Kritiske sårbarheder i Cisco ASA og FTD udnyttes i aktive angreb
Kritiske sårbarheder i Cisco-netværksudstyr
Cisco har den 25. september 2025 udsendt flere sikkerhedsadvarsler, der adresserer i alt tre sårbarheder i softwaren til Cisco ASA (Adaptive Security Appliance) og FTD (Firepower Threat Defense). To af disse sårbarheder vurderes som værende kritiske.
Forbindelse til ArcaneDoor-kampagnen
Cisco advarer om, at sårbarhederne allerede bliver udnyttet aktivt i konkrete angreb. Selskabet vurderer med høj sikkerhed, at den nuværende bølge af angreb kan tilskrives den samme trusselsaktør, som stod bag den sofistikerede ArcaneDoor-kampagne, der blev afsløret i begyndelsen af 2024. Dette peger på en vedvarende trussel mod netværksinfrastruktur fra avancerede aktører.
Oversigt over trusselsbilledet
Kategori
Detaljer
Berørte systemer
Cisco ASA og Cisco FTD
Antal sårbarheder
3 (heraf 2 kritiske)
Sikkerhedsniveau
Kritisk - udnyttelse konstateret i det fri
Tilknyttet aktør
Samme gruppe som bag ArcaneDoor (2024)
Anbefalede handlinger og forebyggelse
Cisco opfordrer alle berørte organisationer til at handle hurtigt for at sikre deres infrastruktur:
Compromise Assessment: Gennemfør en grundig undersøgelse af alle interneteksponerede enheder for at identificere eventuelle tegn på eksisterende kompromittering.
Omgående opdatering: Installer de relevante sikkerhedsopdateringer fra Cisco hurtigst muligt.
Overvågning: Hold skarpt øje med usædvanlig trafik eller uforklarlige konfigurationsændringer på netværksenhederne.
Dette lovforslag, 'Lov om sikkerhed og beredskab i telesektoren', har til formål at implementere Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 (NIS 2-direktivet) for telesektoren i Danmark. Samtidig videreføres og styrkes den eksisterende nationale regulering for at sikre et fortsat højt niveau af informationssikkerhed og beredskab i en sektor, der er afgørende for et digitaliseret samfund. Loven ophæver den nuværende 'lov om sikkerhed i net og tjenester' og introducerer nye regler samt præciserer eksisterende bestemmelser.
Anvendelsesområde og definitioner (Kapitel 1)
Loven finder anvendelse for , der med et kommercielt formål stiller offentlige elektroniske kommunikationsnet eller offentligt tilgængelige elektroniske kommunikationstjenester til rådighed i Danmark. Kommuner og regioner er dog undtaget. Lovforslaget definerer en række centrale begreber, herunder:
2025-042: Critical Vulnerability in Cisco Secure Email and Web Manager
En kritisk sårbarhed rammer centrale Cisco-produkter, og der findes på nuværende tidspunkt ingen rettelse til fejlen.
2025-039: High Severity Vulnerability in FortiOS
Fortinet har udsendt en vigtig sikkerhedsopdatering til FortiOS efter fundet af en alvorlig sårbarhed.
2025-037: Multiple Vulnerabilities in F5 Products
It-virksomheden F5 har afsløret et omfattende hackerangreb, hvor statsstøttede aktører har fået adgang til kildekode og fortrolige oplysninger om sårbarheder.
Kritisk sårbarhed udnyttes aktivt
Styrelsen for Samfundssikkerhed opfordrer danske organisationer til straks at opdatere systemer, der anvender React Server Components, efter fundet af en kritisk sårbarhed.
2025-034: Critical Vulnerability in SolarWinds Web Help Desk
SolarWinds har udsendt en vigtig sikkerhedsrettelse til Web Help Desk for at lukke en sårbarhed, der omgår tidligere patches.
teleudbydere
Beredskabssituationer og andre ekstraordinære situationer: Situationer med risiko for større ulykker, katastrofer eller hændelser, herunder krise eller krig, der kan påvirke udbuddet af net og tjenester.
Cybertrussel: Enhver potentiel omstændighed, begivenhed eller handling, der kan skade eller forstyrre net- og informationssystemer.
Hændelse: En begivenhed, der bringer tilgængelighed, autenticitet, integritet eller fortrolighed af data eller tjenester i fare.
