National Strategi For Cyber - Og Informationssikkerhed PDF

National strategi
for cyber- og
informationssikkerhed
Finansministeriet
MAJ 2018
National strategi for cyber- og informationssikkerhed - 2018-2021 3
Indhold
Forord .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. . 5
Digitale muligheder og sårbarheder .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. . 6
En systematisk og vedvarende indsats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Pejlemærker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
1. Tryg hverdag .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. . 18
2. Bedre kompetencer .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. . 26
3. Fælles indsats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Appendix
Ansvar og roller ved myndigheders arbejde med cyber-
og informationssikkerhed .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. . 46
Forord
I Danmark oplever vi i disse år ligesom 1,5 mia. kr. i Danmarks cyber- og infor-
resten af verden, at den teknologiske mationssikkerhed.
udvikling går hurtigere og hurtigere, at
vi i stigende grad forbindes via digitale Regeringen og forligspartierne har
løsninger, og at vi alle – myndigheder, med Forsvarsforliget 2018-2023 styrket
virksomheder og borgere – bliver beskyttelsen af Danmark mod cyber-
stadigt mere afhængige af internettet, trusler markant. Nu styrkes arbejdet
og de muligheder det bringer. yderligere med en ny national strategi
for cyber- og informationssikkerhed,
Danmark er et af de mest digitaliserede der binder den samlede indsats
lande i verden, og digitaliseringen er sammen.
et afgørende middel både for udvik-
lingen af den offentlige sektor og Regeringen igangsætter 25 initiativer
for private virksomheders vækst og og 6 målrettede strategier for de mest
konkurrenceevne. kritiske sektorers arbejde med cyber-
og informationssikkerhed, der skal øge
Som danskere er vi vant til at inter- den tekniske robusthed i den digitale
agere både med virksomheder og infrastruktur, øge viden og kompe-
offentlige myndigheder gennem tencer hos borgere, virksomheder og
digitale løsninger, og vi har en grund- myndigheder og styrke den nationale
læggende tillid til, at udvekslingen koordinering og samarbejdet på områ-
af data og informationer sker på en det. Strategien skal styrke Danmarks
ansvarlig og sikker måde med respekt cyber- og informationssikkerhed og
for den enkeltes privatliv. sikre en systematisk og koordineret
indsats i de kommende fire år.
Tilliden til sikkerheden i digitale løs-
ninger er afgørende for den fortsatte Truslen fra ondsindede cyberangreb
digitale udvikling af vores samfund. kan ikke elimineres, men med en ny
Vi skal beskytte vores data og sikre, at strategi for cyber- og informations-
de digitale løsninger, vores velfærds- sikkerhed vil regeringen sikre, at det
samfund er afhængigt af, er beskyttet danske samfund kan fortsætte med at
mod ødelæggende angreb udefra. drage nytte af de teknologiske mulig-
heder, og at danskerne fortsat kan være
Regeringen øger nu ambitions- trygge ved den digitale udvikling.
niveauet for indsatsen på cyber- og
informationssikkerhedsområdet og
vil i de kommende år investere /Regeringen
6 National strategi for cyber- og informationssikkerhed - 2018-2021
Digitale muligheder
og sårbarheder
Danmark er et af verdens mest digita- sårbarhed overfor hændelser, der med-
liserede lande. Det gælder både i den fører nedbrud af it-systemer eller brud
offentlige sektor, hvor store dele af på datas fortrolighed, tilgængelighed og
opgaveløsningen og kommunikatio- integritet. Hændelserne kan fx skyldes
nen med borgere er digitaliseret, og angreb eller personers utilsigtede brud
i de private virksomheder, som i høj på informationssikkerheden. Danske
grad udnytter de digitale muligheder myndigheder og virksomheder har et
til at skabe vækst og nye forretnings- vigtigt ansvar for at sikre, at sikkerheds-
modeller. Og det gælder i den danske tiltagene følger med de udfordringer,
befolkning, som er blandt de mest som den digitale udvikling også giver.
digitaliseringsparate i verden. Den
høje grad af digitalisering giver store Med den nationale strategi for cyber- og
fordele og mange nye perspektiver for informationssikkerhed og en række del-
borgere, virksomheder og samfundet strategier for de mest kritiske sektorer
som helhed. Blandt andet tiltrækker lægger regeringen en ambitiøs plan for
det investeringer fra udlandet og er de kommende års arbejde med at sikre
med til at sikre, at vores samfund er Danmark digitalt. Staten og samfunds-
konkurrencedygtigt. kritiske sektorer som energi, transport,
tele, finans, sundhed og søfart skal i de
I de næste mange år vil der ske en fort- kommende år øge indsatsen for at sikre
sat digitalisering af både den offentlige det nødvendige cyber- og informations-
og den private sektor. Udviklingen af sikkerhedsniveau i hele Danmark.
nye teknologier vil accelerere, og de
digitale muligheder vil fortsat blive Arbejdet skal bygge videre på de
flere. Myndigheder vil løbende udnytte seneste års nationale indsats, som
digitalisering til at skabe bedre og mere har medvirket til at løfte niveauet for
effektiv service til danskerne, og virk- cyber- og informationssikkerhed, men
somhederne vil bruge mulighederne regeringen vil nu foretage et gearskifte
til at skabe vækst og øget beskæftigelse. på området. Truslerne udvikler sig
med en hast, der kræver, at indsatsen
Med den øgede digitalisering af samfun- styrkes markant, så den står mål med
det følger dog også en øget afhængighed udfordringerne.
af digitale løsninger og dermed en øget
Myndigheder og
virksomheder har et
vigtigt ansvar for at
sikre, at sikkerheds-
tiltagene følger med
udfordringerne
Informationssikkerhed Cybersikkerhed
Informationssikkerhed er en bred Cybersikkerhed omfatter beskyttelse
betegnelse for de samlede foran- imod de sikkerhedsbrud, der opstår
staltninger til at sikre informationer som følge af angreb mod data eller
i forhold til fortrolighed, integritet systemer via en forbindelse til et
(ændring af data) og tilgængelig- eksternt net eller system. Arbejdet
hed I arbejdet indgår blandt andet med cybersikkerhed fokuserer såle-
organisering af sikkerhedsarbejdet, des på sårbarheder ved sammen
påvirkning af adfærd, processer koblingen mellem systemer, herun-
for behandling af data, styring af der forbindelser til internettet.
leverandører samt tekniske sikrings
foranstaltninger.
Øget afhængighed og stigende utidssvarende, it-systemporteføljer,

sårbarheder som gør det svært og dyrt at opretholde
I takt med at det danske samfund i det nødvendige sikkerhedsniveau.
stigende grad forbindes via digitale Samtidig understøttes en del af den
løsninger, stiger mængden af data og samfundskritiske it-infrastruktur i en
information, der overføres digitalt. række sektorer som fx finans-, trans-
Det medfører, at konsekvenserne port- og sundhedssektoren af private
ved nedbrud eller angreb vokser. virksomheder. Hertil kommer den
Samtidig bliver danske borgere, myn- store mængde af små- og mellem-
digheder og virksomheder i stigende store virksomheder, som er rygraden
grad mål for ondsindede aktørers i den danske erhvervsstruktur. Hvis
stadigt mere sofistikerede forsøg på de private virksomheder ikke har et
at stjæle og udnytte data. tilstrækkeligt sikkerhedsniveau, kan
de være kilde til angreb, brud, datalæk
Når systemer og infrastrukturer og spredning af hændelser til resten
bliver stadigt mere integrerede, og af samfundet.
når flere enheder kobles til internettet,
bliver sikkerhedsudfordringerne mere At sikre samfundets robusthed og
komplekse. Hvad der i første omgang sikkerhed er dermed blevet en mere
kan virke som en isoleret og relativt kompleks udfordring. Som samfund
lille sikkerhedshændelse kan hurtigt skal vi ikke alene beskytte os imod
sprede sig på tværs af myndigheder, forskellige former for angreb, men også
virksomheder og sektorer. imod blandt andet systemnedbrud,
leverandørsvigt, tilsigtede og utilsig-
I mange offentlige myndigheder er tede brud på cyber- og informations-
der desuden udfordringer med store sikkerheden eller kompromittering af
og komplekse, og i visse tilfælde personlige oplysninger.
Når systemer og
infrastruktur bliver stadig
mere integrerede, bliver
sikkerhedsudfordringerne
mere komplekse
Flere
sårbarheder
Utilstrækkelig sikkerhedsadfærd Flere enheder er forbundet

Manglende sikkerhedsmæssige færdig- Flere og flere enheder forbindes via inter-
heder og manglende viden udgør en nettet. Det medfører nye muligheder, men
væsentlig sårbarhed, som kan udnyttes også øget sårbarhed over for angreb som
af ondsindede aktører. I myndigheder og følge af den hurtigere spredning af sikker-
virksomheder er ledere og medarbejderes hedshændelser.
sikkerhedsmæssige adfærd afgørende for
at opnå et passende beskyttelsesniveau.
Stor kompleksitet i it-porteføljen
Mange offentlige og private organisationer
Stor afhængighed af digital er afhængige af komplekse, og ofte gamle,
infrastruktur it-systemer. Softwaren i disse systemer
Kritisk digital infrastruktur er en forud- er ofte ikke tilstrækkelig vedligeholdt og
sætning for opgavevaretagelsen i den systemerne har ofte ikke det tilstrækkelige
offentlige og private sektor. Manglende sikkerhedsniveau.
tilgængelighed, integritet og fortrolighed
i den digitale infrastruktur kan medføre
betydelige konsekvenser for samfundet. Cyberangreb kan udføres let og billigt
Den lette tilgængelighed til hacker
værktøjer på internettet betyder, at de,
der ønsker at udføre hackerangreb, kan
gøre det relativt let og billigt.
Et trusselsbillede i forandring mere avancerede angreb i form af

Den digitale udvikling har i de senere forsøg på at få adgang til fortrolige
år givet fx statssponserede gruppe- informationer fra virksomheder og
ringer, fremmede stater, aktivister og offentlige institutioner – eller ligefrem
kriminelle nye metoder til at udføre at forårsage nedbrud eller ødelæggelse.
cyberrelaterede angreb mod lande,
virksomheder og borgere. Det er en Truslerne på cyber- og informations-
global udfordring, som alle åbne og sikkerhedsområdet påvirker alle dele
digitaliserede samfund står over for, af samfundet. Konsekvenserne for
og som må forventes at blive større i ofrene kan variere fra tab af mindre
de kommende år. beløb til tab af forretningskritisk infor-
mation. Angrebene kan få konsekven-
Cyberangreb kan have mange former ser for statens sikkerhed og lede til tab
og er hændelser, hvor en aktør forsøger af statens integritet, betydeligt mate-
at forstyrre eller få uautoriseret adgang rielt eller økonomisk tab og i yderste
til data, systemer, digitale netværk eller instans tab af menneskeliv. For rege-
digitale tjenester. Det kan eksempel- ringen er det vigtigt, at vi i Danmark
vis være angreb mod myndigheders løbende tilpasser indsatsen på områ-
og virksomheders hjemmesider eller det til det omskiftelige trusselsbillede.
Truslerne på cyber- og
informationssikkerheds-
området påvirker alle
dele af samfundet
I Danmarks første nationale strategi styrket. Endelig udviklede Erhvervs-

