(Gældende) Udskriftsdato: 14. januar 2015 Ministerium: Erhvervs- og Vækstministeriet Journalnummer: Ministeriet for Videnskab, Teknologi og Udvikling, IT- og Telestyrelsen, j.nr. 09-076167 Senere ændringer til forskriften BEK nr 1026 af 21/08/2013 Bekendtgørelse om rammerne for informationssikkerhed og beredskab 1) I medfør af 8, stk. 1 og 4, 62 samt 81, stk. 2 og 4, i lov nr. 169 af 3. marts 2011 om elektroniske kommunikationsnet og -tjenester fastsættes: Formål 1. Bekendtgørelsen har til formål at sikre informationssikkerhed og herunder beskyttelse af persondata i forbindelse med udbud af elektroniske kommunikationsnet og -tjenester samt et beredskab med henblik på i en beredskabssituation at kunne videreføre væsentlige funktioner i samfundet, som udføres under anvendelse af elektroniske kommunikationsnet og -tjenester, og at bemyndige IT- og Telestyrelsen til at fastsætte nærmere regler på området. Definitioner 2. I denne bekendtgørelse forstås ved: 1) Informationssikkerhed, herunder persondatasikkerhed: a) Tilgængelighed: At net, tjenester og data er tilgængelige og anvendelige. b) Fortrolighed: At data i forbindelse med net- og tjenesteudbuddet kun er tilgængelige for og kun behandles af henholdsvis fysiske eller juridiske personer, som data er tiltænkt, eller som er autoriserede hertil i henhold til lovlige formål. c) Integritet: At data i forbindelse med net- og tjenesteudbuddet ikke forvanskes ved uautoriserede og/eller utilsigtede ændringer. 2) Beredskab for elektroniske kommunikationsnet og -tjenester: Planlægning og udførelse af de foranstaltninger, der er nødvendige for at opretholde eller genetablere samfundsvigtig elektronisk kommunikation i beredskabssituationer. 3) Beredskabssituation: Større ulykker og katastrofer og andre ekstraordinære hændelser eller kriser, hvor det er nødvendigt at indføre særlige foranstaltninger vedrørende elektroniske kommunikationsnet og -tjenester med henblik på at kunne opretholde samfundets funktioner samt yde støtte til beredskabsmyndighederne. 4) Samfundsvigtig elektronisk kommunikation: Kommunikation, der foregår via elektroniske kommunikationsnet og -tjenester, og som er nødvendig med henblik på videreførelse af samfundets funktioner under forhold som nævnt i nr. 3. 5) Beredskabsmyndigheder: Offentlige myndigheder og offentlige og private virksomheder og institutioner, som bidrager til opretholdelse af samfundets funktioner i en beredskabssituation. 6) Brud på persondatasikkerheden: Sikkerhedsbrud, der fører til hændelig eller uretmæssig tilintetgørelse, tab, ændring, ubeføjet videregivelse af eller adgang til persondata, der sendes, lagres eller på anden måde behandles i forbindelse med udbuddet af en offentlig elektronisk kommunikationstjeneste. Stk. 2. I det omfang denne bekendtgørelse refererer til begreber, som er defineret i lov om elektroniske kommunikationsnet og -tjenester og lov om behandling af personoplysninger, henvises til de i disse love fastlagte definitioner. 1
Rammer for informationssikkerhed og persondatabeskyttelse 3. IT- og Telestyrelsen fastsætter nærmere regler om minimumskrav til informationssikkerhed og behandling af persondata i forbindelse med udbydere af offentlige elektroniske kommunikationsnet og -tjenesters udbud af net og tjenester. Stk. 2. Regler fastsat i henhold til stk. 1 omfatter blandt andet krav om følgende: 1) Passende tekniske og organisatoriske foranstaltninger med henblik på at styre risici for informationssikkerheden i net og tjenester, herunder persondatasikkerheden, og sikre et sikkerhedsniveau, der står i forhold til risici. 2) Underretning af IT- og Telestyrelsen ved brud på informationssikkerheden med væsentlige følger for drift af net eller tjenester og ved brud på persondatasikkerheden. Pligten kan omfatte underretning af andre end IT- og Telestyrelsen under særlige omstændigheder. Stk. 3. IT- og Telestyrelsen fastsætter nærmere regler om tilsynet med overholdelsen af regler, der fastsættes i henhold til stk. 1, herunder om kontrol med informations- og persondatasikkerheden. Stk. 4. IT- og Telestyrelsen kan ved brud på informationssikkerheden, som der skal gives underretning om i henhold til regler udstedt i medfør af stk. 1, jf. stk. 2, nr. 2, underrette de nationale tilsynsmyndigheder i andre medlemsstater og Det Europæiske Agentur for Net- og Informationssikkerhed (ENISA). ITog Telestyrelsen kan desuden underrette offentligheden eller påbyde udbydere af offentlige elektroniske kommunikationsnet- og tjenester at underrette offentligheden, hvis det kan godtgøres, at det er i offentlighedens interesse, at et brud på sikkerheden offentliggøres. Stk. 5. IT- og Telestyrelsen forelægger én gang årligt en sammenfattende rapport for Kommissionen og ENISA om foranstaltninger gennemført i henhold til regler udstedt i henhold til stk. 1, jf. stk. 2, nr. 1, om informationssikkerheden, og om underretninger modtaget i medfør af regler udstedt i henhold til stk. 1, jf. stk. 2, nr. 2. 