Net- og informationssystem: Omfatter elektroniske kommunikationsnet, anordninger til automatisk behandling af digitale data og digitale data til deres drift.
Teleudbydere kategoriseres som enten væsentlige eller vigtige:
Væsentlige teleudbydere (§ 3): Omfatter udbydere med mere end 50 ansatte eller en årlig omsætning/balance over 10 mio. EUR, samt udbydere der er kritiske uanset størrelse (f.eks. eneste udbyder af en samfundsvigtig tjeneste, stor indvirkning på offentlig sikkerhed/folkesundhed, systemisk risiko, national/regional betydning, eller identificeret som kritisk enhed under anden lovgivning). Det er et krav, at udbuddet sker med et kommercielt formål og som en ikke-accessorisk del af virksomheden.
Vigtige teleudbydere (§ 4): Teleudbydere, der ikke opfylder kriterierne for at være væsentlige, men som stadig udbyder offentlige elektroniske kommunikationsnet eller -tjenester kommercielt og som en ikke-accessorisk del af virksomheden. Styrelsen for Samfundssikkerhed kan i visse tilfælde afgøre, at en udbyder, der ellers ville være væsentlig på baggrund af de kvalitative kriterier, skal anses som vigtig.
Foranstaltninger til styring af sikkerhedsrisici m.v. (Kapitel 2)
Væsentlige og vigtige teleudbydere skal træffe passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre risici for sikkerheden i net- og informationssystemer (§ 5). Disse foranstaltninger skal som minimum omfatte:
Politikker for risikoanalyse og informationssystemsikkerhed.
Håndtering af hændelser.
Driftskontinuitet, herunder backup-styring og reetablering efter katastrofer.
Forsyningskædesikkerhed, med fokus på sikkerhedsrelaterede aspekter vedrørende leverandører.
Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af systemer, herunder sårbarhedshåndtering.
Politikker og procedurer til vurdering af effektiviteten af sikkerhedsforanstaltninger.
Grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse.
Politikker og procedurer vedrørende brug af kryptografi og kryptering.
Personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver.
Brug af multifaktorautentificering, sikret kommunikation og nødkommunikationssystemer, hvor relevant.
Ledelsesorganet i de omfattede teleudbydere skal godkende disse foranstaltninger og føre tilsyn med deres gennemførelse. Medlemmer af ledelsesorganet skal deltage i relevante kurser om styring af informationssikkerhedsrisici og tilskynde til lignende kurser for ansatte (§ 6).
Oplysnings- og underretningspligter mv. (Kapitel 3)
Væsentlige og vigtige teleudbydere skal registrere sig hos Styrelsen for Samfundssikkerhed med navn, kontaktoplysninger og en liste over andre EU-medlemsstater, hvor de leverer tjenester. Ændringer skal meddeles inden for to uger (§ 7).
Teleudbydere skal underrette Styrelsen for Samfundssikkerhed og CSIRT'en om enhver væsentlig hændelse (§ 8). En hændelse er væsentlig, hvis den forårsager eller kan forårsage alvorlige driftsforstyrrelser, økonomiske tab, eller betydelig fysisk/ikke-fysisk skade på andre. Underretningen skal ske i flere trin (§ 9):
Tidlig varsling: Inden for 24 timer efter kendskab til hændelsen, angivelse af mistanke om ulovlige handlinger eller grænseoverskridende virkning.
Hændelsesunderretning: Inden for 72 timer, ajourføring af varsling og indledende vurdering af alvor og indvirkning.
Foreløbig rapport: Efter anmodning fra myndigheden.
Endelig rapport: Senest en måned efter hændelsesunderretningen, med detaljeret beskrivelse, trusselstype, afbødende foranstaltninger og grænseoverskridende virkninger. Hvis hændelsen fortsat pågår, skal en statusrapport indsendes, og den endelige rapport følger en måned efter hændelsen er håndteret.
Styrelsen for Samfundssikkerhed og CSIRT'en skal give svar og indledende tilbagemeldinger inden for 24 timer efter modtagelse af tidlig varsling og yde vejledning/teknisk bistand efter anmodning.
Frivillig underretning om hændelser, nærvedhændelser og cybertrusler er mulig for alle teleudbydere, uanset om de er omfattet af loven. Disse behandles som obligatoriske underretninger, men kan prioriteres lavere (§ 10).
