Høring over udkast til bekendtgørelser om sikkerhed og beredskab i telesektoren (L 142)

Ministeriet for Samfundssikkerhed og Beredskab har sendt fire udkast til nye bekendtgørelser i høring. Disse bekendtgørelser skal udmønte den nye lov om sikkerhed og beredskab i telesektoren (L 142), som samler implementeringen af EU's NIS2-direktiv og eksisterende nationale regler for telesektoren i én lov. Målet er at opretholde og styrke det høje sikkerhedsniveau i Danmark.

De nye regler erstatter den nuværende lov om sikkerhed i net og tjenester (lovbekendtgørelse nr. 152 af 1. februar 2021) og de bekendtgørelser, der er udstedt under den. De fire nye bekendtgørelser forventes at træde i kraft den 1. juli 2025.

Udkast til bekendtgørelse om risikostyring og sikkerhed i telesektoren

Denne bekendtgørelse stiller krav til alle teleudbydere om at udføre og dokumentere risikovurderinger for deres net- og informationssystemer. For væsentlige og vigtige teleudbydere skærpes kravene yderligere:

• Sikkerhedspolitik: Skal udarbejdes i overensstemmelse med anerkendte standarder som DS/ISO/IEC 27001.
• Risikoanalyse: Politik for risikoanalyse skal følge standarder som DS/ISO/IEC 27005.
• Sikkerhedsforanstaltninger: Der stilles specifikke krav til bl.a. logning, overvågning, adgangskontrol, backup, nødstrøm, håndtering af hændelser og sårbarheder samt sikkerhed i leverandørkæden.
• Myndighedspåbud: Styrelsen for Samfundssikkerhed får beføjelse til at påbyde en lang række konkrete foranstaltninger, f.eks. udskiftning af forældet udstyr, kryptering, og styrket kontrol med outsourcing.

Udkast til bekendtgørelse om beredskab og krisestyring i telesektoren

Bekendtgørelsen fokuserer på at sikre kontinuitet i telesektoren under kriser. Væsentlige og vigtige teleudbydere skal:

• Udarbejde krisestyringsplaner: Planerne skal beskrive organisering, aktivering, håndtering og kommunikation i krisesituationer og skal revideres mindst årligt.
• Afholde øvelser: Der skal afholdes en intern beredskabsøvelse mindst én gang om året.
• Prioritering: Sikre at beredskabsaktører (f.eks. politi, forsvar) får forrang til telefoni og datatrafik i krisesituationer.
• Beredskabsforbindelser: Etablere og vedligeholde særlige dataforbindelser til beredskabsmæssige formål.

Udkast til bekendtgørelse om oplysnings- og underretningspligter

Dette udkast fastsætter klare regler for, hvornår og hvordan teleudbydere skal informere myndighederne.

• Underretning om hændelser: Teleudbydere skal underrette Styrelsen for Samfundssikkerhed om væsentlige hændelser. En hændelse anses bl.a. for væsentlig, hvis den overstiger 100.000 berørte brugertimer eller påvirker kritiske samfundsfunktioner.
• Straksunderretning: Ved aktivering af det interne beredskab skal der ske straksunderretning telefonisk til styrelsen, efterfulgt af løbende situationsrapporter mindst hver anden time.
• Aftaler om kritisk udstyr: Væsentlige teleudbydere skal underrette styrelsen, før de indleder forhandlinger om aftaler vedrørende kritiske netkomponenter.
• Undtagelse fra aktindsigt: Oplysninger og underretninger til styrelsen er undtaget fra aktindsigt efter offentlighedsloven og forvaltningsloven for at beskytte følsomme sikkerhedsinformationer.

Udkast til bekendtgørelse om sikkerhedsgodkendelse af personer

For at beskytte mod insidertrusler indføres der krav om sikkerhedsgodkendelse for personale i væsentlige teleudbydere med adgang til kritiske funktioner.

• Omfattet personkreds: Personer, der arbejder med håndtering af væsentlige hændelser, driftskontinuitet, eller har adgang til at ændre i kritiske systemer, skal sikkerhedsgodkendes til FORTROLIGT.
• Højere sikkerhedsniveau: Ledelsesmedlemmer, personer med ansvar for risikoanalyse og personale med adgang til udstyr for lovpligtig aflytning skal godkendes til HEMMELIGT.
• Proces: Politiets Efterretningstjeneste (PET) foretager sikkerhedsundersøgelsen, og godkendelsen er gyldig i op til 10 år.
• Overgangsregel: Eksisterende sikkerhedsgodkendelser udstedt under den gamle bekendtgørelse (BEK nr. 260 af 22/02/2021) forbliver gyldige, indtil de udløber.