4. IT- og Telestyrelsen kan fastsætte nærmere regler til gennemførelse af supplerende harmoniserende henstillinger, retningslinjer og lignende om informationssikkerhed og persondatabeskyttelse, udstedt af Europa Kommissionen i henhold til rammedirektivet og e-databeskyttelsesdirektivet. 2) Rammer for beredskab 5. IT- og Telestyrelsen fastsætter nærmere regler om, at erhvervsmæssige udbydere af offentlige elektroniske kommunikationsnet og -tjenester skal foretage nødvendig planlægning og træffe nødvendige foranstaltninger, og afholde alle udgifter hertil, for at sikre samfundsvigtig elektronisk kommunikation i beredskabssituationer og i andre ekstraordinære situationer, herunder regler om: 1) En fortrinsstilling for særligt udpegede abonnenter ved benyttelsen af offentlige elektroniske kommunikationsnet og -tjenester om fornødent ved begrænsning eller afskæring af andre abonnenters adgang til disse net og -tjenester. 2) Tilvejebringelse og opretholdelse af samfundsvigtig elektronisk kommunikation til brug for beredskabsmyndighederne, herunder prioritering af faste kredsløb til beredskabsmæssige formål. Stk. 2. IT- og Telestyrelsen fastsætter desuden nærmere regler om, at ejere af elektroniske kommunikationsnet, der anvendes til erhvervsmæssigt udbud af offentlige elektroniske kommunikationstjenester, ved afholdelse af egne udgifter dertil skal: 1) Udarbejde beredskabsplaner baseret på en dokumenteret risikostyringsproces. 2) Sikre beskyttelse af kritisk elektronisk infrastruktur. 3) Planlægge og deltage i øvelsesaktivitet. Stk. 3. IT- og Telestyrelsen kan, i det omfang det er nødvendigt for at sikre opretholdelsen af samfundsvigtig elektronisk kommunikation, påbyde udbydere af elektroniske kommunikationsnet og -tjenester, der ikke er offentligt tilgængelige, at overholde de regler, der fastsættes af IT- og Telestyrelsen efter stk. 1 og 2. 2
6. I en beredskabssituation, jf. 2, stk. 1, nr. 3, hvor det efter IT- og Telestyrelsens skøn er nødvendigt at indføre særlige foranstaltninger, forestår IT- og Telestyrelsen krisestyring. Stk. 2. Som led i IT- og Telestyrelsens krisestyring efter stk. 1 varetager styrelsen koordinering og prioritering af beredskabsmyndighedernes behov for samfundsvigtig elektronisk kommunikation. 7. IT- og Telestyrelsens krisestyring i henhold til 6, stk. 2, omfatter følgende: 1) Påbud til udbydere af elektroniske kommunikationsnet og -tjenester om prioritering af retablering af elektronisk infrastruktur med henblik på afvikling af samfundsvigtig elektronisk kommunikation. 2) Påbud til udbydere af elektroniske kommunikationsnet og -tjenester om, hvilke forbindelser eller tjenester hos udbyderne der skal dækkes af begrænsede fremføringsmuligheder i nettene. 3) Påbud til erhvervsmæssige udbydere af offentlige elektroniske kommunikationsnet og -tjenester om generel begrænsning af trafikken i elektroniske kommunikationsnet og -tjenester ved iværksættelse af de af udbyderne forberedte foranstaltninger, jf. regler fastsat i medfør af 5, stk. 1, nr. 1. Stk. 2. IT- og Telestyrelsen påbyder ejere af elektroniske kommunikationsnet, der anvendes til erhvervsmæssigt udbud af offentlige elektroniske kommunikationstjenester, at iværksætte akutte sikkerhedsforanstaltninger til beskyttelse af infrastrukturen, hvis der efter IT- og Telestyrelsens skøn foreligger en sikkerhedsmæssig trussel af betydning for ejerens udbud af elektroniske kommunikationsnet og -tjenester, herunder trusler i relation til krise og krig, terror eller sabotage. Straffebestemmelser 8. Med bøde straffes den, der ikke efterlever en forpligtelse pålagt i medfør af 3, stk. 4, 5, stk. 3 og 7 eller fastsat i regler udstedt i medfør af 3, stk. 1 og 3, 4 og 5, stk. 1 og 2. Stk. 2. Der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel. Ikrafttræden 9. Bekendtgørelsen træder i kraft den 25. maj 2011. Stk. 2. Bekendtgørelse nr. 575 af 18. juni 2009 om beredskab for elektroniske kommunikationsnet og - tjenester ophæves. Ministeriet for Videnskab, Teknologi og Udvikling, den 21. april 2011 CHARLOTTE SAHL-MADSEN / Kresten Bay 3
1) Bekendtgørelsen indeholder regler, der gennemfører dele af Europa-Parlamentets og Rådets direktiv 2002/21/EF af 7. marts 2002, EF-Tidende 2002, nr. L 108, side 7, Europa-Parlamentets og Rådets direktiv 2002/22/EF af 7. marts 2002, EF-Tidende 2002, nr. L 108, side 51, Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002, EF-Tidende 2002, L 201, side 37, Europa-Parlamentets og Rådets direktiv 2009/140/EF af 25. november 2009, EF- Tidende 2009, L 337, side 37, og Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009, EF-Tidende 2009, nr. L 337, side 11. 4
2) Jf. art. 13a (4) i Europa-Parlamentets og Rådets direktiv 2009/140/EF af 25. november 2009 og art. 4 (5) i Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009. 5