Lov om styrket beredskab i energisektoren § 8

Det følger af elforsyningslovens § 85 c, at visse virksomheder med bevilling eller tilladelse til produktion af el skal have et it-beredskab. Det samme gælder for Energinet og dennes helejede datterselskaber, samt virksomheder der yder balancering af elsystemet.

It-beredskabsbekendtgørelsen stiller blandt andet krav til virksomhedernes it-beredskabsplanlægning, jf. § 14. Virksomhederne skal således identificere forsyningskritiske it-systemer samt afhængigheden af andre systemer, beskrive forebyggende foranstaltninger til at imødegå utilsigtede it-hændelser, herunder muligheden for segmentering af it-infrastruktur og alternative driftsformer. Virksomheder, der anvender fjernadgang til forsyningskritisk it, skal have en plan for, hvordan angreb på disse systemer opdages og håndteres. Derudover skal bl.a. den interne ansvarsplacering under krisestyring, ansvaret for systemansvar for forsyningskritiske it-systemer, kommunikation med Energinet eller Energistyrelsen og virksomhedens it-sikkerhedstjeneste beskrives. Planerne skal endvidere beskrive procedurer for alternativ drift, genopretning af forsyningskritiske it-systemer, planer for dokumentation og opfølgning på hændelser samt beskrivelse af den operative ansvarsdeling mellem virksomheden og dens samarbejdsparter. It-beredskabsplanerne skal herudover være en del af virksomhedens samlede beredskabsplanlægning.

Ifølge it-beredskabsbekendtgørelsens § 23, stk. 1, skal virksomhederne sikre, at den fysiske opbevaring af forsyningskritiske it-systemer beskyttes i forhold til deres kritikalitet for forsyningen på nationalalt, regionalt eller lokalt niveau. Virksomhederne skal desuden sikre forsyningskritiske systemer mod uautoriseret adgang, jf. § 23, skt. 1.

Det følger af it-beredskabsbekendtgørelsens § 25, at virksomhederne skal være tilmeldt en proaktiv it-sikkerhedstjeneste, der yder vejledning og mitigering af sårbarheder samt giver informationer og varsler om it-sikkerhedstrusler. Derudover skal de mest forsyningskritiske virksomheder være tilmeldt en reaktiv it-sikkerhedstjeneste, der bistår virksomheden ved nedbrud eller angreb på it-systemer. Hertil kommer at virksomhederne skal sikre, at oplysninger, der har sikkerhedsmæssig betydning for andre virksomheder i energisektoren, kan viderebringes til disse, samt at oplysninger, der tilvejebringes gennem en it-sikkerhedstjeneste, skal kunne videreformidles til andre virksomheder.

Det følger af olieberedskabslovens § 16, stk. 1, at lagringspligtige virksomheder skal foretage nødvendig planlægning og træffe nødvendige foranstaltninger for at sikre olieforsyningen i beredskabssituationer og andre ekstraordinære situationer. Efter § 16, stk. 3, kan klima-, energi- og forsyningsministeren fastsætte nærmere regler om beredskabsplanlægningen efter stk. 1.

Ifølge olieberedskabsbekendtgørelsens § 16, stk. 1, skal virksomhederne og den centrale lagerenhed sikre, at forsyningskritiske it-systemer beskyttes i forhold til deres kritikalitet. Virksomhederne skal desuden sikre forsyningskritiske it-systemer mod uautoriseret adgang, jf. § 16, skt. 2.

Det følger af den foreslåede § 8, stk. 1, at virksomheder omfattet lovforslaget skal foretage nødvendig planlægning og træffe passende cybersikkerhedsforanstaltninger for at sikre beskyttelsen af net- og informationssystemer, der bruges til at levere virksomhedens tjenester.

Med den foreslåede bestemmelse rammesættes de overordnede krav til virksomhedens cybersikkerhed herunder cyberberedskabsforanstaltninger. De nærmere krav vil blive fastsat i forbindelse med udmøntningen af det foreslåede § 8, stk. 2.

