Bekendtgørelse om informationssikkerhed og beredskab i net og tjenester 1)

Save this PDF as:
 WORD  PNG  TXT  JPG

Størrelse: px
Starte visningen fra side:

Download "Bekendtgørelse om informationssikkerhed og beredskab i net og tjenester 1)"

Transkript

1 BEK nr 567 af 01/06/2016 (Gældende) Udskriftsdato: 15. januar 2017 Ministerium: Forsvarsministeriet Journalnummer: Forsvarsmin., Center for Cybersikkerhed, j.nr. 2015/ Senere ændringer til forskriften Ingen Bekendtgørelse om informationssikkerhed og beredskab i net og tjenester 1) I medfør af 3, stk. 1 og 3, 5, stk. 1 og 2, og 14, stk. 2, i lov nr af 15. december 2015 om netog informationssikkerhed fastsættes: Kapitel 1 Definitioner 1. I denne bekendtgørelse forstås ved: 1) Beredskabsaktører: Myndigheder, institutioner og virksomheder, som skal bidrage til opretholdelse af samfundets funktioner i beredskabssituationer og i andre ekstraordinære situationer. 2) Beredskabssituationer og andre ekstraordinære situationer: Større ulykker, katastrofer eller hændelser, hvor det kan være nødvendigt at indføre særlige foranstaltninger vedrørende net og tjenester med henblik på at kunne opretholde samfundets funktioner. 3) Kritiske netkomponenter, systemer og værktøjer: Operations support systemer, network management systemer og business support systemer, der kan benyttes til at aflæse, ændre indhold af eller dirigere data, som relaterer sig til slutbrugere, samt hardware, firmware og software, der anvendes i eller i forbindelse med core-net i mobilnet, fastnet og internet, eller i centrale routere og servere i backbonenettene eller i kontrolenheder, som anvendes til styring i mobilnettenes radionet. 4) Slutbruger: En bruger af net og tjenester, som ikke på kommercielt grundlag stiller de pågældende net og tjenester til rådighed for andre. 5) Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester: a) Udbydere af net, hvor disse net anvendes af mere end slutbrugere. Ved opgørelsen medregnes de slutbrugere, der har aftaleforhold med udbyderens kunder. Radio- og tv-stationer, der er udbydere af net, er kun omfattet, såfremt de har landsdækkende public service-forpligtelser. b) Udbydere, der gennem aftaler med statslige myndigheder og institutioner betjener mere end 500 slutbrugere. Ved opgørelsen medregnes de statslige myndigheder og institutioners egne slutbrugere. Kapitel 2 Risikostyring mv. Udbydere af offentligt tilgængelige net og tjenester 2. Udbydere af offentligt tilgængelige net og tjenester skal gennemføre en risikovurdering, der skal tage stilling til risikoen for tab af tilgængelighed, integritet og fortrolighed i de net og tjenester, der udbydes. Stk. 2. Såfremt udbydernes net og tjenester helt eller delvist drives af en tredjepart, skal eventuelle risici forbundet hermed medtages i risikovurderingen efter stk. 1. 1

2 Stk. 3. På baggrund af risikovurderingen efter stk. 1 og 2 skal udbyderne implementere passende foranstaltninger til sikring af tilgængelighed, integritet og fortrolighed i net og tjenester samt sikre, at tredjepart opretholder en tilsvarende sikkerhed i forhold til driftsleverancer til udbyderne efter stk. 2. Stk. 4. Risikovurderinger efter stk. 1 og 2 samt foranstaltninger efter stk. 3 skal løbende tilpasses, herunder ved væsentlige ændringer af udbydernes virksomhed og i trusselsbilledet. Erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester 3. Erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester skal udarbejde og gennemføre en ledelsesgodkendt informationssikkerhedspolitik med udgangspunkt i en anerkendt international standard, eksempelvis DS/ISO/IEC eller tilsvarende. Informationssikkerhedspolitikken skal herunder beskrive de processuelle og organisatoriske rammer for arbejdet med informationssikkerheden. Stk. 2. Udbyderne skal sikre, at informationssikkerhedspolitikken er kommunikeret til alle relevante medarbejdere. Stk. 3. Udbyderne skal løbende tilpasse informationssikkerhedspolitikken, herunder ved væsentlige ændringer af udbydernes virksomhed og i trusselsbilledet. Der skal dog mindst én gang om året foretages en vurdering af behovet for revision af informationssikkerhedspolitikken. Informationssikkerhedspolitikken skal på den baggrund revideres i fornødent omfang. 4. Erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester skal på baggrund af informationssikkerhedspolitikken efter 3 sikre, at der er etableret en informationssikkerhedsorganisation. Varetagelsen af relevante sikkerhedsopgaver, herunder roller og ansvar, skal i den forbindelse være beskrevet samt i fornødent omfang være kommunikeret til udbydernes medarbejdere. Stk. 2. Udbyderne skal sikre, at Center for Cybersikkerhed til enhver tid er orienteret om kontaktoplysninger til lederen af informationssikkerhedsorganisationen. 5. Erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester skal foretage risikostyring med udgangspunkt i en anerkendt international standard, eksempelvis DS/ISO/IEC eller tilsvarende. Stk. 2. Som led i risikostyringen skal udbyderne fastsætte en samlet risikostyringsproces, der omfatter risikovurdering og -håndtering af informationssikkerhedsrisici. Der skal i den forbindelse tages stilling til kriterier for udbydernes risikovillighed. Stk. 3. Risikostyringsprocessen skal i fornødent omfang dokumenteres samt tilpasses, herunder ved væsentlige ændringer af udbydernes virksomhed. Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester 6. Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester skal styre informationssikkerheden gennem et ledelsessystem, der skal etableres med udgangspunkt i en anerkendt international standard, eksempelvis DS/ISO/IEC eller tilsvarende. 7. For væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester skal informationssikkerhedspolitikken efter 3 desuden beskrive udbydernes politik for håndtering af beredskabssituationer og andre ekstraordinære situationer med henblik på at sikre, at net og tjenester i videst muligt omfang kan opretholdes i sådanne situationer. 8. Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester skal sikre, at informationssikkerhedsorganisationen efter 4 desuden kan håndtere beredskabssituationer og andre ekstraordinære situationer. 9. Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester skal som en del af fastlæggelsen af risikovillighed i risikostyringsprocessen efter 5 desuden tage højde for, at udbyderne i 2

