Dokumentet er Historisk
Senere ændringer til forskriften
Ændrer i/ophæver
Oversigt (indholdsfortegnelse)

   

Den fulde tekst

Bekendtgørelse om rammerne for informationssikkerhed og beredskab1)

I medfør af § 8, stk. 1 og 4, § 62 samt § 81, stk. 2 og 4, i lov nr. 169 af 3. marts 2011 om elektroniske kommunikationsnet og -tjenester fastsættes:

Formål

§ 1. Bekendtgørelsen har til formål at sikre informationssikkerhed og herunder beskyttelse af persondata i forbindelse med udbud af elektroniske kommunikationsnet og -tjenester samt et beredskab med henblik på i en beredskabssituation at kunne videreføre væsentlige funktioner i samfundet, som udføres under anvendelse af elektroniske kommunikationsnet og -tjenester, og at bemyndige IT- og Telestyrelsen til at fastsætte nærmere regler på området.

Definitioner

§ 2. I denne bekendtgørelse forstås ved:

1) Informationssikkerhed, herunder persondatasikkerhed:

a) Tilgængelighed: At net, tjenester og data er tilgængelige og anvendelige.

b) Fortrolighed: At data i forbindelse med net- og tjenesteudbuddet kun er tilgængelige for og kun behandles af henholdsvis fysiske eller juridiske personer, som data er tiltænkt, eller som er autoriserede hertil i henhold til lovlige formål.

c) Integritet: At data i forbindelse med net- og tjenesteudbuddet ikke forvanskes ved uautoriserede og/eller utilsigtede ændringer.

2) Beredskab for elektroniske kommunikationsnet og -tjenester: Planlægning og udførelse af de foranstaltninger, der er nødvendige for at opretholde eller genetablere samfundsvigtig elektronisk kommunikation i beredskabssituationer.

3) Beredskabssituation: Større ulykker og katastrofer og andre ekstraordinære hændelser eller kriser, hvor det er nødvendigt at indføre særlige foranstaltninger vedrørende elektroniske kommunikationsnet og -tjenester med henblik på at kunne opretholde samfundets funktioner samt yde støtte til beredskabsmyndighederne.

4) Samfundsvigtig elektronisk kommunikation: Kommunikation, der foregår via elektroniske kommunikationsnet og -tjenester, og som er nødvendig med henblik på videreførelse af samfundets funktioner under forhold som nævnt i nr. 3.

5) Beredskabsmyndigheder: Offentlige myndigheder og offentlige og private virksomheder og institutioner, som bidrager til opretholdelse af samfundets funktioner i en beredskabssituation.

6) Brud på persondatasikkerheden: Sikkerhedsbrud, der fører til hændelig eller uretmæssig tilintetgørelse, tab, ændring, ubeføjet videregivelse af eller adgang til persondata, der sendes, lagres eller på anden måde behandles i forbindelse med udbuddet af en offentlig elektronisk kommunikationstjeneste.

Stk. 2. I det omfang denne bekendtgørelse refererer til begreber, som er defineret i lov om elektroniske kommunikationsnet og -tjenester og lov om behandling af personoplysninger, henvises til de i disse love fastlagte definitioner.

Rammer for informationssikkerhed og persondatabeskyttelse

§ 3. IT- og Telestyrelsen fastsætter nærmere regler om minimumskrav til informationssikkerhed og behandling af persondata i forbindelse med udbydere af offentlige elektroniske kommunikationsnet og -tjenesters udbud af net og tjenester.

Stk. 2. Regler fastsat i henhold til stk. 1 omfatter blandt andet krav om følgende:

1) Passende tekniske og organisatoriske foranstaltninger med henblik på at styre risici for informationssikkerheden i net og tjenester, herunder persondatasikkerheden, og sikre et sikkerhedsniveau, der står i forhold til risici.

2) Underretning af IT- og Telestyrelsen ved brud på informationssikkerheden med væsentlige følger for drift af net eller tjenester og ved brud på persondatasikkerheden. Pligten kan omfatte underretning af andre end IT- og Telestyrelsen under særlige omstændigheder.

Stk. 3. IT- og Telestyrelsen fastsætter nærmere regler om tilsynet med overholdelsen af regler, der fastsættes i henhold til stk. 1, herunder om kontrol med informations- og persondatasikkerheden.

Stk. 4. IT- og Telestyrelsen kan ved brud på informationssikkerheden, som der skal gives underretning om i henhold til regler udstedt i medfør af stk. 1, jf. stk. 2, nr. 2, underrette de nationale tilsynsmyndigheder i andre medlemsstater og Det Europæiske Agentur for Net- og Informationssikkerhed (ENISA). IT- og Telestyrelsen kan desuden underrette offentligheden eller påbyde udbydere af offentlige elektroniske kommunikationsnet- og tjenester at underrette offentligheden, hvis det kan godtgøres, at det er i offentlighedens interesse, at et brud på sikkerheden offentliggøres.

Stk. 5. IT- og Telestyrelsen forelægger én gang årligt en sammenfattende rapport for Kommissionen og ENISA om foranstaltninger gennemført i henhold til regler udstedt i henhold til stk. 1, jf. stk. 2, nr. 1, om informationssikkerheden, og om underretninger modtaget i medfør af regler udstedt i henhold til stk. 1, jf. stk. 2, nr. 2.

