi med henblik på at minimere risici for virksomhedens net- og informationssystemer.
-
3) Sikkerhedskrav til geografisk placering af drift af net- og informationssystemer.
-
4) Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer.
-
5) Backupstyring og genopretning af net- og informationssystemer til sikring af driftskontinuitet for leveringen af tjenesten.
-
6) Etablering af logning til at understøtte alarmer, efterforskningsarbejde, hændelseshåndtering og monitorering af uregelmæssigheder i net- og informationssystemer.
-
7) Etablering af procedurer for løbende kontrol af cybersikkerheden i og omkring net- og informationssystemer.
-
8) Brug af sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer.
-
9) Brug af kryptering og politikker og procedurer, der skal understøtte sikkerheden og fortroligheden af net- og informationssystemer, der er kritiske for leveringen af virksomhedens tjenester.
-
10) Brug af multifaktorautentificering eller kontinuerlig autentificering og adgangsbeskyttelse til sikring mod uautoriseret adgang til virksomhedernes net- og informationssystemer.
-
11) Foranstaltninger til forebyggelse og håndtering af hændelser.