Bestemmelsen vil videreføre gældende ret for så vidt angår hvem kravene til cybersikkerhed vil finde anvendelse på i medfør af elforsyningsloven, gasforsyningsloven, varmeforsyningsloven og undergrundsloven. Bestemmelsen udvider dog samtidig anvendelsesområdet for kravene, idet kravene efter det foreslåede også vil finde anvendelse på samtlige virksomheder omfattet af lovforslaget. De virksomheder, der i medfør af bestemmelsen som noget nyt vil blive omfattet af krav til cybersikkerhed, vil fx være fjernvarmevirksomheder, fjernkølingsvirksomheder, brintvirksomheder, biogasvirksomheder og virksomheder, der udfører forskellige opgaver i el- og gasmarkedet og kommercielle virksomheder i downstream oliesektoren, hvis disse ikke har pligt til at holde olieberedskabslagre.

Det foreslås i § 8, stk. 2, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler om cybersikkerhedsforanstaltninger efter stk. 1. Bemyndigelsen forventes udmøntet i en bekendtgørelse, hvor der vil blive fastsat nærmere regler for de i nr. 1-11 nævnte elementer af cybersikkerhed og cyberberedskab, som beskrevet nedenfor.

Kravene i de regler, der fastsættes i medfør af den foreslåede bestemmelse, kan differentieres i intensitet ift. virksomhedernes niveauinddeling og klassificeringen af virksomhedernes systemer og anlæg jf. de regler der udstedets i medfør af lovens foreslåede § 4, stk. 2. Differentieringen vil således ske ud fra en betragtning om, at en forstyrrelse af særlig kritiske virksomheders tjenester vil have større betydning for samfundet samt ud fra en betragtning om, at der bør være proportionalitet mellem sikkerhedseffekter og omkostninger forbundet med de konkrete krav.

Ved udmøntningen af bemyndigelsesbestemmelsen forventes det, at der vil ske en differentiering af, hvilke virksomheder der skal efterleve de nærmere fastsatte krav, så de mere kritiske virksomheder skal følge flere elementer af kravene.

Klima-, energi- og forsyningsministeren skal fastsætte regler om de stk. 2, nr. 1-11 oplistede emner. Reglerne kan indenfor hvert emne tilpasses, når det måtte være nødvendigt pga. udvikling i trusselsbilledet mod energisektoren og når det vurderes nødvendigt for at imødegå den teknologiske udvikling i energisektoren og cybersikkerheden.

Det foreslås i § 8, stk. 2, nr. 1, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler for cybersikkerhedsforanstaltninger efter stk. 1, herunder om forvaltning af net- og informationssystemer og passende teknisk sikkerhed til beskyttelse af enheder med adgang til virksomhedens netværk.

Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, vil ske implementering af dele af NIS 2-direktivets artikel 21, stk. 2, litra i, hvorefter vigtige og væsentlige enheder skal træffe passende foranstaltninger til forvaltning af aktiver.

Det forventes på baggrund af bestemmelsen, at der vil blive fastsat nærmere regler med krav til virksomheders overblik over deres aktiver, der vil medføre forpligtelser til at etablere og ajourføre et samlet overblik over blandt andet deres net- og informationssystemer, anlæg, tilhørende komponenter samt kritiske afhængigheder mellem disse og eventuelle samarbejdspartnere.

Det forventes endvidere, at der vil blive fastsat nærmere regler om, at virksomhederne skal etablere den nødvendige sikring af de identificerede aktiver, samt om at sikkerhedsniveaet opretholdes i hele aktivets levetid fra erhvervelse til dekommissionering gennem blandt andet risikobaseret styring af opdateringer af software.

Endvidere forventes der at blive fastsat regler om, at virksomheder skal have et ajourført overblik over virksomhedens internetvendte enheder, brugerkonti med privilegerede rettigheder og informationsstrømme som understøtter virksomhedernes levering af deres tjenester.

Det foreslås i § 8, stk. 2, nr. 2, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler for cybersikkerhedsforanstaltninger efter stk. 1, herunder om etablering af netværks- og infrastruktursikkerhed samt principper for netværksarkitektur og -topologi med henblik på at minimere risici for virksomhedens net- og informationssystemer.

Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, vil ske implementering af NIS 2-direktivets artikel 21, stk. 2, litra c, hvorefter vigtige og væsentlige enheder træffer passende foranstaltninger for driftskontinuitet. Den foreslåede bestemmelse vil desuden danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, kan ske implementering af artikel 21, stk. 2, litra g, som vedrører grundlæggende cyberhygiejnepraksisser. De regler, der forventes udformet i bekendtgørelsen på baggrund af den foreslåede § 8, stk. 2, nr. 2, vil gå videre end NIS 2-direktivet, idet der forventes at blive stillet krav om, at virksomheder skal etablere bl.a. netværkssegmentering.