§ 4. IT- og Telestyrelsen kan fastsætte nærmere regler til gennemførelse af supplerende harmoniserende henstillinger, retningslinjer og lignende om informationssikkerhed og persondatabeskyttelse, udstedt af Europa Kommissionen i henhold til rammedirektivet og e-databeskyttelsesdirektivet.2)

Rammer for beredskab

§ 5. IT- og Telestyrelsen fastsætter nærmere regler om, at erhvervsmæssige udbydere af offentlige elektroniske kommunikationsnet og -tjenester skal foretage nødvendig planlægning og træffe nødvendige foranstaltninger, og afholde alle udgifter hertil, for at sikre samfundsvigtig elektronisk kommunikation i beredskabssituationer og i andre ekstraordinære situationer, herunder regler om:

1) En fortrinsstilling for særligt udpegede abonnenter ved benyttelsen af offentlige elektroniske kommunikationsnet og -tjenester – om fornødent ved begrænsning eller afskæring af andre abonnenters adgang til disse net og -tjenester.

2) Tilvejebringelse og opretholdelse af samfundsvigtig elektronisk kommunikation til brug for beredskabsmyndighederne, herunder prioritering af faste kredsløb til beredskabsmæssige formål.

Stk. 2. IT- og Telestyrelsen fastsætter desuden nærmere regler om, at ejere af elektroniske kommunikationsnet, der anvendes til erhvervsmæssigt udbud af offentlige elektroniske kommunikationstjenester, ved afholdelse af egne udgifter dertil skal:

1) Udarbejde beredskabsplaner baseret på en dokumenteret risikostyringsproces.

2) Sikre beskyttelse af kritisk elektronisk infrastruktur.

3) Planlægge og deltage i øvelsesaktivitet.

Stk. 3. IT- og Telestyrelsen kan, i det omfang det er nødvendigt for at sikre opretholdelsen af samfundsvigtig elektronisk kommunikation, påbyde udbydere af elektroniske kommunikationsnet og -tjenester, der ikke er offentligt tilgængelige, at overholde de regler, der fastsættes af IT- og Telestyrelsen efter stk. 1 og 2.

§ 6. I en beredskabssituation, jf. § 2, stk. 1, nr. 3, hvor det efter IT- og Telestyrelsens skøn er nødvendigt at indføre særlige foranstaltninger, forestår IT- og Telestyrelsen krisestyring.

Stk. 2. Som led i IT- og Telestyrelsens krisestyring efter stk. 1 varetager styrelsen koordinering og prioritering af beredskabsmyndighedernes behov for samfundsvigtig elektronisk kommunikation.

§ 7. IT- og Telestyrelsens krisestyring i henhold til § 6, stk. 2, omfatter følgende:

1) Påbud til udbydere af elektroniske kommunikationsnet og -tjenester om prioritering af retablering af elektronisk infrastruktur med henblik på afvikling af samfundsvigtig elektronisk kommunikation.

2) Påbud til udbydere af elektroniske kommunikationsnet og -tjenester om, hvilke forbindelser eller tjenester hos udbyderne der skal dækkes af begrænsede fremføringsmuligheder i nettene.

3) Påbud til erhvervsmæssige udbydere af offentlige elektroniske kommunikationsnet og -tjenester om generel begrænsning af trafikken i elektroniske kommunikationsnet og -tjenester ved iværksættelse af de af udbyderne forberedte foranstaltninger, jf. regler fastsat i medfør af § 5, stk. 1, nr. 1.

Stk. 2. IT- og Telestyrelsen påbyder ejere af elektroniske kommunikationsnet, der anvendes til erhvervsmæssigt udbud af offentlige elektroniske kommunikationstjenester, at iværksætte akutte sikkerhedsforanstaltninger til beskyttelse af infrastrukturen, hvis der efter IT- og Telestyrelsens skøn foreligger en sikkerhedsmæssig trussel af betydning for ejerens udbud af elektroniske kommunikationsnet og -tjenester, herunder trusler i relation til krise og krig, terror eller sabotage.

Straffebestemmelser

§ 8. Med bøde straffes den, der ikke efterlever en forpligtelse pålagt i medfør af § 3, stk. 4, § 5, stk. 3 og § 7 eller fastsat i regler udstedt i medfør af § 3, stk. 1 og 3, § 4 og § 5, stk. 1 og 2.

Stk. 2. Der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel.

Ikrafttræden

§ 9. Bekendtgørelsen træder i kraft den 25. maj 2011.

Stk. 2. Bekendtgørelse nr. 575 af 18. juni 2009 om beredskab for elektroniske kommunikationsnet og -tjenester ophæves.

Ministeriet for Videnskab, Teknologi og Udvikling, den 21. april 2011

Charlotte Sahl-Madsen

/ Kresten Bay

Officielle noter

1) Bekendtgørelsen indeholder regler, der gennemfører dele af Europa-Parlamentets og Rådets direktiv 2002/21/EF af 7. marts 2002, EF-Tidende 2002, nr. L 108, side 7, Europa-Parlamentets og Rådets direktiv 2002/22/EF af 7. marts 2002, EF-Tidende 2002, nr. L 108, side 51, Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002, EF-Tidende 2002, L 201, side 37, Europa-Parlamentets og Rådets direktiv 2009/140/EF af 25. november 2009, EF-Tidende 2009, L 337, side 37, og Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009, EF-Tidende 2009, nr. L 337, side 11.

2) Jf. art. 13a (4) i Europa-Parlamentets og Rådets direktiv 2009/140/EF af 25. november 2009 og art. 4 (5) i Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009.