Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Nye krav til cybersikkerhed i staten – få et overblik her

Bird & Bird
04/11/2019
Nye krav til cybersikkerhed i staten – få et overblik her
Bird & Bird logo
Som led i den nationale informationssikkerhedsstrategi har styregruppen for cyber- og informationssikkerhed bestående af repræsentanter for en række ministerier besluttet, at alle statslige myndigheder skal efterleve en række tekniske sikkerhedskrav.

De tekniske sikkerhedskrav følger af en regeringsbeslutning taget som led i den Nationale Strategi For Cyber og Informationssikkerhed 2018-2021 (initiativ 1.2).

Formålet er ifølge pressemeddelelsen om de nye sikkerhedskrav at "beskytte statslige it-arbejdspladser, herunder arbejdsnetværk og arbejdsstationer, mod ondsindede cyber- og informationssikkerhedshændelser som fx hackerangreb og spredning af malware."

Alle statslige myndigheder skal som udgangspunkt efterleve kravene. Kommunerne er derimod ikke underlagt samme krav. Såfremt en myndighed undtagelsesvis ikke efterlever et eller flere af kravene, skal den pågældende myndighed kunne redegøre for årsagen og angive, hvornår myndigheden forventes at have implementeret kravene ud fra 'Følg eller forklar'-princippet.

På sikkerdigital.dk1 anføres det, at størstedelen af kravene allerede følger af eksisterende vejledninger og anbefalinger fra Center for Cybersikkerhed, Digitaliseringsstyrelsen og Datatilsynet, mens de øvrige krav er udtryk for 'best practice'. De fleste myndigheder vil derfor allerede helt eller delvist opfylde flere af kravene.

På hjemmesiden er det endvidere anført, at kravene "ikke er obligatoriske for gæstenetværk eller eksternt rettede systemer, som drives af den offentlige myndighed med ikke-statslige brugere som primær målgruppe. Dog er der visse krav til hjemmesider og mail-kommunikation, som har til formål at sikre borgere, virksomheder og myndigheder mod fx phishing, kompromittering af oplysninger og man-in-the-middle angreb."


Minimumskrav og egne risikovurderinger


Da kravene er 'minimumskrav', er myndighederne forsat forpligtet til at foretage egne risikovurderinger og implementere yderligere sikkerhedsforanstaltninger i det omfang, de vurderer det er nødvendigt og relevant.

Minimumskravene vil være både tekniske og organisatoriske, hvilket konkret betyder, at myndighederne, blandt andet, skal forbedre deres arbejde med risikobaseret informationssikkerhedsledelse samt handlingsplaner for håndtering og udvikling af myndighedernes IT-portefølje.

Praktisk talt vil myndighederne derfor skulle leve op til en række konkrete tekniske minimumskrav, og derudover skulle kunne dokumentere, at de aktivt har taget stilling til relevante vejledningsprodukter samt vurderet behovet for ny teknologi til beskyttelse mod sikkerhedsbrud.

Det vil derfor som udgangspunkt bero på myndighedernes risikovurderinger, hvorvidt der er et egentlig behov for eventuel udskiftning i IT-porteføljen eller omstrukturering af deres organisation. Minimumskravene omfatter typer af teknologi, der betragtes som egentlige standarder og derfor obligatoriske, men for visse typer af teknologi såsom beskyttelse mod skadelige hjemmesider, vil myndigheden have valgfrihed.

De fleste krav skal være implementeret senest den 1. januar 2020, mens enkelte krav først skal være implementeret den 1. juli 2020.

Kravene skal være implementeret i alle relevante systemer (både nye og gamle).


Dette skal implementeres senest 1. januar 2020


Klienter/PC'er

  • Der skal implementeres firewall på alle klienter, der sikrer mod utilsigtet adgang til arbejdsstationer. Kravet følger af best practice.

  • Medarbejdere, der på deres arbejdscomputer tilgår internettet fra eksterne netværk, skal altid benytte en VPN-forbindelse, hvilket sikrer den fornødne dataintegritet og fortrolighed samt modvirker man-in-the-middle-angreb. Kravet følger af en vejledning fra Center fra Cybersikkerhed.

  • Alle harddiske skal være krypterede for at undgå kompromittering af data i forbindelse med tab eller tyveri af computere. Kravet følger af en vejledning fra Center fra Cybersikkerhed.

  • Der skal implementeres end-point beskyttelse (i.e. beskyttelse af computere) mod virus, malware og lign. med automatisk opdatering. Kravet betyder, at der skal installeres et 'end-point protection programme' i det omfang dette ikke allerede er gjort. Kravet følger af en vejledning fra Center fra Cybersikkerhed.

  • Al software skal opdateres regelmæssigt. Kravet følger af vejledninger fra Center fra Cybersikkerhed og Digitaliseringsstyrelsen.