Det forventes, at der på baggrund af bestemmelsen vil blive fastsat nærmere regler med krav til virksomhedernes procedurer for opbygning af netværksinfrastruktur, der vil muliggøre det nødvendige sikkerhedsniveau i forhold til netværkets kritikalitet for leveringen af tjenesten. Det forventes derudover, at der vil blive fastsat regler med krav om, at virksomhedernes netværksinfrastruktur skal muliggøre effektiv monitorering.

På baggrund af bestemmelsen forventes det endvidere, at der vil blive fastsat regler om, at virksomheder skal etablere passende tekniske foranstaltninger i netværksarkitekturen, med henblik på at netværksinfrastrukturen opdeles i forskellige netværkssegmenter og med zoner mellem netværk. Opdelingen af netværksinfrastrukturen i netværkssegmenter skal særligt yde beskyttelse af virksomhedens industrielle kontrolsystemer. Den foreslåede ordning vil bl.a. skulle sikre, at datakommunikation mellem netværk kan begrænses og kontrolleres. Ligeledes vil der på baggrund af bestemmelsen blive fastsat nærmere regler om segmentering af netværk på en måde, der muliggør relevante sikkerhedstiltag inden for de forskellige segmenter.

Ved udmøntningen af bemyndigelsesbestemmelsen vil der blive fastsat nærmere regler om etablering af fysiske eller logiske undernetværk såsom demilitariserede netværkszoner (DMZ), således at datatrafik fra usikre netværk eller administrative netværk ikke deler udstyr med eller terminerer direkte i netværk med fx industrielle kontrolsystemer. På den baggrund forventes der endvidere fastsat nærmere regler hvorefter netværksarkitekturen skal opbygges på en måde, der sikrer barrierer mellem produktionsmiljøer og øvrige miljøer, herunder, men ikke afgrænset til, test- og udviklingsmiljøer.

Det foreslås i § 8, stk. 2, nr. 3, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler for cybersikkerhedsforanstaltninger efter stk. 1, herunder om sikkerhedskrav til geografisk placering af drift af net- og informationssystemer.

Formålet med bestemmelsen er, at kritiske systemer af betydning for energiforsyningen vil blive underlagt EU/EØS-jurisdiktion, og at der ikke vil kunne skabes afhængigheder, som kan sætte energiforsyningen under pres, fx i tilfælde af en ændret geopolitisk situation. Bestemmelsen vil således ikke indebære et generelt forbud mod outsourcing af opgaver eller brug af eksempelvis cloud- og AI-tjenester.

Det foreslås på baggrund af bestemmelsen, at der vil blive fastsat nærmere regler om, at outsourcing til leverandører skal ske på baggrund af en risikovurdering, der iagttager væsentlige risici forbundet herved, og inddrager geopolitiske, organisatoriske og fysiske risici samt cybersikkerhedsrisici. Som led heri foreslås det, at virksomhederne bl.a. vil skulle forholde sig til efterretningstjenesternes trusselsvurderinger.

Der forventes bl.a. at blive fastsat nærmere regler med krav om, at anlæg og net- og informationssystemer med betydning for leveringen af tjenesten, herunder behandling af data, vil skulle være placeret i EU/EØS eller i et tredjeland, som EU-Kommissionen har truffet tilstrækkelighedsafgørelse om, jf. artikel 45 i forordning 2016/679/EU (databeskyttelsesforordningen).

Det forventes på baggrund af bestemmelsen, at der vil blive fastsat nærmere regler om, at virksomheders med kontrolrum og nødkontrolrum der er placeret uden for dansk territorium, men bruges til overvågning og drift af dansk energiinfrastruktur omfattet af dette lovforslag, skal have mulighed for, i tilfælde af en hændelse, at relokere til et kontrolrum beliggende på dansk territorium med komplet driftsfunktionalitet.

Der forventes endvidere, at der vil blive fastsat nærmere regler om hvorfra, der kan ydes service og vedligehold til virksomheder omfattet af lovforslaget samt regler om hvorfra, der må kunne opnås fjernadgang til net- og informationssystemer med betydning for leveringen af tjenesten.

Det foreslås i § 8 stk. 2, nr. 4, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler for cybersikkerhedsforanstaltninger efter stk. 1, herunder om sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer.

Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, vil ske implementering af dele af NIS 2-direktivets artikel 21, stk. 2, litra e, hvorefter vigtige og væsentlige enheder træffer passende foranstaltninger til sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer.

Det forventes på baggrund af bestemmelsen, at der blandt andet vil blive fastsat nærmere regler med passende krav om, at virksomheder skal sørge for at opretholde et passende sikkerhedsniveau og sikkerhedsprocedurer i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer. Der vil eksempelvis kunne fastsættes krav, der vil forpligte virksomheder til at etablere relevante sikkerhedsforanstaltninger, i deres net- og informationssystemers fulde levetid, herunder i projektfaser.

Dette vil desuden indebære, at der ville skulle foretages vurderinger af, om der opretholdes det nødvendige sikkerhedsniveau. Ligeledes forventes der fastsat nærmere regler, hvorefter virksomhederne løbende skal vurdere sikkerhedsrisici og iværksætte foranstaltninger til at mitigere risici. Dette gælder fx ved sammenlægning eller opkøb af virksomheder, ved udbud og licitationer, ved indkøb af net- og informationssystemer, ændringer i systemløsninger eller i forbindelse med anlægsprojekter.

Derudover forventes der ved udmøntningen af bestemmelsen fastsat krav om, at virksomheder skal sikre, at sikkerhed er integreret i udviklingsdesignet fra begyndelsen, samt at der sker tilstrækkelig adskillelse mellem net- og informationssystemer, der har betydning for leveringen af tjenesten, og øvrige miljøer såsom udviklings- og testmiljøer. Der vil således blive fastsat nærmere regler om, hvorvidt denne adskillelse af miljøer skal være fysisk eller logisk.

Det foreslås i § 8 stk. 2, nr. 5, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler for cybersikkerhedsforanstaltninger efter stk. 1, herunder om backup-styring og genopretning af net- og informationssystemer til sikring af driftskontinuitet for leveringen af tjenesten.

Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, vil ske implementering af dele af NIS 2-direktivets artikel 21, stk. 2, litra c, hvorefter vigtige og væsentlige enheder træffer passende foranstaltninger om driftskontinuitet såsom backup-styring og reetablering efter en katastrofe. Med bestemmelsen anvendes muligheden efter NIS 2-direktivets artikel 21, stk. 2, litra b, for at stille krav om, at enheder skal etablere logning.

Det forventes på baggrund af bestemmelsen, at der vil blive fastsat regler med krav til virksomhedernes tolerancemål i relation til genopretning og driftskontinuitet for de identificerede net- og informationssystemer. Reglerne vil eksempelvis indeholde krav til virksomhedernes udarbejdelse af tekniske genoprettelsesplaner, samt til virksomhedernes test af, om genopretning er mulig og fungerer efter hensigten på baggrund af backup-kopien.

Der forventes endvidere fastsat nærmere regler om, at virksomhederne vil skulle kunne relokere til fuldt funktionsdygtige nødkontrolrum, der oppebærer samme redundante driftskapacitet og sikkerhedsniveau for fysisk sikring og cybersikkerhed som kontrolrum, der benyttes i daglig drift, herunder at fuldt kompetent personale relokeres og uden forsinkelse kan starte op og varetage tilsvarende opgaveudførelse. I denne sammenhæng vil der kunne blive fastsat nærmere regler om, at virksomheden skal iagttage behovet for redundante administrative arbejdspladser og cybersikkerhed i forbindelse med, at opgaveudførsel er flyttet. Dette vil bl.a. indebære, at sikringsplaner tager højde for både opretholdelse af operationel nøddrift og sikkerhed for forskellige personalegrupper.

Der forventes endvidere fastsat nærmere regler, hvorefter virksomheder skal kunne etablere foranstaltninger, der muliggør dekobling af net- og informationssystemer fra internettet, eller som muliggør isolering af internt kontrollerede netværk, eller at virksomheden på anden vis kan inddæmme eller afslutte datakommunikation eller afbryde adgang til net- og informationssystemer.

Det foreslås i § 8 stk. 2, nr. 6, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere for cybersikkerhedsforanstaltninger efter stk. 1, herunder regler om etablering af logning til at understøtte alarmer, efterforskningsarbejde, hændelseshåndtering og monitorering af uregelmæssigheder i net- og informationssystemer.

Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, vil ske implementering af dele af NIS 2-direktivets artikel 21, stk. 2, litra b, hvorefter vigtige og væsentlige enheder træffer passende foranstaltninger til håndtering af hændelser. Den foreslåede bestemmelse udnytter således den mulighed i NIS 2-direktivet rummer, hvorefter der direkte vil blive stillet krav om, at virksomhederne skal etablere logning.

Det forventes på baggrund af bestemmelsen, at der vil blive fastsat nærmere regler om logning og monitorering, som del af virksomheders cyberberedskab. Med bestemmelsen vil der således blive fastsat regler, som vil sikre, at virksomheders logning og monitorering bidrager til effektiv hændelseshåndtering og muliggør automatiserede tiltag med henblik på at opdage og reagere på anormal aktivitet, uanset om der er tale om utilsigtet eller ondsindet aktivitet samt begrænse konsekvenser heraf.

Derudover forventes der at blive fastsat regler, hvorefter virksomheder skal træffe passende foranstaltninger, der sikrer visibilitet i netværksinfrastrukturen og gør virksomhederne i stand til at opdage og reagere på anormal aktivitet i net- og informationssystemer.

På den baggrund forventes det således, at der vil blive fastsat regler, som påkræver at virksomheder håndterer logdata forsvarligt og på en måde, der opretholder integriteten og fortroligheden af logdata med henblik på, at disse kan benyttes i forbindelse med bl.a. efterforskning, dokumentation og evaluering. Ved udmøntningen af bestemmelsen vil der endvidere blive fastsat regler, som vil sikre, at brugeraktivitet logges med det formål at identificere uautoriseret adgang til virksomhedens netværk og net- og informationssystemer. Det følger heraf, at logdata skal beskyttes mod uautoriseret adgang.

Ved de nærmere regler om logning forventes der at blive fastsat regler, hvorefter virksomheden vil skulle etablere logning på en måde, der sikrer alarmer for net- og informationssystemer med betydning for leveringen af tjenesten. Ud fra en risikobaseret tilgang skal logning kunne fungere på tværs af virksomhedens samlede aktiviteter uagtet net- og informationssystemernes placering, og foranstaltningerne vil skulle sikre, at alarmer kan modtages. Der vil også på baggrund af bemyndigelsesbestemmelsen kunne fastsættes nærmere regler, hvorefter mønstre i events kan detekteres. Dette kan fx være eksterne scanningsaktiviteter på virksomhedens internetvendte løsninger, kritisk portkommunikation og ip-adresser samt ændringer i industrielle kontrolsystemers systemopsætning.

Det foreslås i § 8 stk. 2, nr. 7, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler for cybersikkerhedsforanstaltninger efter stk. 1, herunder om etablering af procedurer for løbende kontrol af cybersikkerheden i og omkring net- og informationssystemer.

Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, vil ske implementering af dele af NIS 2-direktivets artikel 21, stk. 2, litra f og g, hvorefter vigtige og væsentlige enheder skal have politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici og skal have grundlæggende cyberhygiejnepraksisser.

På baggrund af bestemmelsen vil der blive fastsat nærmere regler om, at virksomhederne skal etablere politikker og procedurer for kontrol af virksomhedens tekniske foranstaltninger til at opretholde modstandsdygtighed over for cybertrusler. Desuden der vil blive fastsat regler om krav, hvorefter virksomhederne etablerer politikker og procedurer for vurdering af effektiviteten af virksomhedens tekniske foranstaltninger og styring af cybersikkerhedsrisici. Ved udmøntningen af bemyndigelsesbestemmelsen forventes det, at der vil blive fastsat nærmere regler om, at virksomheder eksempelvis skal implementere årshjulsprocedurer til systematisk at foretage sanering og vedligehold af sikkerheden i net- og informationssystemer. Således implementerer de nærmere fastsatte regler sammen med den foreslåede § 6, stk. 2, nr. 6, NIS2-direktivets artikel 21, stk. 2, litra f.