3 videst muligt omfang skal opretholde udbuddet af net og tjenester i beredskabssituationer og i andre ekstraordinære situationer med henblik på at sikre samfundets teleforsyning. Kapitel 3 Generelle informationssikkerhedsforanstaltninger 10. Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester skal sikre, at medarbejdere og samarbejdspartnere i fornødent omfang er bekendte med det aktuelle trusselsbillede for udbyderen, herunder at de har et generelt kendskab til trusler, der kan påvirke udbuddet af net og tjenester. 11. Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester skal til brug for risikostyringen efter 5 og 9 have etableret og vedligeholde et register over udbyderens kritiske netkomponenter, systemer og værktøjer. 12. Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester skal på baggrund af risikostyringen efter 5 og 9 udarbejde og implementere en sikringsplan for beskyttelse af udbydernes kritiske netkomponenter, systemer og værktøjer. Sikringsplanen skal som minimum tage stilling til logisk og fysisk adgangskontrol, fysisk perimetersikring, brandsikring, klimasikring samt varslingssystemer til detektion af uautoriseret adgang. 13. Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester skal i fornødent omfang etablere procedurer for og implementere logning med henblik på at sikre sporbarhed ved eventuelle informationssikkerhedsbrud og -hændelser. Stk. 2. Udbyderne skal sikre, at al aktivitet i forbindelse med logisk adgang til kritiske netkomponenter, systemer og værktøjer udført af medarbejdere med administratorrettigheder logges. Stk. 3. Logfilerne skal sikres mod manipulation, og alene et begrænset antal særligt betroede medarbejdere må kunne ændre på, hvilke informationer, der logges. Stk. 4. Udbyderne skal regelmæssigt gennemgå logfilerne med henblik på identifikation af mulige informationssikkerhedsbrud og -hændelser. Stk. 5. Center for Cybersikkerhed kan dispensere fra kravene i stk Dispensationen kan betinges af, at udbyderen implementerer nærmere fastsatte kompenserende sikkerhedsforanstaltninger. 14. Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester skal i fornødent omfang implementere processer for installation, flytning og fjernelse af eller ændringer i øvrigt i systemer og udstyr. Stk. 2. Ved ændringer i kritiske netkomponenter, systemer og værktøjer skal udbyderne gennemføre en risikovurdering med henblik på at definere, hvilke tests der skal udføres forud for ændringen. De herefter identificerede tests skal være gennemført og evalueret forud for ændringen. Stk. 3. Ved ændringer efter stk. 2 skal der være etableret procedurer for genskabelse til en tidligere version, hvis en ændring fejler. 15. Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester skal etablere procedurer for håndtering af informationssikkerhedsbrud og -hændelser. Som led heri skal udbyderne sikre, at roller og ansvarsområder for håndtering af brud og hændelser er fastlagt. Procedurerne skal herudover beskrive håndtering og kategorisering af brud og hændelser, sikring af nødvendige informationer til brug for efterfølgende hændelsesanalyser samt intern og ekstern rapportering. 16. Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester skal til enhver tid holde sig orienteret om nye sårbarheder, der vil kunne have konsekvenser for udbydernes net og tjenester. 3

4 Stk. 2. Med henblik på at sikre, at de etablerede informationssikkerhedsforanstaltninger i net og tjenester fortsat er effektive, skal udbyderne gennemføre relevante tekniske tests for potentielle sårbarheder, eksempelvis i form af sårbarhedsscanninger. 17. Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester skal sikre, at der er relevante procedurer for backup og genskabelse af data, og at disse procedurer regelmæssigt afprøves. Backupsystemets opbygning samt procedurer for backupdatas opbevaring, transport og destruktion skal dokumenteres. Dokumentationen skal opdateres ved væsentlige ændringer i backupsystemet. 18. Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester skal sikre en hensigtsmæssig adskillelse mellem udbydernes net, herunder produktions-, administrations-, styrings- og testnet. Stk. 2. Ved opdeling af udbydernes net i flere logiske net skal dette ske i overensstemmelse med internationalt anerkendte retningslinjer. På baggrund af udbydernes risikovurderinger skal der etableres adgangskontrol for hvert logiske net. 19. Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester skal, baseret på risikostyringsprocessen efter 5 og 9, sikre, at der i forhold til kritiske netkomponenter, systemer og værktøjer er etableret den nødvendige nødstrømsforsyning, redundans, understøttende forsyning eller anden sikring med tilsvarende virkning. 20. Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester skal sikre, at der så tidligt som muligt sker inddragelse af informationssikkerhedsaspekter ved anskaffelse, udvikling, ændring og vedligeholdelse af netkomponenter, systemer og værktøjer, der anvendes i net og tjenester. 21. Såfremt der etableres et samarbejde mellem erhvervsmæssige udbydere, hvoraf mindst en af parterne er en væsentlig erhvervsmæssig udbyder af offentligt tilgængelige net og tjenester, finder de krav, som væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester skal efterleve efter denne bekendtgørelse, anvendelse på de dele af net og tjenester, der er omfattet af aftalen. Stk. 2. Den aftalepart, der driver det net eller den tjeneste, som samarbejdet vedrører, er ansvarlig for, at kravene efter denne bekendtgørelse efterleves. Stk. 3. Aftaleparternes aftalegrundlag skal tage højde for informationssikkerhedsaspekter i forhold til udbuddet af net og tjenester ved samarbejdet. Aftalegrundlaget skal i fornødent omfang opdateres, hvis der sker ændringer af informationssikkerhedsmæssig betydning. 22. Såfremt der etableres et samarbejde mellem en væsentlig erhvervsmæssig udbyder af offentligt tilgængelige net og tjenester og en leverandør, er den væsentlige erhvervsmæssige udbyder af offentligt tilgængelige net og tjenester fortsat ansvarlig for, at kravene efter denne bekendtgørelse efterleves. Stk. 2. Aftaleparternes aftalegrundlag skal tage højde for informationssikkerhedsaspekter i forhold til udbuddet af net og tjenester ved samarbejdet. Aftalegrundlaget skal i fornødent omfang opdateres, hvis der sker ændringer af informationssikkerhedsmæssig betydning. Stk. 3. Udbyderen skal på baggrund af risikovurderingen efter 2 i fornødent omfang foretage verifikation af, at der er overensstemmelse mellem aftalepartens leverancer, herunder konfigurationen af leverancerne, og det mellem parterne aftalte. Stk. 4. Verifikationen efter stk. 3 kan ske som en stikprøvekontrol, såfremt det står i forhold til udbyderens risikovurdering efter Ved etablering at et samarbejde efter 21 og 22 skal de deltagende udbydere sikre, at der sker intern auditering af efterlevelsen af de informationssikkerhedskrav, der fremgår af aftalegrundlaget. 24. Bestemmelsen i 22, stk. 1, finder tilsvarende anvendelse på erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester. 4

5 Kapitel 4 Påbud om konkrete informationssikkerhedsforanstaltninger Erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester 25. Center for Cybersikkerhed kan, såfremt det er af væsentlig samfundsmæssig betydning, efter en konkret vurdering påbyde erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester at foretage en eller flere af følgende foranstaltninger: 1) Etablering eller styrkelse af logisk adgangskontrol til kritiske netkomponenter, systemer og værktøjer, herunder krav til proces for adgangsstyring og kontrol med leverandørers adgang. 2) Etablering eller styrkelse af foranstaltninger til fysisk sikring af kritiske netkomponenter, systemer og værktøjer, herunder fysisk adgangskontrol. 3) Sikring af sporbarhed eller logning af fysisk eller logisk adgang til kritiske netkomponenter, systemer og værktøjer, herunder krav om analyse af logfiler. 4) Sikring af redundans for kritiske netkomponenter, systemer og værktøjer samt backup af konfigurationsdata. 5) At udstyr, der benyttes til at foretage indgreb i meddelelseshemmeligheden, skal opsættes i og drives fra Danmark. 6) At udstyr, der benyttes til at foretage indgreb i meddelelseshemmeligheden, ikke må leveres af en leverandør, som er identisk med udbyderens primære leverandører af kritiske netkomponenter, systemer og værktøjer. 7) Sikring af, at indlejret funktionalitet, der vil kunne benyttes til at foretage indgreb i meddelelseshemmeligheden, fjernes fra en leverance af netkomponenter, systemer og værktøjer. Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester 26. Center for Cybersikkerhed kan, såfremt det er af væsentlig samfundsmæssig betydning, efter en konkret vurdering påbyde væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester at foretage en eller flere af følgende foranstaltninger: 1) Gennemførelse af uafhængig sikkerhedsevaluering i forbindelse med leverancer af kritiske netkomponenter, systemer og værktøjer fra en specifik leverandør, såfremt den pågældende leverandør eller den pågældende leverance ud fra en generel sikkerhedsmæssig betragtning eller det aktuelle trusselsbillede vurderes at udgøre en særlig sikkerhedsrisiko. Center for Cybersikkerhed kan i den forbindelse stille krav om, at sikkerhedsevalueringen gennemføres af et anerkendt evalueringsorgan, efter en anerkendt international standard og indenfor nærmere fastsatte rammer. 2) Sikring af, at der ikke kan etableres direkte elektroniske supportforbindelser mellem en leverandør og en udbyder, såfremt den pågældende leverandør ud fra en generel sikkerhedsmæssig betragtning eller det aktuelle trusselsbillede vurderes at udgøre en særlig sikkerhedsrisiko. 3) Sikring af, at personale, der har adgang til kritiske netkomponenter, systemer og værktøjer, er sikkerhedsgodkendt af den relevante danske sikkerhedsmyndighed. 4) Indstationering af personale, der er sikkerhedsgodkendt af den relevante danske sikkerhedsmyndighed, hos udenlandske leverandører, som en udbyder har outsourcet hele eller dele af udbyderens net og tjenester eller varetagelsen af driften heraf til. Der kan stilles krav om, at det indstationerede personale, såfremt dette er i overensstemmelse med national lovgivning, skal have adgang til alle relevante systemer og informationer hos leverandøren med henblik på at udføre sikkerhedskontrol for udbyderen. 5) Sikring af, at der på udbyderens foranstaltning i tilfælde af misligholdelse af en kontrakt om outsourcing kan ske hjemtagning af opgaver, der er outsourcede til en udenlandsk leverandør. Der kan herunder stilles krav om, at udbyderen skal fastlægge procedurer for hjemtagning af outsourcede områder. 5

6 6) Sikring af, at kritiske styringsprocesser skal godkendes af udbyderen, hvis der er sket outsourcing af drift af net og tjenester. 7) Fastholdelse hos udbyderen af de nødvendige kompetencer til at gennemføre risikovurdering efter 2, hvis der er sket outsourcing af drift af net og tjenester. Der kan herunder stilles krav om, at udbyderen skal fastholde de nødvendige kompetencer til at foretage validering af, at den leverede driftsydelse svarer til det aftalte. 8) Sikring af, at konfiguration af nærmere bestemte kritiske netkomponenter, systemer og værktøjer på baggrund af nærmere angivne konkrete trusler og sårbarheder sker i henhold til nærmere fastsatte internationale standarder eller anbefalinger. Kapitel 5 Krisestyring i beredskabssituationer og i andre ekstraordinære situationer Udbydere af offentligt tilgængelige net og tjenester 27. Udbydere af offentligt tilgængelige net og tjenester skal foretage planlægning og træffe foranstaltninger for krisestyring med henblik på i videst muligt omfang at kunne opretholde net og tjenester i beredskabssituationer og i andre ekstraordinære situationer. 28. Udbydere af offentligt tilgængelige net og tjenester skal, såfremt udbyderne vurderer, at dette er nødvendigt, udarbejde en krisestyringsplan. Stk. 2. Krisestyringsplanen efter stk. 1 skal som minimum omfatte udbydernes håndtering af følgende områder: 1) Organisering af udbydernes interne beredskab. 2) Aktivering og eskalering af beredskabet. 3) Varetagelse af krisekommunikation. 4) Ressourcestyring, herunder tilkaldelse af medarbejdere i en beredskabssituation eller i en anden ekstraordinær situation. 5) Alternative muligheder for fremskaffelse af reserveudstyr. 6) Behov for serviceaftaler. Stk. 3. Såfremt der i krisestyringsplanen er identificeret behov for konkrete forberedende foranstaltninger, skal udbyderne gennemføre disse foranstaltninger uden ugrundet ophold. Stk. 4. Krisestyringsplanen skal løbende revideres i det omfang, udviklingen tilsiger dette, herunder ved væsentlige ændringer af udbydernes virksomhed og i trusselsbilledet, dog som minimum hvert andet år. Stk. 5. Såfremt en udbyder ikke har udarbejdet en krisestyringsplan, skal vurderingen efter stk. 1 som minimum gennemføres hvert andet år. 29. Udbydere af offentligt tilgængelige net og tjenester kan vælge at overlade beredskabsplanlægningen efter 27, herunder udarbejdelsen af en krisestyringsplan efter 28, til tredjemand. Ansvaret for beredskabsplanlægningen påhviler dog fortsat udbyderne. Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester 30. Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester skal udarbejde en krisestyringsplan. Stk. 2. Krisestyringsplanen skal udarbejdes i overensstemmelse med 28, stk. 2, og skal herudover som minimum beskrive: 1) Etablering og drift af en krisestyringsorganisation, herunder ansvar, roller og opgaver i en beredskabssituation eller i en anden ekstraordinær situation. 2) Procedurer for håndtering af påbud fra Center for Cybersikkerhed om gennemførelse af akutte sikkerhedsforanstaltninger og om retablering af nærmere bestemte dele af net og tjenester samt om iværksættelse af på forhånd forberedte konkrete foranstaltninger til prioritering i net og tjenester med hen- 6

7 blik på at sikre beredskabsaktørers samfundsvigtige kommunikation, jf. bekendtgørelse om beredskabsaktørers adgang til elektronisk kommunikation i beredskabssituationer mv. 3) Beskrivelse af samarbejdet med Center for Cybersikkerhed i en beredskabssituation eller i en anden ekstraordinær situation, herunder beskrivelse af proceduren for underretning af centeret i forbindelse med aktivering af udbyderens interne beredskab, jf. 32, angivelse af kontaktinformation til centeret samt procedure for afgivelse af situationsrapporter til centeret, jf ) Udbyderens procedure for modtagelse og håndtering af oplysninger, herunder klassificeret information, fra Center for Cybersikkerhed om en beredskabssituation eller en anden ekstraordinær situation. 5) Beskrivelse af anvendelse af kommunikationsmidler i situationer, hvor de gængse kommunikationsmidler ikke er tilgængelige. 31. Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester skal sikre, at Center for Cybersikkerhed døgnet rundt kan komme i kontakt med udbyderne i forbindelse med en beredskabssituation eller en anden ekstraordinær situation. Det skal ved kontakt fra Center for Cybersikkerhed kunne foranlediges, at udbyderens interne beredskab straks aktiveres. 32. Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester skal straks underrette Center for Cybersikkerhed ved enhver aktivering og efterfølgende de-aktivering af udbyderens interne beredskab. 33. Hvis en beredskabssituation eller en anden ekstraordinær situation har medført, at en væsentlig erhvervsmæssig udbyder af offentligt tilgængelige net og tjenester har aktiveret udbyderens interne beredskab, skal udbyderen herefter løbende afgive situationsrapporter til Center for Cybersikkerhed. Situationsrapporterne skal fremsendes mindst hver fjerde time, medmindre andet er aftalt med Center for Cybersikkerhed. Stk. 2. Situationsrapporterne skal, så vidt det er teknisk muligt, afgives elektronisk, og skal som minimum indeholde følgende oplysninger: 1) Virksomhedens kontaktoplysninger. 2) Tidsrummet, som situationsrapporten omfatter. 3) Beskrivelse af, hvad der er sket, eksempelvis berørte dele af net og tjenester, antallet af berørte slutbrugere eller berørte geografiske områder, eventuelt siden den seneste situationsrapport. 4) Beskrivelse af, hvilke foranstaltninger udbyderen har truffet, eventuelt siden den seneste situationsrapport. 5) Beskrivelse af, hvilke foranstaltninger udbyderen fremadrettet forventer at træffe. 34. Efter de-aktivering af udbyderens interne beredskab skal væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester efter påbud fra Center for Cybersikkerhed fremsende en rapport om udbydernes hændelseshåndtering, herunder eventuelt planlagt opfølgning. 35. Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester skal som minimum én gang hvert andet år afholde en intern beredskabsøvelse, som omfatter anvendelse af udbyderens krisestyringsplan. Stk. 2. Senest tre måneder efter en afholdt øvelse skal udbyderne have udarbejdet en rapport, som beskriver øvelsens formål, forløb, opnåede erfaringer og planlagt opfølgning. Udbyderne skal efter påbud fra Center for Cybersikkerhed fremsende rapporten til centeret. 36. Center for Cybersikkerhed kan påbyde en væsentlig erhvervsmæssig udbyder af offentligt tilgængelige net og tjenester at deltage i en national eller international krisestyringsøvelse. Stk. 2. Påbud efter stk. 1 kan højest udstedes to gange om året og højest fire gange i indenfor en periode på fem år. Påbuddet skal indeholde et varsel på mindst tre måneder. 7

8 Kapitel 6 Straffebestemmelser og ikrafttrædelse 37. Med bøde straffes, medmindre strengere straf er forskyldt efter den øvrige lovgivning, den, der 1) overtræder 2-12, 13, stk. 1-4, 14-20, 21, stk. 3, 22, stk. 2 og 3, 23, 27 og 28, og 35, stk. 1 og stk. 2, 1. pkt., eller 2) undlader at efterkomme et påbud efter 25 og 26, 34, 35, stk. 2, 2. pkt., og 36, stk.1. Stk. 2. Der kan pålægges selskaber mv. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel. 38. Bekendtgørelsen træder i kraft den 1. juli Center for Cybersikkerhed, den 1. juni 2016 THOMAS LUND-SØRENSEN / Jon Bach Holm 8

9 1) Bekendtgørelsen indeholder bestemmelser, der gennemfører dele af Europa-Parlamentets og Rådets direktiv 2002/21/EF af 7. marts 2002 om fælles rammebestemmelser for elektroniske kommunikationsnet og -tjenester (rammedirektivet), EU-Tidende 2002, nr. L 108, side 33, som senest ændret ved Europa-Parlamentets og Rådets direktiv 2009/140/EF af 25. november 2009, samt Europa-Parlamentets og Rådets direktiv 2002/22/EF af 7. marts 2002 om forsyningspligt og brugerrettigheder i forbindelse med elektroniske kommunikationsnet og -tjenester (forsyningspligtdirektivet), EU-Tidende 2002, nr. L 108, side 51, som ændret ved Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november

Lovtidende A Udgivet den 3. juni Bekendtgørelse om informationssikkerhed og beredskab i net og tjenester 1) 1. juni Nr. 567.

Lovtidende A Udgivet den 3. juni Bekendtgørelse om informationssikkerhed og beredskab i net og tjenester 1) 1. juni Nr. 567. Lovtidende A 2016 Udgivet den 3. juni 2016 1. juni 2016. Nr. 567. Bekendtgørelse om informationssikkerhed og beredskab i net og tjenester 1) I medfør af 3, stk. 1 og 3, 5, stk. 1 og 2, og 14, stk. 2, i

Læs mere

Bekendtgørelse om oplysnings- og underretningspligter vedrørende net- og informationssikkerhed 1)

Bekendtgørelse om oplysnings- og underretningspligter vedrørende net- og informationssikkerhed 1) BEK nr 566 af 01/06/2016 (Gældende) Udskriftsdato: 10. februar 2017 Ministerium: Forsvarsministeriet Journalnummer: Forsvarsmin., Center for Cybersikkerhed, j.nr. 2015/002263 Senere ændringer til forskriften

Læs mere

Lovtidende A. 2016 Udgivet den 3. juni 2016. Bekendtgørelse om oplysnings- og underretningspligter vedrørende net- og informationssikkerhed 1)

Lovtidende A. 2016 Udgivet den 3. juni 2016. Bekendtgørelse om oplysnings- og underretningspligter vedrørende net- og informationssikkerhed 1) Lovtidende A 2016 Udgivet den 3. juni 2016 1. juni 2016. Nr. 566. Bekendtgørelse om oplysnings- og underretningspligter vedrørende net- og informationssikkerhed 1) I medfør af 4, 7 og 14, stk. 2, i lov

Læs mere

Bekendtgørelse om oplysnings- og underretningspligter vedrørende net- og informationssikkerhed 1)

Bekendtgørelse om oplysnings- og underretningspligter vedrørende net- og informationssikkerhed 1) Center for Cybersikkerhed 29. april 2016 U D K A S T Bekendtgørelse om oplysnings- og underretningspligter vedrørende net- og informationssikkerhed 1) I medfør af 4, 7 og 14, stk. 2, i lov nr. 1567 af

Læs mere

Bekendtgørelse om rammerne for informationssikkerhed og beredskab 1)

Bekendtgørelse om rammerne for informationssikkerhed og beredskab 1) (Gældende) Udskriftsdato: 14. januar 2015 Ministerium: Erhvervs- og Vækstministeriet Journalnummer: Ministeriet for Videnskab, Teknologi og Udvikling, IT- og Telestyrelsen, j.nr. 09-076167 Senere ændringer

Læs mere

Bekendtgørelse om informationssikkerhed og beredskab for elektroniske kommunikationsnet og -tjenester 1)

Bekendtgørelse om informationssikkerhed og beredskab for elektroniske kommunikationsnet og -tjenester 1) (Gældende) Udskriftsdato: 14. januar 2015 Ministerium: Erhvervs- og Vækstministeriet Journalnummer: Ministeriet for Videnskab, Teknologi og Udvikling, IT- og Telestyrelsen, j.nr. 09-07167 Senere ændringer

Læs mere

UDKAST. Bekendtgørelse om beredskabsarbejde på jernbane- og luftfartsområdet

UDKAST. Bekendtgørelse om beredskabsarbejde på jernbane- og luftfartsområdet UDKAST Bekendtgørelse om beredskabsarbejde på jernbane- og luftfartsområdet I medfør af 147 a, 149, stk. 10 og 152 a, i lov om luftfart, jf. lovbekendtgørelse nr. 1036 af 29. august 2013, og 8 d, stk.

Læs mere

Forslag til Lov om net- og informationssikkerhed 1

Forslag til Lov om net- og informationssikkerhed 1 Forsvarsministeriet 21. april 2015 U D K A S T Forslag til Lov om net- og informationssikkerhed 1 Kapitel 1 Formål og definitioner 1. Lovens formål er at fremme net- og informationssikkerheden i samfundet.

Læs mere

Lov om net- og informationssikkerhed 1)

Lov om net- og informationssikkerhed 1) LOV nr 1567 af 15/12/2015 (Gældende) Udskriftsdato: 18. september 2016 Ministerium: Forsvarsministeriet Journalnummer: Forsvarsmin., j.nr. 2015/005940 Senere ændringer til forskriften Ingen Lov om net-

Læs mere

Informationssikkerhedspolitik for <organisation>

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger

Læs mere

KOMBIT sikkerhedspolitik

KOMBIT sikkerhedspolitik KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER

Læs mere

BEK nr 798 af 26/06/2014 (Gældende) Udskriftsdato: 8. oktober Senere ændringer til forskriften Ingen

BEK nr 798 af 26/06/2014 (Gældende) Udskriftsdato: 8. oktober Senere ændringer til forskriften Ingen BEK nr 798 af 26/06/2014 (Gældende) Udskriftsdato: 8. oktober 2016 Ministerium: Erhvervs- og Vækstministeriet Journalnummer: Erhvervs- og Vækstmin., Finanstilsynet, j.nr. 142-0009 Senere ændringer til

Læs mere

IT-sikkerhedspolitik S i d e 1 9

IT-sikkerhedspolitik S i d e 1 9 IT-sikkerhedspolitik S i d e 1 9 Indhold 1 Læsevejledning... 3 2 Informationssikkerhedspolitik... 3 2.1 INDLEDNING... 3 2.2 SIKKERHEDSNIVEAU... 4 2.3 HOLDNINGER OG PRINCIPPER... 5 2.4 HOVEDMÅLSÆTNINGER

Læs mere

Region Hovedstadens Ramme for Informationssikkerhed

Region Hovedstadens Ramme for Informationssikkerhed Region Hovedstadens Ramme for Informationssikkerhed Indhold Region Hovedstadens ramme for Informationssikkerhed... 3 1 Formål... 3 2 Gyldighedsområde/omfang... 4 3 Målsætninger... 4 4 Informationssikkerhedsniveau...

Læs mere

Forslag. Lov om net- og informationssikkerhed 1)

Forslag. Lov om net- og informationssikkerhed 1) 2015/1 LSF 10 (Gældende) Udskriftsdato: 26. februar 2017 Ministerium: Forsvarsministeriet Journalnummer: Forsvarsmin., j.nr. 2015/005940 Fremsat den 7. oktober 2015 af forsvarsministeren (Peter Christensen)

Læs mere

Vejledning i informationssikkerhedspolitik. Februar 2015

Vejledning i informationssikkerhedspolitik. Februar 2015 Vejledning i informationssikkerhedspolitik Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:

Læs mere

Bekendtgørelse af lov om Forsvarets Efterretningstjeneste (FE)

Bekendtgørelse af lov om Forsvarets Efterretningstjeneste (FE) LBK nr 1 af 04/01/2016 (Historisk) Udskriftsdato: 2. december 2017 Ministerium: Forsvarsministeriet Journalnummer: Forsvarsmin., j.nr. 2015/008780 Senere ændringer til forskriften LOV nr 462 af 15/05/2017

Læs mere

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2 Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]

Læs mere

It-revision af Sundhedsdatanettet 2015 15. januar 2016

It-revision af Sundhedsdatanettet 2015 15. januar 2016 MedCom Forskerparken 10 5230 Odense M Landgreven 4 1301 København K Tlf. 33 92 84 00 rr@rigsrevisionen.dk www.rigsrevisionen.dk It-revision af Sundhedsdatanettet 2015 15. januar 2016 1. Rigsrevisionen

Læs mere

Forslag. Lov om net- og informationssikkerhed 1)

Forslag. Lov om net- og informationssikkerhed 1) Lovforslag nr. L 201 Folketinget 2014-15 Fremsat den 5. maj 2015 af forsvarsministeren (Nicolai Wammen) Forslag til Lov om net- og informationssikkerhed 1) Kapitel 1 Formål og definitioner 1. Lovens formål

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune. Informationssikkerhedspolitik Oktober 2015 Side 1 af 5 sider Baggrund Ved informationssikkerhed forstås de samlede foranstaltninger til at sikre Fortroligheden, Tilgængeligheden og Integriteten på kommunens

Læs mere

Kontraktbilag 3. Databehandleraftale

Kontraktbilag 3. Databehandleraftale Kontraktbilag 3 Databehandleraftale 1. DATABEHANDLERAFTALENS OMFANG OG FORMÅL Formålet med behandlingen af personoplysninger er overordnet set at drive en iværksætterpilotordning som nærmere fastlagt i

Læs mere

Bekendtgørelse om visse aspekter i forbindelse med tilrettelæggelsen af arbejdstiden på offshoreanlæg 1

Bekendtgørelse om visse aspekter i forbindelse med tilrettelæggelsen af arbejdstiden på offshoreanlæg 1 Bekendtgørelse om visse aspekter i forbindelse med tilrettelæggelsen af arbejdstiden på offshoreanlæg 1 Bek. Nr. 1509 af 15. december 2010 med senere ændringer ikke autoriseret sammenskrivning. Sammenskrivningen

Læs mere

Bekendtgørelse af lov om varsling m.v. i forbindelse med afskedigelser af større omfang 1)

Bekendtgørelse af lov om varsling m.v. i forbindelse med afskedigelser af større omfang 1) LBK nr 291 af 22/03/2010 (Gældende) Udskriftsdato: 27. december 2016 Ministerium: Beskæftigelsesministeriet Journalnummer: Beskæftigelsesmin., Arbejdsmarkedsstyrelsen, j.nr. 2010-0001617 Senere ændringer

Læs mere

Bekendtgørelse om visse aspekter i forbindelse med tilrettelæggelsen af arbejdstiden i forbindelse med offshore olie- og gasaktiviteter m.v.

Bekendtgørelse om visse aspekter i forbindelse med tilrettelæggelsen af arbejdstiden i forbindelse med offshore olie- og gasaktiviteter m.v. Bilag 13 Bekendtgørelse om visse aspekter i forbindelse med tilrettelæggelsen af arbejdstiden i forbindelse med offshore olie- og gasaktiviteter m.v. 1 I medfør af 51, stk. 4, 55, stk. 1, og 72, stk. 1,

Læs mere

BEK nr 11 af 07/01/2011 (Gældende) Udskriftsdato: 20. november Senere ændringer til forskriften Ingen

BEK nr 11 af 07/01/2011 (Gældende) Udskriftsdato: 20. november Senere ændringer til forskriften Ingen BEK nr 11 af 07/01/2011 (Gældende) Udskriftsdato: 20. november 2017 Ministerium: Beskæftigelsesministeriet Journalnummer: Klima- og Energimin., Energistyrelsen, j.nr. 2401/1402-028 Senere ændringer til

Læs mere

BILAG 5 DATABEHANDLERAFTALE

BILAG 5 DATABEHANDLERAFTALE BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...

Læs mere

Sikkerhedsvurderinger

Sikkerhedsvurderinger Sikkerhedsvurderinger CERTA har specialiseret sig i at yde uafhængig og sagkyndig bistand til virksomheder i forbindelse med håndteringen af sikkerhedsmæssige trusler og risici. Et væsentlig element i

Læs mere

Bekendtgørelse om fremstilling, indførsel og distribution af aktive stoffer til fremstilling af lægemidler 1)

Bekendtgørelse om fremstilling, indførsel og distribution af aktive stoffer til fremstilling af lægemidler 1) BEK nr 1360 af 18/12/2012 (Gældende) Udskriftsdato: 27. januar 2017 Ministerium: Sundheds- og Ældreministeriet Journalnummer: Ministeriet for Sundhed og Forebyggelse, j.nr. 1211494 Senere ændringer til

Læs mere

Bekendtgørelse om sikkerheds- og sundhedsarbejde på faste offshoreanlæg 1)

Bekendtgørelse om sikkerheds- og sundhedsarbejde på faste offshoreanlæg 1) BEK nr 1504 af 15/12/2010 (Historisk) Udskriftsdato: 6. marts 2017 Ministerium: Beskæftigelsesministeriet Journalnummer: Klima- og Energimin., Energistyrelsen, j.nr. 1129/1079-0017 Senere ændringer til

Læs mere

Kl Indledning v. Lone Strøm, Rigsrevisor

Kl Indledning v. Lone Strøm, Rigsrevisor Kl. 13.00-13.10 Indledning v. Lone Strøm, Rigsrevisor Kl. 13.10-13.40 Hvad viser Rigsrevisionens beretning? Hvad viser beretningen om styring af it-sikkerhed hos it-leverandører? v. Claus Bobjerg Juul,

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017 Skanderborg Kommune ISMS-regler Informationssikkerhedsregler for hvert krav i ISO 27001:2017 02-04-2018 Indholdsfortegnelse 4 Organisationens kontekst 1 4.1 Forståelse af organisationen og dens kontekst

Læs mere

Bilag X Databehandleraftale

Bilag X Databehandleraftale Bilag X Databehandleraftale 1 Anvendelsesområde og omfang 1.1 KUNDEN er dataansvarlig for de personoplysninger, som MICO behandler på vegne af KUNDEN i henhold til Aftalen. MICO er databehandler. KUNDEN

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

Bekendtgørelse om matchtilpasning og volatilitetsjustering af den risikofrie rentekurve for gruppe 1-forsikringsselskaber 1)

Bekendtgørelse om matchtilpasning og volatilitetsjustering af den risikofrie rentekurve for gruppe 1-forsikringsselskaber 1) BEK nr 1775 af 16/12/2015 (Gældende) Udskriftsdato: 4. marts 2017 Ministerium: Erhvervs- og Vækstministeriet Journalnummer: Erhvervs- og Vækstmin., Finanstilsynet, j.nr. 162-0033 Senere ændringer til forskriften

Læs mere

Bekendtgørelse om opgørelse af solvenskapitalkravet ved anvendelse af en af Finanstilsynet godkendt intern model 1)

Bekendtgørelse om opgørelse af solvenskapitalkravet ved anvendelse af en af Finanstilsynet godkendt intern model 1) BEK nr 1671 af 16/12/2015 (Gældende) Udskriftsdato: 16. juni 2016 Ministerium: Erhvervs- og Vækstministeriet Journalnummer: Erhvervs- og Vækstmin., Finanstilsynet, j.nr. 162-0035 Senere ændringer til forskriften

Læs mere

Center for Cybersikkerhed jura@cfcs.dk stibus@cfcs.dk 18. maj 2016 Høring over udkast til forslag til bekendtgørelser om net- og informationssikkerhed Teleindustrien, IT-Branchen og DI Digital (herefter

Læs mere

Bekendtgørelse om tilsyn, gebyr mv. for olie- og gasanlæg 1

Bekendtgørelse om tilsyn, gebyr mv. for olie- og gasanlæg 1 Bekendtgørelse om tilsyn, gebyr mv. for olie- og gasanlæg 1 I medfør af 39, stk. 1, 45 c, 55, stk. 1 og 3, og 61, stk. 1, i lov om beskyttelse af havmiljøet, jf. lovbekendtgørelse nr. 963 af 3. juli 2013,

Læs mere

UDKAST. Kapitel 1. Definitioner

UDKAST. Kapitel 1. Definitioner Justitsministeriet Civil- og Politiafdelingen Dato: 24. marts 2004 Kontor: Politikontoret Sagsnr.: 2002-945-0922 Dok.: LHL20442 UDKAST Bekendtgørelse nr. om telenet- og teletjenesteudbyderes registrering

Læs mere

Kontraktbilag 7: Databehandleraftale

Kontraktbilag 7: Databehandleraftale Kontraktbilag 7: Databehandleraftale DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Region Syddanmark Damhaven 12 CVR.nr.: 29190909 (herefter Dataansvarlig ) og Databehandler Leverandør

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Forsvarsministeriets Materiel- og Indkøbsstyrelse Bilag 8 Databehandleraftale [Vejledning til Tilbudsgiverne: Bilaget skal ikke udfyldes af Tilbudsgiver i forbindelse med afgivelse af tilbud. Bilag udfyldes i fællesskab med FMI, hvis det er nødvendigt.

Læs mere

Organisering og styring af informationssikkerhed. I Odder Kommune

Organisering og styring af informationssikkerhed. I Odder Kommune Organisering og styring af informationssikkerhed I Odder Kommune Indhold Indledning...3 Organisationens kontekst (ISO kap. 4)...3 Roller, ansvar og beføjelser i organisationen (ISO kap. 5)...4 Risikovurdering

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Bekendtgørelse om tilladelse til forvaltere af alternative investeringsfonde til markedsføring til detailinvestorer 1)

Bekendtgørelse om tilladelse til forvaltere af alternative investeringsfonde til markedsføring til detailinvestorer 1) BEK nr 797 af 26/06/2014 (Gældende) Udskriftsdato: 13. marts 2017 Ministerium: Erhvervs- og Vækstministeriet Journalnummer: Erhvervs- og Vækstmin., Finanstilsynet, j.nr.142-0008 Senere ændringer til forskriften

Læs mere

Bekendtgørelse om rapporter om solvens og finansiel situation for gruppe 1- forsikringsselskaber og koncerner 1)

Bekendtgørelse om rapporter om solvens og finansiel situation for gruppe 1- forsikringsselskaber og koncerner 1) BEK nr 1761 af 15/12/2015 (Gældende) Udskriftsdato: 7. februar 2017 Ministerium: Erhvervs- og Vækstministeriet Journalnummer: Erhvervs- og Vækstmin., Finanstilsynet, j.nr. 162-0036 Senere ændringer til

Læs mere

Politik <dato> <J.nr.>

Politik <dato> <J.nr.> Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .

Læs mere

It-beredskabsstrategi for Horsens Kommune

It-beredskabsstrategi for Horsens Kommune It-beredskabsstrategi for Horsens Kommune Senest opdateret oktober 2016 1 Indholdsfortegnelse 1. FORMÅL MED IT-BEREDSKABSSTRATEGIEN... 3 2. STRATEGIENS SAMMENHÆNG TIL DET RESTERENDE BEREDSKAB... 3 3. OMFANG,

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Informationssikkerhedspolitik for Horsens Kommune

Informationssikkerhedspolitik for Horsens Kommune Informationssikkerhedspolitik for Horsens Kommune Senest opdateret januar 2016 Indholdsfortegnelse 1. FORMÅL... 3 2. OMFANG OG SIKKERHEDSNIVEAU... 3 3. HOVEDMÅLSÆTNINGER... 4 4. ORGANISERING OG ANSVAR...

Læs mere

Bekendtgørelse om beskyttelse mod udsættelse for biologiske agenser på offshoreanlæg m.v. 1)

Bekendtgørelse om beskyttelse mod udsættelse for biologiske agenser på offshoreanlæg m.v. 1) Bekendtgørelse om beskyttelse mod udsættelse for biologiske agenser på offshoreanlæg m.v. 1) I medfør af 3, stk. 3, 17, 37 og 43, 50, stk. 4, 52, stk. 1, 55, og 72, stk. 1, i lov nr. 1424 af 21. december

Læs mere

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) og Databehandler Dansk Telemedicin A/S Robert Jacobsens Vej 68 2300 København S CVR.nr.:

Læs mere

BILAG 14: DATABEHANDLERAFTALE

BILAG 14: DATABEHANDLERAFTALE BILAG 14: DATABEHANDLERAFTALE Side 1/9 Aftale om databehandling mellem Kunden og Leverandøren Side 2/9 Vejledning: [Dette bilag kan ikke ændres af tilbudsgiver. Bilaget udgør således i sin helhed et mindstekrav

Læs mere

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen. vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Bilag 9b IT-sikkerhedsdokumenter Bilag 9b 1 1 INDHOLDSFORTEGNELSE 1. IT-sikkerhedspolitik for Københavns Kommune

Læs mere

Nr. 1 16. juli 2014. Vegleiðing til kunngerð um útveiting av týðandi virkisøkjum

Nr. 1 16. juli 2014. Vegleiðing til kunngerð um útveiting av týðandi virkisøkjum Nr. 1 16. juli 2014 Vegleiðing til kunngerð um útveiting av týðandi virkisøkjum (Vejledning til bekendtgørelse om outsourcing af væsentlige aktivitetsområder) 1. Indledning 1.1. Kunngerð nr. 1 frá 16.