for cyber- og informationssikker- styrelsen et digitalt sikkerhedstjek
hed 2015-2016 var målet at hæve for særligt små og mellemstore virk-
National strategi for
cyber- og infor-
niveauet for det statslige cyber- og somheder, og for at fremme løbende
mationssikkerhed informationssikkerhedsarbejde samt dialog om styrkelse af erhvervslivets
2015-2016 at skabe mere viden om cyber- og rammer for informationssikkerhed
informationssikkerhed blandt bor- blev Virksomhedsrådet for IT-sikker-
gere og virksomheder. I strategien hed nedsat. Rådet kom i marts 2017
indgik blandt andet krav om imple- med sine anbefalinger til at styrke
mentering af den internationale sik- it-sikkerheden og fremme ansvarlig
kerhedsstandard ISO27001 og krav datahåndtering hos særligt små og
om et systematisk og professionelt mellemstore virksomheder.
tilsyn med informationssikkerheden
i staten. Strategien identificerede også et
behov for at styrke dialogen mellem
Strategien indeholdt flere initiativer uddannelsesinstitutioner og afta-
rettet mod at skabe mere viden gere af dimittender. Der blev på den
blandt borgerne, virksomhederne baggrund etableret et samarbejde
og myndighederne om cyber- og forankret i tre innovationsnetværk
informationssikkerhed. Center for med stærke kompetencer inden
Cybersikkerhed oprettede en enhed for cybersikkerhed i forskningen
til vurdering af trusler samt et kom- og erhvervslivet. Samarbejdet har
petencecenter til rådgivning. Derud- blandt andet resulteret i udviklingen
over udførte Digitaliseringsstyrelsen af en ny professionsbacheloruddan-
kampagneindsatser rettet mod hele nelse i it-sikkerhed.
befolkningen i strategiperioden.
Politiets efterforskningsmæssige
kapacitet på området og rådgivning
om informationssikkerhed blev
En systematisk og
vedvarende indsats
man færdes sikkert i den digitale verden,
Regeringens vision for arbejdet løbende skal øges for at understøtte
med cyber- og informations et højt informationssikkerhedsniveau
sikkerhed i Danmark i Danmark.
• Befolkningen, virksomheder og Et fælles ansvar

myndigheder skal kende og kunne Et løft af det nationale niveau for
håndtere digitale risici, så Danmark cyber- og informationssikkerhed er et
fortsat kan udnytte digitaliseringen fælles ansvar. Staten har ansvaret for
til at understøtte samfundets at varetage den nationale sikkerhed.
udvikling. Virksomheder og myndigheder har et
ansvar for at varetage sikkerheden i
Digitaliseringens stigende samfunds- egen organisation. Og alle borgere skal
og forretningsmæssige betydning have en forståelse for, hvordan egne
stiller helt nye krav til informations- handlinger kan påvirke egen og andres
sikkerhed, og de negative konsekvenser digitale sikkerhed.
ved ikke at have en struktureret tilgang
til sikkerhed kan være enorme. Der Regeringen tager med den nationale
kræves i dag en systematiseret og koor- strategi for cyber- og informations-
dineret indsats, og derfor sætter rege- sikkerhed 2018-2021 det næste skridt
ringen nu styrket fokus på området. på vejen mod et mere sikkert digitalt
Danmark. Med strategien sætter rege-
Det er nødvendigt, at Danmark som ringen ind på tre områder. Der vil ske
samfund kan fungere på en sikker og en teknisk oprustning, samtidig med
forsvarlig måde. Det kræver, at den at borgere, virksomheder og myn-
digitale infrastruktur er modstands- digheders viden om cyber- og infor-
dygtig over for cybertrusler, og at bor- mationssikkerhed øges, og der sikres
gere, virksomheder og myndigheder styrket samarbejde og koordinering
løbende øger deres digitale kompe- mellem de ansvarlige myndigheder.
tencer. Det gælder for sikkerheds- Samtidig vil delstrategier for cyber-
specialister, som der i de kommende og informationssikkerheden i de mest
år vil blive endnu større efterspørgsel kritiske sektorer sikre, at den enkelte
efter. Og det gælder for den alminde- sektor sætter ind, hvor det er mest
lige dansker, hvis viden, om hvordan nødvendigt.
Private virksomheder ejer og under- En del af en større indsats

støtter en stor del af infrastrukturen Den nationale strategi for cyber- og
i sektorer med ansvar for samfunds- informationssikkerhed er en del af en
kritiske funktioner. Det er derfor større indsats. Regeringen har stort
nødvendigt med et stærkt samarbejde fokus på cybersikkerhed, og med
både mellem den offentlige og private Forsvarsforliget 2018-2023 styrkes
sektor og mellem det civile samfund, Danmarks cyberforsvar markant
politiet og forsvaret. Strategiens initi- med en tilførsel af 1,4 mia. kr. over
ativer fokuserer særligt på cyber- og seks år. Det sker blandt andet ved
informationssikkerhedsarbejdet i sek- bedre beskyttelse mod avancerede
torerne energi, transport, tele, finans, cyberangreb gennem en udbyg-
sundhed og søfart samt i statslige ning af Center for Cybersikkerheds
myndigheder og institutioner. sensornetværk til myndigheder og
virksomheder og etablering af et
Regeringen igangsætter 25 konkrete døgnbemandet nationalt cyber-
initiativer, som skal medvirke til at situationscenter, hvor der kan dannes
styrke cyber- og informationssikker- et nationalt situationsbillede, som
heden i Danmark. Nogle initiativer viser aktuelle og potentielle trusler
bygger videre på indsatser, som alle- mod Danmarks vigtigste digitale
rede er i gang, mens andre initiativer netværk. Center for Cybersikkerhed,
består af helt nye tiltag. Strategien som er national it-sikkerhedsmyndig-
medvirker samtidig til at sammen- hed, får samtidig styrket sin kapacitet
binde en række tværgående aktiviteter, til at rådgive og støtte private virk-
som sker i de myndigheder, der har somheder og offentlige myndigheder
ansvaret for cyber- og informations- væsentligt.
sikkerheden i Danmark.
EU’s direktiv om sikkerhed i levering af deres tjenester. Derudover

net- og informationssystemer stilles der i direktivet krav om, at med-
i samfundskritiske sektorer lemsstaterne udarbejder en national
– NIS-direktivet strategi for sikkerheden i net- og infor-
Danske myndigheder er i færd med mationssystemer, hvilket der tages
at implementere et EU-direktiv om højde for med den nationale strategi
sikkerhed i net- og informations for cyber- og informationssikkerhed.
systemer, det såkaldte NIS-direktiv.
Direktivet stiller blandt andet krav Databeskyttelsesforordningen
om, at operatører af væsentlige En ny databeskyttelsesforordning
tjenester, som er af betydning for får virkning den 25. maj 2018.
opretholdelsen af samfundskritiske Forordningen suppleres af en ny
funktioner og tjenester, træffer for databeskyttelseslov, der træder i
anstaltninger til at håndtere sikker kraft samtidig og understøtter, at
heden i de net- og informations beskyttelsen af personoplysninger
systemer, som de anvender ved i Danmark forbedres yderligere.
Som led i en styrkelse af den samlede Endelig præsenterede regeringen i

myndighedsindsats styrkes Forsva- januar 2018 en strategi for Danmarks
rets Efterretningstjenestes arbejde i digitale vækst, der skal sikre, at
forhold til påvirkningsoperationer. Danmark bliver en digital frontløber.
Blandt andet udbygges Forsvarets Strategien indeholder en række initia-
Efterretningstjenestes analytiske tiver til at styrke virksomhedernes
kapacitet. Endelig fortsætter opbyg- it-sikkerhed og ansvarlige datahånd-
ningen af Forsvarets kapacitet til at tering med henblik på at sikre den
udføre militære cyberoperationer. digitale tillid til udnyttelsen af de nye
teknologiske muligheder.
Forsvarsforligskredsen har reserveret
en del af midlerne i forliget til at hånd- Sideløbende er det aftalt i den fælles-
tere fremtidige cyberudfordringer offentlige digitaliseringsstrategi for
gennem yderligere initiativer, herunder 2016-2020, at informationssikkerheds-
forskning og uddannelse. Det skal sikre, arbejdet også skal styrkes yderligere i
at vi som land kan handle på fremtidige kommuner og regioner. Regeringen vil
udfordringer. gå i dialog med kommuner og regioner
om yderligere tiltag på området med
Politiets Efterretningstjeneste plan- afsæt i den nationale strategi for cyber-
lægger også som national sikkerheds- og informationssikkerhed.
myndighed at intensivere samarbejdet
med relevante myndigheder og private
virksomheder for at bidrage til, at
samfundet rustes bedst muligt til at
imødegå sikkerhedsmæssige trusler.
Pejlemærker
Regeringen sætter tre klare pejlemærker for
udviklingen mod et stærkere og mere sikkert
digitalt Danmark i de kommende fire år.
En tryg hverdag for borgere og

virksomheder
Staten og samfundskritiske sektorer
opruster teknisk i takt med det ændrede
trusselsbillede for at være i stand til at
beskytte væsentlige samfundsmæssige
funktioner mod cyberangreb eller andre
større informationssikkerhedshændelser.
Bedre kompetencer Fælles indsats

Borgere, virksomheder og myndigheder Risikobaseret sikkerhedsledelse er en
har adgang til den nødvendige viden og integreret del af styringen i staten og i
har forudsætningerne for at håndtere de samfundskritiske sektorer. Der er klar-
stigende cyber- og informationssikkerhed over roller og ansvar på cyber- og
hedsudfordringer. informationssikkerhedsområdet blandt
myndigheder og virksomheder, der
leverer samfundskritiske funktioner.
Initiativer
Tryg hverdag
1.1 Etablering af nationalt cybersituationscenter
1.2 Minimumskrav til myndigheders arbejde med cyber-
og informationssikkerhed
1.3 Lovgivningsinitiativer på cyberområdet
1.4 Overvågning af statens kritiske it-systemer
1.5 Fælles digital indgang for indberetninger
1.6 Landsdækkende center for behandling af sager
vedrørende it-relateret kriminalitet
1.7 Styrket samarbejde om forebyggelse af og håndhævelse
over for it-relaterede angreb
1.8 Øget sikring af identitetsbeviser
1.9 Styrket prioritering af national it-infrastruktur
1.10 Sikker kommunikation i staten
Bedre kompetencer
2.1 Digital dømmekraft og kompetencer via uddannelsessystemet
2.2 Informationsportal
2.3 Forskning i ny teknologi
2.4 Erhvervspartnerskab for øget it-sikkerhed i dansk erhvervsliv
2.5 Partnerskab om kompetenceudvikling og opbygning af
sikkerhedskultur i staten
2.6 Styrket oplysningsindsats til borgere og virksomheder
Fælles indsats
3.1 Sektorvise delstrategier og decentrale cybersikkerhedsenheder
3.2 Tværgående indsats for at understøtte samfundskritiske
sektorers cyber- og informationssikkerhed
3.3 Styr på leverandører af outsourcet it
3.4 Styrket national koordinering
3.5 Styrket internationalt engagement
3.6 Tilstandsmåling af cyber- og informationssikkerhed
3.7 Overblik over beskyttelsesværdig information
3.8 Informationssikkerhedsarkitektur
3.9 National og international indsats for dataetik og
persondatabeskyttelse
1
Tryg hverdag
Initiativer
1.1 Etablering af nationalt cybersituationscenter
1.2 Minimumskrav til myndigheders arbejde med cyber-

og informationssikkerhed
1.3 Lovgivningsinitiativer på cyberområdet
1.4 Overvågning af statens kritiske it-systemer
1.5 Fælles digital indgang for indberetninger
1.6 Landsdækkende center for behandling af sager

vedrørende it-relateret kriminalitet
1.7 Styrket samarbejde om forebyggelse af og håndhævelse

over for it-relaterede angreb
1.8 Øget sikring af identitetsbeviser
1.9 Styrket prioritering af national it-infrastruktur
1.10 Sikker kommunikation i staten