Desuden forventes det, at der vil blive fastsat krav om, at der er overensstemmelse mellem virksomhedernes overordnede beredskabsplan, og at der implementeres procedurer til systematisk at gennemføre og dokumentere genopretningstest.

Herudover forventes det på baggrund af bestemmelsen, at der vil blive fastsat nærmere regler om, at virksomheder skal have de nødvendige procedurer for etableringen af sikkerhedsforanstaltninger på mobile enheder såsom procedurer for opdatering og anvendelse af antivirusbeskyttelse. Der vil endelig blive fastsat regler, som vil sikre, at der skal etableres tilstrækkelig fysisk sikring ved komponenter, der giver styringsadgang til leveringen af tjenesten. Dette vil eksempelvis betyde, at mobile enheder og computere der giver styringsadgang til kontrolrumsfunktioner, skal sikres på lignende vilkår som kontrolrummet.

Det foreslås i § 8 stk. 2, nr. 8, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler for cybersikkerhedsforanstaltninger efter stk. 1, herunder om brug af sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer.

Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, vil ske implementering af dele af NIS 2-direktivets artikel 21, stk. 2, litra j, hvorefter vigtige og væsentlige enheder skal træffe passende foranstaltninger om brug af løsninger med sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt i enheden, hvor det er relevant.

Det forventes, at der vil blive fastsat nærmere regler om beskyttelse af informationer med henblik på at opretholde fortrolighed, integritet og tilgængelighed, herunder at informationer, i transit eller lagret og uanset format fx trykt, elektronisk eller mundtligt, sikres med passende tekniske foranstaltninger. Det foreslås, at der vil blive fastsat regler, hvorefter virksomheden skal udarbejde procedurer og tilvejebringe en sikkerhedsbevidst kultur, så behandling af net- og informationssystemer sker forsvarligt.

Det forventes endvidere, at der vil blive fastsat regler med krav om, at virksomheder skal etablere nødkommunikation og sikre, at kommunikation kan opretholdes, samt at virksomheder skal kunne varetage sektor- og myndighedskommunikation i krisesituationer eller ved øvrige hændelser, hvor denne foranstaltning vil være relevant.

Der forventes samtidig, at der vil blive fastsat regler, som stiller krav om, at virksomheder skal anvende sikret tale-, video- og tekstkommunikation og nødkommunikationssystemer, der i relevant omfang er sikret ved kryptografi eller kryptering.

Det foreslås i § 8 stk. 2, nr. 9, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler for cybersikkerhedsforanstaltninger efter stk. 1, herunder om brug af kryptering samt politikker og procedurer, der skal understøtte sikkerheden og fortroligheden af net- og informationssystemer, der er kritiske for leveringen af virksomhedens tjeneste.

Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, vil ske implementering af NIS 2-direktivets artikel 21, stk. 2, litra h, hvorefter vigtige og væsentlige enheder skal have politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering.

Det forventes på baggrund af bestemmelsen, at der vil blive fastsat regler nærmere regler for anvendelse af kryptografi og tekniske krav for adgang til net- og informationssystemer, herunder krav om, at virksomhederne, ud fra en risikobaseret tilgang, anvender kryptografi og krypteringsteknikker til at etablere forskellige beskyttelsesformål for kritisk information og kommunikation, der bl.a. skal sikre fortrolighed, integritet og autenticitet

Det forventes, at der vil blive fastsat regler, hvorefter at virksomhederne skal etablere tekniske foranstaltninger som fx sikkerhedsprotokoller, samt procedurer for forvaltning af administration af eksempelvis nøgler og certifikater. Dette vil bl.a. sikre backup af data.

Endvidere kan der fastsættes nærmere regler om, at datatrafik på virksomhedens trådløse netværk skal være krypteret med tidssvarende tekniske protokoller og opdaterede kryptografiske løsninger.

Det foreslås i § 8 stk. 2, nr. 10, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler om multifaktorautentificering eller kontinuerlig autentificering og adgangsbeskyttelse til sikring mod uautoriseret adgang til virksomhedernes net- og informationssystemer.

Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, vil ske implementering af dele af NIS 2-direktivets artikel 21, stk. 2, litra i og j, hvorefter vigtige og væsentlige enheder skal træffe passende foranstaltninger vedrørende adgangskontrolpolitikker og brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering.

Det forventes, at der vil blive stillet krav til begrænsning af adgang, herunder fjernadgang, til lokationer, kontrolrums- og serverrumsfaciliteter samt for adgang til net- og informationssystemer.

Yderligere forventes det, at der vil blive fastsat regler med krav om, at den fysiske sikring af anlæg, herunder sikringen af anlæg med netværksadgang, jf. de foreslåede § 7, stk. 2, nr. 2-3, gør brug af elektronisk adgangsstyring, herunder autentificering og multifaktorgodkendelsesløsninger. Dette kan fx være en kombination af adgangskort og -kode og aktivitetsbestemte adgangskoder.

Ved de nærmere regler om beskyttelse af tjenesten mod uautoriseret adgang, forventes der fastsat regler om, at virksomheden skal sikre at der sker identifikation og autentifikation af identiteten, i hele brugerens livscyklus. Det forventes desuden, at der vil blive fastsat regler om, at virksomheder skal sikre at den elektroniske adgangsstyring skal muliggøre, at virksomheden kan modtage alarmer ved anormal aktivitet.

Det forventes, at der vil blive fastsat regler, hvorefter virksomheden skal sikre klart definerede regler for, hvilke medarbejdere eller medarbejdergrupper, der kan tilgå forskellige dele af et anlæg eller net- og informationssystemer. Dette vil indebære, at virksomhederne skal have procedurer for, hvordan adgange og fjernadgange til kritiske anlæg og net- og informationssystemer tildeles, ændres og lukkes for både virksomhedens egne medarbejdere såvel som for gæster, konsulenter, eksterne samarbejdspartnere og leverandører. Der forventes endeligt fastsat nærmere regler om, at fjernadgang til net- og informationssystemer med betydning for leveringen af tjenesten ikke må ske fra offentligt tilgængeligt Wi-Fi.

Det foreslås i § 8 stk. 2, nr. 11, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler for cybersikkerhedsforanstaltninger efter stk. 1, herunder om foranstaltninger til forebyggelse og håndtering af hændelser.

Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, vil ske implementering af dele af NIS 2-direktivets artikel 21, stk. 2, litra b, hvorefter vigtige og væsentlige enheder skal træffe passende foranstaltninger til håndtering af hændelser.

Det forventes, at der vil blive fastsat nærmere regler om, at virksomheder skal sikre en koordineret proces for rapportering af svagheder i virksomhedens cybersikkerhed. Det forventes endvidere, at der vil blive fastsat regler for håndtering af cyberhændelser og utilsigtede hændelser, der kan påvirke sikkerheden af net- og informationssystemer med betydning for leveringen af tjenesten.

Dette omfatter brug af bl.a. logdata til fx detektion af anormal og uautoriseret aktivitet i net- og informationssystemer. Ved udmøntningen af bestemmelsen forventes det, at der vil blive fastsat nærmere regler, hvorefter virksomheden skal kunne reagere på alarmer eller hændelser uanset, hvor i organisation en hændelse opstår, herunder hvis en hændelse opstår hos en samarbejdspartner, der har adgang til virksomhedens net- og informationssystemer. I sådanne tilfælde skal virksomheden være i stand til at foretage mitigerende foranstaltninger såsom frakobling af udstyr og afbrydelse af leverandøradgange.

Det forventes, at der vil blive fastsat regler, hvorefter virksomheden skal indføre passende forebyggende foranstaltninger til at minimere utilsigtet påvirkning af net- og informationssystemer og til at undgå hændelser, der forårsager tab af visibilitet og kontrol med leveringen af tjenesten.

Det forventes desuden, at der vil blive fastsat regler om, at der sikres overensstemmelse mellem sikkerhedstiltag hos virksomheden og samarbejdspartnere med adgang til net- og informationssystemer med betydning for leveringen af tjenesten.

Endelig forventes det, at der vil blive fastsat regler, hvorefter virksomheden skal have indgået aftaler om ansvar og kommunikation i forbindelse med håndtering af cyberhændelser. Ligeledes vil der kunne fastsættes regler, som sikrer, at der kan foretages rapportering af hændelser efter en ensartet metode på tværs af virksomheden, herunder at der indhentes rapportering om hændelser af betydning for virksomhedens leveringen af tjenesten fra samarbejdspartnere.