Teleudbydere skal uden unødigt ophold informere modtagerne af deres tjenester, hvis en væsentlig hændelse sandsynligvis vil påvirke leveringen negativt. De skal også oplyse om foranstaltninger eller modforholdsregler, som modtagerne kan træffe som reaktion på en væsentlig cybertrussel (§ 11).
Styrelsen for Samfundssikkerhed kan, efter høring af teleudbyderen, informere offentligheden om en væsentlig hændelse, hvis det er nødvendigt for at forebygge/håndtere hændelsen eller i offentlighedens interesse. Styrelsen kan også påbyde teleudbyderen at informere offentligheden. CSIRT'en kan informere om hændelser, der påvirker mere end én sektor eller har grænseoverskridende virkning (§ 12).
Beredskabssituationer og andre ekstraordinære situationer (Kapitel 4)
Styrelsen for Samfundssikkerhed koordinerer og prioriterer beredskabsaktørers behov for samfundsvigtig elektronisk kommunikation i beredskabssituationer og andre ekstraordinære situationer. Væsentlige og vigtige teleudbydere skal sikre, at disse prioriteringer gennemføres (§ 13, stk. 1-2).
Teleudbydere skal underrette Styrelsen for Samfundssikkerhed, hvis de aktiverer deres beredskab, eller hvis de bliver bekendt med en hændelse, der kan føre til en beredskabssituation. Udbydere, der skal udsende offentlige advarsler, skal sikre uafbrudt transmission af disse advarsler (§ 13, stk. 3-4).
I beredskabssituationer kan Styrelsen for Samfundssikkerhed påbyde væsentlige og vigtige teleudbydere at iværksætte nærmere angivne sikkerhedsforanstaltninger. Væsentlige teleudbydere skal efter påbud prioritere retablering af beskadiget infrastruktur og fremførsel af nærmere angivne forbindelser og tjenester, herunder om nødvendigt afbryde andre forbindelser eller tjenester (§ 13, stk. 5-7).
Aktindsigt i oplysninger og underretninger (Kapitel 5)
Underretninger om væsentlige hændelser (§ 8, stk. 2) og frivillige underretninger (§ 10) er undtaget fra aktindsigt efter offentlighedsloven og partsaktindsigt efter forvaltningsloven. Dette skal beskytte kommercielt følsomme oplysninger og fremme informationsdeling (§ 14). Lignende undtagelser kan fastsættes for oplysninger og underretninger om væsentlige dele af net eller tjenester og aftaleudkast (§ 15).
Sikkerhedsgodkendelser (Kapitel 6)
Medarbejdere og repræsentanter for væsentlige og vigtige teleudbydere skal sikkerhedsgodkendes af Styrelsen for Samfundssikkerhed, hvis de har adgang til klassificeret information, varetager kritiske funktioner, eller er kontaktpersoner i beredskabssammenhæng. Ministeren kan fastsætte nærmere regler herom (§ 16).
Tilsyn og håndhævelse (Kapitel 7)
Styrelsen for Samfundssikkerhed fører tilsyn med overholdelsen af loven (§ 17). Styrelsen kan påbyde væsentlige og vigtige teleudbydere at inddrage specifikke områder og trusler i deres risikostyringsprocesser. Hvis det er af væsentlig samfundsmæssig betydning, kan Styrelsen påbyde konkrete foranstaltninger, herunder at udstyr til indgreb i meddelelseshemmeligheden skal opsættes og drives fra Danmark (§ 18).
For væsentlige teleudbydere kan Styrelsen for Samfundssikkerhed anvende en række tilsynsforanstaltninger (§ 19):
Kontrol på stedet (uden retskendelse, med varsel).
Regelmæssige og målrettede sikkerhedsaudits (kan kræve uafhængige audits).
Ad hoc sikkerhedsaudits og sikkerhedsscanninger.
Kræve udlevering af nødvendige oplysninger, data, dokumenter og skriftlige udtalelser.
Styrelsen kan også anvende forskellige håndhævelsesforanstaltninger over for væsentlige teleudbydere (§ 20):
Udstede advarsler, bindende instrukser, påbud og forbud.
Påbyde underretning af berørte modtagere om trusler og modforanstaltninger.
Påbyde gennemførelse af anbefalinger fra sikkerhedsaudits.