  • Alle operativsystemer skal som minimum være supporteret med regelmæssige sikkerhedsopdateringer og være så nye som muligt. Kravet følger af vejledninger fra Center fra Cybersikkerhed og Digitaliseringsstyrelsen.


Mails

  • Staten må kun anvende mail-relays med autentifikation godkendt af myndigheden. Dette betyder, at mails sendt til og fra myndighederne ikke vil blive dirigeret videre uden at have været autentificeret af mailserveren. Kravet følger af best practice.

  • Al mailkommunikation skal som udgangspunkt være krypteret ved anvendelse af som minimum TLS 1.2 (Transport Layer Security; en protokol der krypterer indholdet af en e-mail). Ved mailkorrespondance mellem statslige myndigheder, stilles der krav om tvungen TLS, mens øvrig mailkorrespondance skal være TLS krypteret i det omfang, modtageren understøtter det. Kravet følger af Datatilsynets krav om, at alle offentlige (og private) organisationer skal kryptere e-mails, der indeholder fortrolige og/eller følsomme personoplysninger.

  • Webmail må kun anvendes uden for myndighedens lokale netværk ved brug af en direkte VPN-forbindelse med 2FA (Two-factor authentification (på dansk: to-faktor autentificering); en sikkerhedsproces, hvor brugerens adgang til anvendelsen af det lokale netværk vil være beskyttet af noget man ved (eksempelvis et kodeord) og en kode fra noget man har (eksempelvis et adgangskort). Kravet skal forhindre adgang til myndighedernes e-mail ved tilslutning på usikre netværk og følger af en vejledning fra Center fra Cybersikkerhed.


Mobiltelefoner

  • Alle mobiltelefoner skal anvende numeriske adgangskoder på minimum 6 cifre eller biometrisk identifikation. Kravet følger af en vejledning fra Center fra Cybersikkerhed.

  • Mobiltelefonernes software (operativsystem og apps) skal opdateres regelmæssigt og lige så snart, leverandøren udgiver opdateringer. Kravet følger af en vejledning fra Center fra Cybersikkerhed.


Netværk

  • WIFI-netværk skal være krypteret med som minimum WPA2 (WIFI Protected Access 2; en metode hvorpå et netværk sikres). Kravet følger af best practice.

  • Der skal ske logning af alle systemer og tjenester på netværksservere. Kravet følger af en vejledning fra Center fra Cybersikkerhed.


Hjemmesider

  • DNSSEC (Domain Name System Security Extensions) skal tilknyttes alle domænenavne, der tilhører myndighederne. Kravet følger af best practice.

  • Myndighederne skal anvende en sikker DNS-tjeneste (DNS står for Domain Name System) eller anden tilsvarende løsning, der beskytter mod skadelige hjemmesider. Kravet følger af best practice.

  • Al kommunikation (trafik til og fra hjemmesider) skal krypteres med TLS 1.2. Kravet følger af best practice.

  • Al serversoftware på webservere skal regelmæssigt opdateres. Kravet følger af best practice.



Dette skal implementeres senest 1. juli 2020


Klienter/PC'er

  • Kun medarbejdere med et dokumenteret forretningsmæssigt behov skal have administrative rettigheder. Kravet følger af en vejledning fra Center fra Cybersikkerhed.


Mails

  • DMARC REJECT policy (et valideringssystem designet til at forhindre email-spoofing, hvor en afsender udgiver sig for at være en anden) skal være implementeret på domæner, der tilhører statslige myndigheder. Kravet følger af en vejledning fra Center fra Cybersikkerhed.
    Hjemmesider

  • Der må ikke anvendes Adobes "Flash" på statslige hjemmesider idet Flash har end of life i 2020. Kravet følger af best practice.


 



 
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Artikler, der kunne være relevante for dig
VIRK23 er på gaden
VIRK23 er på gaden
16/04/2024
Kontraktret, IT- og telekommunikation, Persondata
EUs nye AI-forordning (AI Act) vedtages snart
EUs nye AI-forordning (AI Act) vedtages snart
26/04/2024
EU-ret, IT- og telekommunikation, Øvrige
Når klagen ikke er helt på plads
Når klagen ikke er helt på plads
21/05/2024
Udbud, IT- og telekommunikation
AI-forordningen endelig vedtaget i EU
AI-forordningen endelig vedtaget i EU
28/05/2024
EU-ret, Immaterialret, Persondata, IT- og telekommunikation
Hvad betyder den ”risikobaserede tilgang” i AI-forordningen i virkelighedens verden?
Hvad betyder den ”risikobaserede tilgang” i AI-forordningen i virkelighedens verden?
11/07/2024
EU-ret, IT- og telekommunikation, Øvrige
Principiel dom om fortolkning af ansvarsbegrænsningsklausul
Principiel dom om fortolkning af ansvarsbegrænsningsklausul
12/08/2024
IT- og telekommunikation, Kontraktret
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted