Bekendtgørelse om informationssikkerhed og beredskab for elektroniske kommunikationsnet og -tjenester 1)

Transkript

1 (Gældende) Udskriftsdato: 14. januar 2015 Ministerium: Erhvervs- og Vækstministeriet Journalnummer: Ministeriet for Videnskab, Teknologi og Udvikling, IT- og Telestyrelsen, j.nr Senere ændringer til forskriften BEK nr 1025 af 21/08/2013 Bekendtgørelse om informationssikkerhed og beredskab for elektroniske kommunikationsnet og -tjenester 1) I medfør af 8, stk. 1, 2 og 4, jf. 20, stk. 1, 62, stk. 1, 2 og 4, 64, stk. 1 og 2 samt 81, stk. 2 og 4, i lov nr. 169 af 3. marts 2011 om elektroniske kommunikationsnet og -tjenester fastsættes efter bemyndigelse i henhold til 66, stk. 1, jf. 3, stk. 1, 2 og 3, 5, stk. 1 og 2, 7, stk. 2 samt 8, i bekendtgørelse nr. 396 af 21. april 2011 om rammerne for informationssikkerhed og beredskab: Formål og anvendelsesområde 1. Bekendtgørelsen har til formål at sikre informationssikkerhed, herunder beskyttelse af persondata, i forbindelse med udbud af offentlige elektroniske kommunikationsnet og -tjenester samt et beredskab med henblik på i en beredskabssituation at kunne videreføre væsentlige funktioner i samfundet, som udføres under anvendelse af elektroniske kommunikationsnet og -tjenester. 2. Bekendtgørelsen gælder for udbydere, herunder erhvervsmæssige udbydere, af offentlige elektroniske kommunikationsnet og -tjenester og ejere af elektroniske kommunikationsnet, der anvendes til erhvervsmæssigt udbud af offentlige elektroniske kommunikationstjenester. Stk. 2. 6, 7, 15 og 16 gælder kun for udbydere af offentlige elektroniske kommunikationstjenester. Stk. 3. 4, stk. 2, gælder kun for erhvervsmæssige udbydere af offentlige elektroniske kommunikationsnet og -tjenester. Stk , 18 og 21 gælder kun for ejere af elektroniske kommunikationsnet, der anvendes til erhvervsmæssigt udbud af offentlige elektroniske kommunikationstjenester. Definitioner 3. I denne bekendtgørelse forstås ved: 1) Informationssikkerhed, herunder persondatasikkerhed: a) Tilgængelighed: At net, tjenester og data er tilgængelige og anvendelige. b) Fortrolighed: At data i forbindelse med net- og tjenesteudbuddet kun er tilgængelige for og kun behandles af henholdsvis fysiske eller juridiske personer, som data er tiltænkt, eller som er autoriserede hertil i henhold til lovlige formål. c) Integritet: At data i forbindelse med net- og tjenesteudbuddet ikke forvanskes ved uautoriserede og/eller utilsigtede ændringer. 2) Beredskab for elektroniske kommunikationsnet og -tjenester: Planlægning og udførelse af de foranstaltninger, der er nødvendige for at opretholde eller genetablere samfundsvigtig elektronisk kommunikation i beredskabssituationer. 3) Beredskabssituation: Større ulykker og katastrofer og andre ekstraordinære hændelser eller kriser, hvor det er nødvendigt at indføre særlige foranstaltninger vedrørende elektroniske kommunikationsnet og -tjenester med henblik på at kunne opretholde samfundets funktioner samt yde støtte til beredskabsmyndighederne. 1

2 4) Samfundsvigtig elektronisk kommunikation: Kommunikation, der foregår via elektroniske kommunikationsnet og -tjenester, og som er nødvendig med henblik på videreførelse af samfundets funktioner under forhold som nævnt i nr. 3. 5) Beredskabsmyndigheder: Offentlige myndigheder og offentlige og private virksomheder og institutioner, som bidrager til opretholdelse af samfundets funktioner i en beredskabssituation. 6) Brud på persondatasikkerheden: Sikkerhedsbrud, der fører til hændelig eller uretmæssig tilintetgørelse, tab, ændring, ubeføjet videregivelse af eller adgang til persondata, der sendes, lagres eller på anden måde behandles i forbindelse med udbuddet af en offentlig elektronisk kommunikationstjeneste. Stk. 2. I det omfang denne bekendtgørelse refererer til begreber, som er defineret i lov om elektroniske kommunikationsnet og -tjenester og lov om behandling af personoplysninger, henvises til de i disse love fastlagte definitioner. Risikostyring 4. Net- og tjenesteudbydere, jf. 2, stk. 1, skal løbende som led i virksomhedens planlægnings- og driftsopgaver træffe passende tekniske og organisatoriske foranstaltninger med henblik på at styre risici for informationssikkerheden i net og tjenester. Udbyderne skal sikre et sikkerhedsniveau, der, under hensyn til teknologiens aktuelle stade, står i forhold til risici. Stk. 2. Erhvervsmæssige udbydere, jf. 2, stk. 3, skal udover, hvad der følger af stk. 1, foretage en beredskabsplanlægning til forebyggelse og håndtering af beredskabssituationer med henblik på, at udbuddet af erhvervsmæssige offentlige elektroniske kommunikationsnet- og tjenester i videst muligt omfang kan opretholdes. Stk. 3. Udbyderne, jf. stk. 1 og 2, skal gennem planlægning sikre, at de nødvendige ressourcer er til rådighed til sikkerhedsarbejdet og ved aktivering og gennemførelse af beredskabet. Udbyderne skal i den forbindelse sikre, at de medarbejdere, som skal håndtere informationssikkerheden og beredskabet, løbende modtager den fornødne instruktion, uddannelse og træning. Stk. 4. Net- og tjenesteudbydere kan ikke overdrage ansvaret for informationssikkerheden og beredskabet, jf. stk. 1-3, til tredjemand. Hvis opgaven med planlægning af informationssikkerhed og beredskab eller centrale dele af virksomhedens drifts- og/eller planlægningsopgaver i øvrigt udføres af tredjemand, skal udbyder gennem aftale og ved kontrol påse informationssikkerheden og beredskabet. Informationssikkerhed 5. Net- og tjenesteudbydere, jf. 2, stk. 1, skal varetage informationssikkerheden, jf. 3, stk. 1, nr. 1 og 4, stk. 1, på baggrund af en dokumenteret risikostyringsproces. Udbyderne skal i den forbindelse kortlægge risici og herudfra identificere, udvælge og prioritere foranstaltninger til beskyttelse af net, tjenester og data inden for eget forretningsområde. Disse foranstaltninger skal særligt hindre og minimere virkningen af sikkerhedshændelser for brugerne og for andre net, med hvilke det berørte net er sammenkoblet. Stk. 2. Udbyderne skal, jf. stk. 1, inden 1. januar 2012 udarbejde en informationssikkerhedspolitik samt i relevant omfang sikringsplaner indeholdende foranstaltninger til beskyttelse af net, tjenester og data. 6. Tjenesteudbydere, jf. 2, stk. 2, skal, hvor der er særlig risiko for brud på informationssikkerheden informere slutbrugerne herom. Hvis risikoen ligger uden for de foranstaltninger, der skal træffes af udbyderen efter denne bekendtgørelse skal der tillige informeres om, hvordan hændelsen i givet fald kan forebygges, herunder med angivelse af de omkostninger, der sandsynligvis vil være forbundet hermed. Persondatasikkerhed 7. Tjenesteudbydere, jf. 2, stk. 2, skal udover, hvad der følger af 5, inden 1. januar 2012 udarbejde en sikkerhedspolitik for persondatasikkerheden i forbindelse med net- og tjenesteudbuddet og i relevant omfang sikringsplaner omfattende foranstaltninger til beskyttelse heraf. Sådanne foranstaltninger skal, 2

3 udover hvad der følger af krav til selve behandlingen af persondata i kapitel 4 i bekendtgørelse om udbud af elektroniske kommunikationsnet og -tjenester, som minimum: 1) Sikre at kun autoriserede personer får adgang til persondata til lovlige formål 2) Beskytte lagrede persondata og persondata under transmission mod hændelig eller ulovlig tilintetgørelse, hændeligt tab eller ændring og ubeføjet eller ulovlig lagring, behandling, adgang eller videregivelse. Beredskab 8. Ejere af elektroniske kommunikationsnet, jf. 2, stk. 4, skal løbende foretage en beredskabsplanlægning, jf. 4, til forebyggelse og håndtering af beredskabssituationer, jf. 3, stk. 1, nr. 3, der som minimum skal indeholde 1) en risiko- og sårbarhedsvurdering, og 2) en beredskabspolitik og beredskabsplaner, herunder planer for sikring af infrastruktur. Stk. 2. Planlægningen skal omfatte beredskabssituationer, som i væsentlig grad vil kunne reducere funktionaliteten hos ejerens virksomhed og eventuelt andre dele af telesektoren i forhold til udbuddet af offentlige elektroniske kommunikationsnet og -tjenester. Planlægningen skal herudover sikre, at ejeren i nødvendigt omfang kan bidrage til den nationale krisehåndtering. Stk. 3. Ejerens planmateriale skal revideres i det omfang, udviklingen gør det nødvendigt, herunder ved væsentlige ændringer af ejerens virksomhed eller dennes sårbarheder og beredskabsforhold. Planmaterialet skal dog som minimum revideres hvert andet år. 9. Risiko- og sårbarhedsvurderinger i henhold til 8, stk. 1, nr. 1, skal udarbejdes med henblik på videst mulig opretholdelse af udbuddet af offentlige elektroniske kommunikationsnet og -tjenester i en beredskabssituation, jf. 3, stk. 1, nr. 3, og skal omfatte 1) kortlægning og gruppering af ejerens samlede infrastruktur (styresystemer, transmissions- og kabelveje, bygninger m.v.), 2) identifikation af hvilke trusler, der udgør de væsentligste risici, 3) identifikation, udvælgelse og prioritering af beredskabet over for disse risici. Stk. 2. Kortlægning og gruppering af ejerens samlede infrastruktur, jf. stk. 1, nr. 1, skal ske ud fra en vurdering af de enkelte infrastrukturelementers betydning for opretholdelse af udbuddet af elektroniske kommunikationsnet og -tjenester på henholdsvis internationalt, nationalt og lokalt niveau. Ved denne vurdering skal tages hensyn til konsekvenser ved udfald af den pågældende del af infrastrukturen målt i varigheden af afbrydelsen af ejerens udbud og berørte antal slutbrugere. Ved vurderingen skal desuden tages hensyn til infrastrukturens betydning for funktionaliteten i andre dele af telesektoren. Stk. 3. IT- og Telestyrelsen kan fastsætte nærmere retningslinjer for udarbejdelsen af risiko- og sårbarhedsvurderinger, jf. stk. 1 og 2. Stk. 4. IT- og Telestyrelsen kan angive et konkret trusselsbillede, som risiko- og sårbarhedsvurderingerne samt beredskabsplanlægningen skal tage afsæt i. 10. Ejere af elektroniske kommunikationsnet, jf. 2, stk. 4, skal udarbejde relevante sikkerhedspolitikker, herunder en beredskabspolitik og beredskabsplaner til forebyggelse og håndtering af beredskabssituationer, jf. 3, stk. 1, nr. 3. Planerne skal baseres på risiko- og sårbarhedsvurderinger som nævnt i 9. Beredskabsplanerne skal omfatte 1) en eller flere sammenfattende beredskabsplaner, som beskriver ejerens krisehåndtering og i relevant omfang suppleret med 2) underliggende beredskabsplaner i form af detaljerede planer, procedurer, instrukser m.m. samt sikringsplaner for konkrete teleanlæg og anden infrastruktur i relation til opretholdelse af ejerens udbud af elektroniske kommunikationsnet og -tjenester. 3

4 Stk. 2. Beredskabsplaner efter stk. 1 skal angive, hvordan ejeren planlægger at håndtere en beredskabssituation, jf. 3, stk. 1, nr. 3, og styre indsatsen. Formålet er at sikre, at situationen hurtigt normaliseres i videst muligt omfang, og at konsekvenserne af situationen for samfundet reduceres. Krisehåndteringen skal som minimum indeholde følgende elementer: 1) Aktivering, etablering og drift af en kriseorganisation 2) Indhentning, behandling og fordeling af relevante informationer 3) Koordinering af aktørernes handlinger og ressourceanvendelse 4) Udsendelse af relevant, opdateret og samordnet ekstern information. Stk. 3. Beredskabsplaner efter stk. 1 skal som minimum angive følgende konkrete forhold: 1) Ejerens modtagelse og håndtering af oplysninger om beredskabssituationen, jf. 3, stk. 1, nr. 3, fra IT- og Telestyrelsen og andre myndigheder 2) Ejerens kompetence- og beslutningsforhold af relevans for krisehåndteringen 3) Ejerens information af relevante myndigheder, samarbejdsparter m.fl. om situationen og krisehåndteringen 4) Ejerens muligheder for at indsætte yderligere ressourcer i krisehåndteringen i form af personale, materiel, støtte fra andre virksomheder i henhold til aftale 5) Ejerens planer for fremskaffelse af kritiske reservedele fra eget lager eller fra leverandører. 11. Ejere af elektroniske kommunikationsnet, jf. 2, stk. 4, skal etablere et kontaktpunkt. Oplysninger om kontaktpunktet skal tilgå IT- og Telestyrelsen inden 1. august Kontaktpunktet skal i beredskabssituationer, jf. 3, stk. 1, nr. 3, når som helst kunne fungere som forbindelsesled til ejerens virksomhed. Kontaktpunktet skal kunne udveksle informationer, herunder klassificerede informationer, med IT- og Telestyrelsen og andre myndigheder, jf. 63, stk. 2 i lov om elektroniske kommunikationsnet og -tjenester, og skal have beslutningsmyndighed i forhold til at aktivere ejerens beredskab. 12. Ejere af elektroniske kommunikationstjenester, jf. 2, stk. 4, skal på baggrund af risiko- og sårbarhedsvurderinger som nævnt i 9 udarbejde en sikringsplan for og gennemføre sikring af virksomhedens infrastruktur. Sikringsplanen skal beskrive de tiltag, der er eller vil blive iværksat for at imødegå de trusler og risici, der er identificeret i risiko- og sårbarhedsvurderingen. Stk. 2. Sikringsplaner som nævnt i stk. 1 skal i den forbindelse sikre, at særligt kritiske dele af den elektroniske infrastruktur som minimum 1) har lav sårbarhed over for funktionssvigt af væsentlige it-systemer. 2) har nødstrømsforsyning eller anden sikring af infrastrukturen, som i tilfælde af strømafbrydelse sikrer fortsat fuld funktionalitet i mindst 24 timer, 3) har lav sårbarhed over for hændelser, der kan skade virksomheden alvorligt, herunder terror, sabotage eller spionage. Stk. 3. Uanset gruppering af infrastrukturen, jf. 9, stk. 1, nr. 1 og stk. 2, betragtes følgende infrastrukturelementer som minimum som særligt kritiske, jf. stk. 2: 1) Teletrafikudvekslingspunkter mellem offentlige udbydere af elektroniske kommunikationstjenester samt 2) Teletrafikudvekslingspunkter til og fra udlandet. 13. Ejere af elektroniske kommunikationsnet, jf. 2, stk. 4, skal, hvis der foreligger en sikkerhedsmæssig trussel af betydning for ejerens udbud af elektroniske kommunikationsnet og -tjenester, herunder trusler i relation til krise og krig, terror eller sabotage, uden unødigt ophold iagttage IT- og Telestyrelsens påbud og forestå akutte sikkerhedsforanstaltninger inden for egen virksomhed. Sådanne foranstaltninger kan eksempelvis være særlige adgangskontroller, parkeringsrestriktioner, eftersyn med arealer og bygninger, kontrol med postforsendelser, begrænsning af adgangsveje, udpegning og forberedelse af bevogtning af særligt kritiske eller aktuelt truede objekter i samarbejde med relevante beredskabsmyndigheder, jf. 4

5 3, stk. 1, nr. 5, gennemgang og kontrol af fysisk sikring af vitale bygninger og installationer samt afprøvning af beredskabsplaner. Underretningspligter 14. Net- og tjenesteudbydere og ejere af elektroniske kommunikationsnet, jf. 2, stk. 1, skal straks underrette IT- og Telestyrelsen i henhold til bilag 1 til denne bekendtgørelse, hvis udbyder eller ejer: 1) I en beredskabssituation aktiverer sit beredskab planlagt i henhold til 4, stk. 2 eller 10. 2) Bliver bekendt med en hændelse, som uanset årsag i betydeligt omfang har påvirket eller skønnes at ville påvirke udbyders offentlige net- eller tjenesteudbud. 3) Bliver bekendt med en hændelse inden for eget forretningsområde, som uanset årsag i betydeligt omfang har øget eller skønnes at ville øge sårbarheden af samfundets it- og teleforsyning, herunder netog tjenesteudbuddet i andre dele af telesektoren. Stk. 2. Der skal som minimum ske underretning efter stk. 1, hvis der forekommer en afbrydelse af betydeligt omfang i udbyders net- og tjenesteudbud, som omfatter eller skønnes at ville omfatte forbindelser til og fra udlandet, et større geografisk område eller et større antal slutbrugere. Stk. 3. Underretning skal, uanset stk. 1 og 2, også ske, hvis udbyder eller ejer konstaterer hændelser, hvor der er foretaget afbrydelser af net eller tjenester ved terror, sabotage, spionage eller betydelige itangreb. Stk. 4. IT- og Telestyrelsen kan kræve, at udbyder eller ejer informerer offentligheden om hændelsen, jf. stk. 1, 2 og 3, og konsekvenserne for net og -tjenesteudbuddet, hvis det godtgøres, at det er i offentlighedens interesse. Stk. 5. Når der er foretaget underretning i henhold til stk. 1, 2 eller 3, skal udbyder eller ejer i relevant omfang, uopfordret eller på IT- og Telestyrelsens påbud, efterfølgende løbende afgive en situationsrapport i henhold til bilag 1 til denne bekendtgørelse. IT- og Telestyrelsen kan desuden kræve en afsluttende rapport om den eller de hændelser, der har ført til underretningen. 15. Tjenesteudbydere, jf. 2, stk. 2, skal ved brud på persondatasikkerheden, jf. 3, stk. 1, nr. 6, uden unødig forsinkelse underrette IT- og Telestyrelsen om bruddet. Underretningen skal indeholde en præcis beskrivelse af: 1) Karakteren af bruddet. 2) Følgerne af bruddet. 3) Trufne modforholdsregler for at håndtere bruddet 4) Hvilke tekniske beskyttelsesforanstaltninger der var gennemført for at undgå et brud af den pågældende karakter. 5) Om slutbrugerne eller fysiske personer omfattet af bruddet er underrettet. 6) Anbefalinger til slutbrugere eller fysiske personer omfattet af bruddet med henblik på at afbøde mulige negative virkninger af bruddet. 7) Et kontaktpunkt hvor der kan indhentes yderligere oplysninger. Stk. 2. Når bruddet på persondatasikkerheden, jf. stk. 1, kan forventes at krænke personoplysninger eller privatlivet for en slutbruger eller en fysisk person, skal udbyder også uden unødig forsinkelse underrette slutbrugeren eller den fysiske person om sikkerhedsbruddet. Underretningen skal som minimum indeholde de i stk. 1, nr. 1, 6 og 7 nævnte oplysninger. Stk. 3. Brud på persondatasikkerheden, jf. 3, stk. 1, nr. 6, anses for krænkende, jf. stk. 2, hvis det for eksempel kan indebære identitetstyveri eller svig, fysisk skade, betydelig tort eller skade af omdømme i forbindelse med tjenesteudbuddet. Stk. 4. Det er ikke nødvendigt at underrette den pågældende slutbruger eller fysiske person om et brud på persondatasikkerheden, jf. stk. 2, hvis IT- og Telestyrelsen finder det godtgjort fra udbyders side, at denne har gennemført passende tekniske beskyttelsesforanstaltninger, og at disse foranstaltninger er an- 5

6 vendt på de data, som sikkerhedsbruddet vedrørte. Sådanne tekniske beskyttelsesforanstaltninger skal gøre data uforståelige for alle, der ikke har lovlig adgang hertil. Stk. 5. Uden at det berører udbyders forpligtelse til underretning efter stk. 2, kan IT- og Telestyrelsen i tilfælde, hvor underretning ikke allerede er sket, efter at have vurderet bruddets sandsynlige negative virkninger, kræve, at udbyder foretager underretning af slutbrugeren eller den fysiske person om sikkerhedsbruddet. 16. Tjenesteudbydere, jf. 2, stk. 2, skal føre optegnelser over brud på persondatasikkerheden, jf. 3, stk. 1, nr. 6, som indeholder oplysninger om omstændighederne vedrørende bruddene, deres virkninger og de afhjælpende foranstaltninger, der er truffet. Disse optegnelser skal være tilstrækkeligt detaljerede til, at IT- og Telestyrelsen kan føre med kontrol med overholdelsen af 15. Optegnelserne skal kun indeholde de oplysninger, der er nødvendige til dette formål. Stk. 2. Optegnelser i henhold til stk. 1 skal opbevares i minimum 3 år. Tests og øvelser m.v. 17. Net- og tjenesteudbydere og ejere af elektroniske kommunikationsnet, jf. 2, stk. 1, skal løbende vurdere behovet for og foretage de nødvendige test og den nødvendige opdatering og udvikling af foranstaltninger som planlagt i sikringsplaner og gennemført i henhold til 5 og Ejere af elektroniske kommunikationsnet, jf. 2, stk. 4, skal afholde beredskabsøvelser i anvendelse af deres beredskabsplaner. Stk. 2. De i stk. 1 nævnte øvelser skal som minimum afholdes en gang hvert andet år og skal over en 5- årig periode dække alle væsentlige dele af beredskabet, jf. 10. Ejerne skal udarbejde en 5-årig øvelsesplan første gang for perioden fra den 1. januar 2012 til den 31. december Planen skal revideres årligt. I planen angives formålet med de planlagte øvelser, f.eks. træning, kontrol eller udvikling. Stk. 3. Ejerne skal udarbejde en rapport om hver afholdt øvelse, herunder dennes forløb og de opnåede erfaringer samt planlagt opfølgning og tidsplan herfor. Rapportering om øvelser efter stk. 1 og 2 skal foreligge senest 3 måneder efter gennemførelsen af en øvelse og skal på anmodning herom fremsendes til ITog Telestyrelsen. Stk. 4. Ejerne skal på påbud fra IT- og Telestyrelsen efter minimum 3 måneders varsel deltage i øvelsesaktivitet, som har til formål at øve det operative samarbejde mellem IT- og Telestyrelsen, ejerne og andre beredskabsmyndigheder, jf. 3, stk. 1, nr. 5, herunder i forhold til iværksættelse af ejernes beredskab. ITog Telestyrelsen planlægger, om nødvendigt sammen med ejerne, for ejernes deltagelse i sådanne øvelser og anviser procedurer for deltagelse i øvelserne. IT- og Telestyrelsens tilsyn 19. IT- og Telestyrelsen kan påbyde net- og tjenesteudbydere og ejere af elektroniske kommunikationsnet, jf. 2, stk. 1, om de risiko- og sårbarhedsvurderinger, sikkerhedspolitikker, beredskabs- og sikringsplaner samt optegnelser over sikkerhedsbrud, som skal udarbejdes i henhold til denne bekendtgørelse. 20. IT- og Telestyrelsen kan foretage kontrol af de foranstaltninger, som skal træffes af net- og tjenesteudbydere, jf. 2, stk. 1, i henhold til 5 og 7 med henblik på at sikre informationssikkerheden og persondatasikkerheden ved udbuddet af offentlige elektroniske kommunikationsnet og -tjenester. IT- og Telestyrelsen kan i den forbindelse træffe afgørelse, herunder påbyde udbydere at gennemføre de sikringstiltag, som IT- og Telestyrelsen vurderer nødvendige med henblik på at sikre informationssikkerheden og persondatasikkerheden ved udbuddet af offentlige elektroniske kommunikationsnet og -tjenester. Stk. 2. På IT- og Telestyrelsens anmodning skal udbyderne foranstalte en uafhængig sikkerhedsrevision og stille resultaterne heraf til rådighed for IT- og Telestyrelsen. Udgifterne til revisionen afholdes af udbyderne. 6

7 21. IT- og Telestyrelsen kan påbyde ejere af elektroniske kommunikationsnet, jf. 2, stk. 4, at udlevere en årlig redegørelse for ejerens samlede beredskabsplanlægning i medfør af denne bekendtgørelse. Stk. 2. På IT- og Telestyrelsens påbud, jf. stk. 1, skal redegørelsen indeholde nærmere oplysninger om hændelser inden for ejerens forretningsområde, der i årets løb har medført hel eller delvis aktivering af dennes beredskab, eller hændelser i øvrigt, der er givet underretning om til IT- og Telestyrelsen i henhold til 14, stk Stk. 3. IT- og Telestyrelsen kan angive nærmere retningslinjer for ejernes redegørelse for beredskabsplanlægningen, jf. stk. 1 og IT- og Telestyrelsen kan træffe afgørelse, herunder påbyde udbydere, jf. 2, stk. 3, og ejere af elektroniske kommunikationsnet, jf. 2, stk. 4, at gennemføre de sikringstiltag, som IT- og Telestyrelsen vurderer nødvendige med henblik på i en beredskabssituation at kunne videreføre væsentlige funktioner i samfundet, som udføres under anvendelse af elektroniske kommunikationsnet og -tjenester, jf. 4, stk. 2 og 3, 8, 10 og 12. Straffebestemmelser 23. Med bøde straffes den, der overtræder 4, stk. 1, 2 og 3, 5, 6, 7, stk. 1, 8, 9, stk. 1 og 2, 10-13, 14, stk. 1, 2 og 3 og 15, stk. 1 og 2, samt påbud udstedt i medfør af 14, stk. 4 og 5, 15, stk. 5, 18, stk. 4, 19-20, 21, stk. 1 og 2 og 22. Stk. 2. Der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel. Ikrafttræden 24. Bekendtgørelsen træder i kraft den 25. maj Stk. 2. Bekendtgørelse nr. 619 af 18. juni 2009 om planlægning og gennemførelse af beredskab for elektroniske kommunikationsnet og -tjenester ophæves. IT- og Telestyrelsen, den 11. maj 2011 JØRGEN ABILD ANDERSEN / Kresten Bay 7

8 1) Bekendtgørelsen indeholder regler, der gennemfører dele af Europa-Parlamentets og Rådets direktiv 2002/21/EF af 7. marts 2002, EF-Tidende 2002, nr. L 108, side 7, Europa-Parlamentets og Rådets direktiv 2002/22/EF af 7. marts 2002, EF-Tidende 2002, nr. L 108, side 51, Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002, EF-Tidende 2002, L 201, side 37, Europa-Parlamentets og Rådets direktiv 2009/140/EF af 25. november 2009, EF- Tidende 2009, L 337, side 37, og Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009, EF-Tidende 2009, nr. L 337, side 11. 8

9 Bilag 1 Bilag 1 til bekendtgørelse om informationssikkerhed og beredskab for elektroniske kommunikationsnet og -tjenester 1. VIRKSOMHED OG KONTAKTPUNKT: 2. TIDSPUNKT FOR HÆNDELSEN: 3. BESKRIVELSE AF HÆNDELSEN 4. HVOR HAR HÆNDELSEN FUNDET STED? 5. HVILKE NET OG TJENESTER ER BERØRT? 6. HVOR MANGE BRUGERE ER BERØRT? 7. HVILKE GEOGRAFISKE OMRÅDER ER BERØRT? 8. HVILKE TILTAG ER IVÆRKSAT? 9. INFORMERES DE BERØRTE BRUGERE (EVT. ANDRE) OG HVORDAN? 10. HVORNÅR FORVENTES DE BERØRTE NET ELLER TJENESTER AT VÆRE RE- ETABLERET? 11. HVAD KAN IT- OG TELESTYRELSEN EVT. GØRE? 12. ANDET AF BETYDNING Der kan evt. oplyses yderligere om hændelsens konsekvenser, herunder om hændelsen berører samfundsvigtige funktioner, beredskabsmyndigheder m.m. 13. UDFÆRDIGET AF OG UDFÆRDIGELSESTIDSPUNKT: Denne formular findes elektronisk på IT- og Telestyrelsens hjemmeside og kan rekvireres elektronisk ved henvendelse til beredskab@itst.dk. Underretning og situationsrapport til IT- og Telestyrelsen sker på til styrelsens kontaktpunkt: beredskab@itst.dk. Uden for almindelig kontortid (mandag fredag i tidsrummet kl ) modtages autosvar på henvendelsen med besked om til hvilket telefonnummer, der tillige skal rettes telefonisk henvendelse. Akutte henvendelser inden for kontortiden kan også rettes til telefonnummer eller sendes til faxnummer