Udpege en person til at føre tilsyn med overholdelse.
Påbyde offentliggørelse af afgørelser om håndhævelsesforanstaltninger og resumeer af domme/bødevedtagelser.
Hvis håndhævelsesforanstaltninger er utilstrækkelige, kan Styrelsen for Samfundssikkerhed midlertidigt suspendere certificeringer/godkendelser eller midlertidigt forbyde ledelsespersoner at udøve ledelsesfunktioner. Disse afgørelser kan indbringes for domstolene (§ 21).
For vigtige teleudbydere kan Styrelsen for Samfundssikkerhed anvende lignende tilsyns- og håndhævelsesforanstaltninger, dog typisk kun hvis der er indikationer på manglende overholdelse (§ 22 og § 23).
Teleudbydere skal høres, inden der træffes afgørelse om håndhævelsesforanstaltninger, medmindre formålet forspildes (§ 24).
Styrelsen for Samfundssikkerhed kan offentliggøre ikke-anonymiserede afgørelser, tilsynsresultater og resumeer af domme/bødevedtagelser, dog med forbehold for fortrolige oplysninger som forretningshemmeligheder, national sikkerhed og private forhold (§ 25).
Videregivelse af oplysninger, gensidig bistand, gennemførelsesretsakter, digital kommunikation m.v. (Kapitel 8)
Forpligtelserne i loven omfatter ikke videregivelse af oplysninger, hvis det strider mod væsentlige interesser af hensyn til national sikkerhed, offentlig sikkerhed eller forsvar. Oplysninger fra andre EU-medlemsstater behandles fortroligt (§ 26).
Styrelsen for Samfundssikkerhed kan indsamle og videregive oplysninger til Europa-Kommissionen, ENISA og nationale tilsynsmyndigheder i andre EU-medlemsstater, når det er nødvendigt for at opfylde EU-retlige forpligtelser. Teleudbydere orienteres forud for videregivelse (§ 27).
Styrelsen for Samfundssikkerhed skal samarbejde med kompetente myndigheder i andre EU-medlemsstater, hvis en teleudbyder leverer tjenester i flere medlemsstater. Dette omfatter underretning om tilsyns- og håndhævelsesforanstaltninger, anmodning om bistand og fælles tilsynstiltag (§ 28).
Ministeren for samfundssikkerhed og beredskab kan fastsætte regler, der er nødvendige for at gennemføre retsakter udstedt af Europa-Kommissionen i medfør af NIS 2-direktivet, samt regler om digital kommunikation (§ 29 og § 30).
Straf (Kapitel 9)
Overtrædelse af lovens centrale bestemmelser, herunder krav til sikkerhedsforanstaltninger, registrerings- og underretningspligter, samt manglende efterlevelse af påbud eller hindring af tilsyn, straffes med bøde. Selskaber m.v. (juridiske personer) kan pålægges strafansvar (§ 31).
Ikrafttrædelse, overgangsbestemmelser og ændringer i anden lovgivning m.v. (Kapitel 10)
Loven træder i kraft den 1. juli 2025. Den nuværende 'lov om sikkerhed i net og tjenester' ophæves. Oplysninger til registrering skal indgives senest den 1. oktober 2025 for udbydere, der er omfattet ved lovens ikrafttrædelse (§ 32).
Loven gælder ikke for Færøerne og Grønland (§ 33).
Der foretages ændringer i 'lov om leverandørsikkerhed i den kritiske teleinfrastruktur' for at tilpasse definitionerne af 'vigtig teleudbyder' og 'væsentlig teleudbyder' til de nye definitioner i dette lovforslag (§ 34).
Høring over udkast til bekendtgørelser om sikkerhed og beredskab i telesektoren (L 142)
Ministeriet for Samfundssikkerhed og Beredskab har sendt fire udkast til nye bekendtgørelser i høring. Disse bekendtgørelser skal udmønte den nye **lov om sikkerhed og beredskab i telesektoren (L 142)
Ministeriet for Samfundssikkerhed og Beredskab· 7. februar 2025
Lovforslag
Forslag til Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau (NIS 2-loven)
Lovforslaget om foranstaltninger til sikring af et højt cybersikkerhedsniveau, også kendt som NIS 2-loven, har til formål at implementere Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 (NIS 2-d
Styrelsen for Samfundssikkerhed