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

Bekendtgørelse om ombygning og væsentlig reparation af elevatorer mv.

Bekendtgørelse om ombygning og væsentlig reparation af elevatorer mv. BEK nr 677 af 27/06/2008 (Gældende) Udskriftsdato: 2. januar 2018 Ministerium: Beskæftigelsesministeriet Journalnummer: Beskæftigelsesmin., Arbejdstilsynet, j.nr. 200700018137 Senere ændringer til forskriften

Læs mere

BEK nr 1349 af 12/12/2014 (Gældende) Udskriftsdato: 22. maj 2017

BEK nr 1349 af 12/12/2014 (Gældende) Udskriftsdato: 22. maj 2017 BEK nr 139 af 12/12/201 (Gældende) Udskriftsdato: 22. maj 2017 Ministerium: Erhvervs- og Vækstministeriet Journalnummer: Erhvervs- og Vækstmin., Finanstilsynet, j.nr.122-0016 Senere ændringer til forskriften

Læs mere

Bekendtgørelse om registrering af aktiver i forsikringsselskaber og firmapensionskasser 1)

Bekendtgørelse om registrering af aktiver i forsikringsselskaber og firmapensionskasser 1) BEK nr 1359 af 30/11/2015 (Gældende) Udskriftsdato: 31. januar 2017 Ministerium: Erhvervs- og Vækstministeriet Journalnummer: Erhvervs- og Vækstmin., Finanstilsynet, j.nr. 162-0025 Senere ændringer til

Læs mere

Procedure for tilsyn af databehandleraftale

Procedure for tilsyn af databehandleraftale IT Projekt og Udviklingsafdeling Dato:7.2.2017 Procedure for tilsyn af databehandleraftale Reference til Retningslinjer for Informationssikkerhed: Afsnit 14.5 (Databehandleraftaler). Ved ibrugtagning af

Læs mere

Overordnet Informationssikkerhedsstrategi. for Odder Kommune

Overordnet Informationssikkerhedsstrategi. for Odder Kommune Overordnet Informationssikkerhedsstrategi for Odder Kommune Indhold Indledning...3 Mål for sikkerhedsniveau...3 Holdninger og principper...4 Gyldighed og omfang...5 Organisering, ansvar og godkendelse...5

Læs mere

Bekendtgørelse om visse aspekter i forbindelse med tilrettelæggelsen af arbejdstiden på offshoreanlæg 1

Bekendtgørelse om visse aspekter i forbindelse med tilrettelæggelsen af arbejdstiden på offshoreanlæg 1 Bekendtgørelse om visse aspekter i forbindelse med tilrettelæggelsen af arbejdstiden på offshoreanlæg 1 I medfør af 51, stk. 4, 55, stk. 1, og 72, stk. 1, i lov nr. 1424 af 21. december 2005 om sikkerhed

Læs mere

1) er myndig og ikke er under værgemål efter værgemålslovens 5 eller under samværgemål efter værgemålslovens

1) er myndig og ikke er under værgemål efter værgemålslovens 5 eller under samværgemål efter værgemålslovens BEK nr 63 af 18/01/2016 (Gældende) Udskriftsdato: 7. juli 2016 Ministerium: Energi-, Forsynings- og Klimaministeriet Journalnummer: Energi-, Forsynings- og Klimamin., Geodatastyrelsen, j.nr. KMS-301-00035

Læs mere

Bekendtgørelse om produktgodkendelsesprocedurer 1)

Bekendtgørelse om produktgodkendelsesprocedurer 1) BEK nr 922 af 29/06/2017 (Gældende) Udskriftsdato: 6. juli 2017 Ministerium: Erhvervsministeriet Journalnummer: Erhvervsmin., Finanstilsynet, j.nr. 142-0003 Senere ændringer til forskriften Ingen Bekendtgørelse

Læs mere

Bekendtgørelse om vagtvirksomhed 1)

Bekendtgørelse om vagtvirksomhed 1) BEK nr 1564 af 20/12/2007 (Historisk) Udskriftsdato: 30. januar 2018 Ministerium: Justitsministeriet Journalnummer: Justitsmin., j.nr. 2006-114-0060 Senere ændringer til forskriften BEK nr 302 af 27/03/2014

Læs mere

Bekendtgørelse af lov om forsvarets formål, opgaver og organisation m.v.

Bekendtgørelse af lov om forsvarets formål, opgaver og organisation m.v. LBK nr 582 af 24/05/2017 (Gældende) Udskriftsdato: 28. november 2017 Ministerium: Forsvarsministeriet Journalnummer: Forsvarsmin., j.nr. 2017/000334 Senere ændringer til forskriften Ingen Bekendtgørelse

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

Ny bekendtgørelse Gældende bekendtgørelse Bemærkninger Bekendtgørelse om kontrol med arbejdsmiljøet ved risiko for større uheld med farlige stoffer

Ny bekendtgørelse Gældende bekendtgørelse Bemærkninger Bekendtgørelse om kontrol med arbejdsmiljøet ved risiko for større uheld med farlige stoffer Ny bekendtgørelse Gældende bekendtgørelse Bemærkninger Bekendtgørelse om kontrol med arbejdsmiljøet ved risiko for større uheld med farlige stoffer Kapitel 1 - Område 1. Denne bekendtgørelse fastsætter

Læs mere

Rammeaftalebilag 5 - Databehandleraftale

Rammeaftalebilag 5 - Databehandleraftale Rammeaftalebilag 5 - Databehandleraftale Denne databehandleraftale (Aftale) er indgået mellem Norddjurs Kommune Torvet 3 8500 Grenaa (Kommunen) Dataansvarlig og Leverandør Adresse Postnummer CVR nr.: (Leverandøren)

Læs mere

Bekendtgørelse om sikkerheds- og sundhedsarbejde på mobile offshoreanlæg 1)

Bekendtgørelse om sikkerheds- og sundhedsarbejde på mobile offshoreanlæg 1) Bekendtgørelse om sikkerheds- og sundhedsarbejde på mobile offshoreanlæg 1) I medfør af 49, 72, stk. 1, og 73 i lov nr. 1424 af 21. december 2005 om sikkerhed m.v. for offshoreanlæg til efterforskning,

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Økonomiforvaltningen Koncernservice CVR.nr.: 64 94 22 12 Borups Allé 177 2400 København NV (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.:

Læs mere

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484 DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres

Læs mere

Bekendtgørelse om Holsteinborg Nor Vildtreservat 1)

Bekendtgørelse om Holsteinborg Nor Vildtreservat 1) BEK nr 1762 af 15/12/2015 (Gældende) Udskriftsdato: 23. december 2016 Ministerium: Miljø- og Fødevareministeriet Journalnummer: Miljø- og Fødevaremin., Naturstyrelsen, j.nr. NST-300-00052 Senere ændringer

Læs mere

Informationssikkerhedspolitik for Sønderborg Kommune

Informationssikkerhedspolitik for Sønderborg Kommune Informationssikkerhedspolitik for Sønderborg Kommune Denne politik er godkendt af Byrådet d. 4. februar 2015 og træder i kraft d. 1. marts 2015 Seneste version er tilgængelig på intranettet 1/8 Indledning

Læs mere

Databehandleraftale Leverandør

Databehandleraftale Leverandør , Beskæftigelses- og Integrationsforvaltningen Bilag L - 1 Leverandør Dags dato er indgået nedenstående aftale mellem: Københavns Kommune Beskæftigelses- og Integrationsforvaltningen CVR.nr.: 64 94 22

Læs mere

Bekendtgørelse om vurdering af virkning på miljøet (VVM) ved projekter om etablering m.v. af elproduktionsanlæg på havet 1)

Bekendtgørelse om vurdering af virkning på miljøet (VVM) ved projekter om etablering m.v. af elproduktionsanlæg på havet 1) BEK nr 68 af 26/01/2012 (Historisk) Udskriftsdato: 25. november 2017 Ministerium: Energi-, Forsynings- og Klimaministeriet Journalnummer: Klima-, Energi- og Bygningsmin., Energistyrelsen, j.nr. 2203/1190-0033

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Bilag K Dags dato er indgået nedenstående aftale mellem Københavns Kommune [Forvaltning] [Center] CVR.nr.: 64 94 22 12 [Adresse] (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.] [Adresse] [Postnummer

Læs mere

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,

Læs mere

Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden

Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden Vejledningen og tilhørende bilag skal betragtes som inspiration og støtte til den overordnede vejledning Departementets

Læs mere

Informationssikkerhedspolitik for Region Midtjylland

Informationssikkerhedspolitik for Region Midtjylland Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk Informationssikkerhedspolitik for Region Midtjylland 1. Indledning Denne informationssikkerhedspolitik

Læs mere

Bekendtgørelse om registrering af ledningsejere

Bekendtgørelse om registrering af ledningsejere BEK nr 1011 af 25/10/2012 (Gældende) Udskriftsdato: 9. februar 2017 Ministerium: Energi-, Forsynings- og Klimaministeriet Journalnummer: Ministeriet for By, Bolig og Landdistrikter, j.nr. 2012-2662 Senere

Læs mere

Politik for Fortsat Drift Silkeborg Kommune

Politik for Fortsat Drift Silkeborg Kommune Politik for Fortsat Drift Silkeborg Kommune 2014-2017 Direktionen Indledning Silkeborg Kommune har ansvaret for at drive en række kritiske funktioner med direkte påvirkning af borgere og virksomheder.

Læs mere

Fællesregional Informationssikkerhedspolitik

Fællesregional Informationssikkerhedspolitik Udbud nr. 2016/S 199-358626 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 13.1 - Fællesregional Informationssikkerhedspolitik Underbilag 13.1 Fællesregional Informationssikkerhedspolitik Side 1/6

Læs mere

Bekendtgørelse om Finanstilsynets certificering af statsautoriserede revisorer 1)

Bekendtgørelse om Finanstilsynets certificering af statsautoriserede revisorer 1) BEK nr 874 af 01/07/2015 (Gældende) Udskriftsdato: 14. juli 2015 Ministerium: Erhvervs- og Vækstministeriet Journalnummer: Erhvervs- og Vækstmin., Finanstilsynet, j.nr. 50218-0007 Senere ændringer til

Læs mere

Overordnet It-sikkerhedspolitik

Overordnet It-sikkerhedspolitik Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285

Læs mere

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen ) DATABEHANDLERAFTALE Mellem Furesø Kommune Stiager 2 3500 Værløse CVR. nr.: 29188327 (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er der

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

Bekendtgørelse om tilladelse til fiskeri efter muslinger og østers herunder om overdragelige fartøjstilladelsesandele

Bekendtgørelse om tilladelse til fiskeri efter muslinger og østers herunder om overdragelige fartøjstilladelsesandele BEK nr 463 af 09/05/2014 (Gældende) Udskriftsdato: 25. september 2017 Ministerium: Miljø- og Fødevareministeriet Journalnummer: Fødevaremin., NaturErhvervstyrelsen, j.nr. 13-7400-000058 Senere ændringer

Læs mere

Lovtidende A 2011 Udgivet den 14. januar 2011

Lovtidende A 2011 Udgivet den 14. januar 2011 Lovtidende A 2011 Udgivet den 14. januar 2011 11. januar 2011. Nr. 22. Anordning om ikrafttræden for Færøerne af lov om pantebrevsselskaber VI MARGRETHE DEN ANDEN, af Guds Nåde Danmarks Dronning, gør vitterligt:

Læs mere

Bekendtgørelse om projekterendes og rådgiveres pligter m.v. efter lov om arbejdsmiljø 1)

Bekendtgørelse om projekterendes og rådgiveres pligter m.v. efter lov om arbejdsmiljø 1) BEK nr 110 af 05/02/2013 (Gældende) Udskriftsdato: 26. januar 2017 Ministerium: Beskæftigelsesministeriet Journalnummer: Beskæftigelsesmin., Arbejdstilsynet, j.nr. 20120218273 Senere ændringer til forskriften

Læs mere

Forslag. Lov om radioudstyr og elektromagnetiske forhold 1)

Forslag. Lov om radioudstyr og elektromagnetiske forhold 1) 2015/1 LSF 92 (Gældende) Udskriftsdato: 2. oktober 2016 Ministerium: Energi-, Forsynings- og Klimaministeriet Journalnummer: Energi-, Forsynings- og Klimamin. Energistyrelsen, j.nr. 2015-6274 Fremsat den

Læs mere

Bekendtgørelse om Saltholm vildtreservat og fredning af dele af søterritoriet 1)

Bekendtgørelse om Saltholm vildtreservat og fredning af dele af søterritoriet 1) BEK nr 684 af 20/06/2014 (Gældende) Udskriftsdato: 21. december 2016 Ministerium: Miljø- og Fødevareministeriet Journalnummer: Miljømin., Naturstyrelsen, j.nr. NST-351-00042 Senere ændringer til forskriften

Læs mere

Bekendtgørelse om anerkendelse af erhvervsmæssige kvalifikationer erhvervet i udlandet 1)

Bekendtgørelse om anerkendelse af erhvervsmæssige kvalifikationer erhvervet i udlandet 1) BEK nr 151 af 25/02/2016 (Gældende) Udskriftsdato: 7. oktober 2016 Ministerium: Beskæftigelsesministeriet Journalnummer: Beskæftigelsesmin., Arbejdstilsynet, j.nr. 20155000093 Senere ændringer til forskriften

Læs mere

Bekendtgørelse om udbud af online væddemål

Bekendtgørelse om udbud af online væddemål Bekendtgørelse om udbud af online væddemål I medfør af 11, stk. 4, 36, stk. 2, 41, stk. 1, og 60 i lov nr. 848 af 1. juli 2010 om spil fastsættes: Kapitel 1 Anvendelsesområde 1. Bekendtgørelsen finder

Læs mere

Bekendtgørelse om koordineret anvendelse af netelementer i elektroniske kommunikationsnet og tilhørende faciliteter samt ledningsnet i bygninger 1)

Bekendtgørelse om koordineret anvendelse af netelementer i elektroniske kommunikationsnet og tilhørende faciliteter samt ledningsnet i bygninger 1) BEK nr 384 af 21/04/2011 (Gældende) Udskriftsdato: 24. januar 2018 Ministerium: Energi-, Forsynings- og Klimaministeriet Journalnummer: Ministeriet for Videnskab, Teknologi og Udvikling, IT- og Telestyrelsen,

Læs mere

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) AFTALE OM BEHANDLING AF PERSONOPLYSNINGER Mellem [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) og Midttrafik Søren Nymarks Vej 3 8270 Højbjerg CVR-nr.: 29943176 (herefter Midttrafik

Læs mere

Bekendtgørelse om beskyttelse mod udsættelse for biologiske agenser i forbindelse med offshore olie- og gasaktiviter m.v. 1)

Bekendtgørelse om beskyttelse mod udsættelse for biologiske agenser i forbindelse med offshore olie- og gasaktiviter m.v. 1) BEK nr 1342 af 27/11/2015 (Gældende) Udskriftsdato: 6. juli 2016 Ministerium: Beskæftigelsesministeriet Journalnummer: Beskæftigelsesmin., Arbejdstilsynet, j.nr. 20159000211 Senere ændringer til forskriften

Læs mere