En tryg hverdag
for borgere og
virksomheder
Pejlemærke: Staten og samfundskritiske sektorer
opruster teknisk i takt med det ændrede trusselsbillede
for at være i stand til at beskytte væsentlige
samfundsmæssige funktioner mod cyberangreb eller
andre større informationssikkerhedshændelser.
enkelte virksomhed og myndigheds

For at sikre driften af de væsentlige opgave at sikre egen cyber- og informa-
samfundsmæssige funktioner og tionssikkerhed og at tilpasse indsatsen
beskyttelsen af samfundskritiske på baggrund af risikovurderinger og
it-systemer og data vil regeringen sårbarhedsanalyser. Hver organisation
blandt andet: har ansvaret for, at de nødvendige sik-
kerhedstiltag er gjort, og at it-systemer
• Skabe bedre overblik over trusler og data er tilstrækkeligt beskyttede.
og styrke monitoreringen af
samfundskritiske systemer og data Det kræver overblik og viden om
• Hæve myndighedernes cyber- og potentielle trusler. Danmarks evne til
informationssikkerhedsniveau at afdække og håndtere internetbase-
• Styrke den nationale rådgivnings rede trusler imod staten og samfunds-
indsats kritiske sektorer skal derfor udvides
og styrkes.
Regeringen vil styrke den nationale
robusthed imod cyberangreb. Her Bedre overblik og styrket
udgør viden om trusler, identifikation monitorering
af sårbarheder og vurdering af risici For at beskytte samfundskritiske it-
en stor del af grundlaget. Det er den systemer og data er det afgørende, at
de centrale myndigheder har et fyldest- og for at opretholde et opdateret

gørende overblik over de specifikke overblik over antallet af it-sikkerheds-
systemer og data, der skal beskyttes, hændelser, hændelsestyper og konse-
samt at der foretages monitorering af kvenser. For at gøre indberetningen
vitale systemer og data. Monitorerin- lettere vil regeringen etablere én
gen skal muliggøre varsling af myndig- fælles digital løsning til indberetning
heder og virksomheder om potentielle af it-sikkerhedshændelser. Løsningen
og aktuelle trusler og understøtte, at de skal samtidig kunne levere handlings-
beskytter sig og er i stand til at opret- orienteret information tilbage til
holde samfundskritiske funktioner. indberetteren om forebyggelse og
håndtering af hændelser. En fælles
For at sikre den løbende monitorering digital løsning vil dels understøtte, at
etablerer regeringen et døgnbeman- virksomheder og myndigheder indbe-
det nationalt cybersituationscenter i retter så mange relevante sikkerheds-
Center for Cybersikkerhed. Centeret hændelser som muligt, dels medvirke
skal opretholde et nationalt situations- til at skabe et mere nuanceret og detal-
billede, som viser aktuelle og poten- jeret indblik i de it-sikkerhedshændel-
tielle trusler mod Danmarks vigtigste ser, der rammer danske myndigheder
digitale netværk, og som vil bidrage til og virksomheder.
det samlede myndighedsoverblik i det
nationale krisestyringssystem. Øget myndighedsindsats for
cyber- og informationssikkerhed
Der stilles krav om, at myndigheder De statslige myndigheder har siden
og visse typer virksomheder indbe- 2016 være forpligtet til at leve op til
retter cyberhændelser til de relevante kravene i den internationale sikker-
myndigheder. Indberetninger fra hedsstandard ISO27001, der fastsætter
myndigheder og virksomheder er en bedste praksis for styring af informa-
forudsætning for den nødvendige tionssikkerhed. Den seneste opfølg-
erfaringsopsamling og vidensdeling ning på de statslige myndighedernes
implementering af ISO27001 viser, at For at sikre fuld implementering af

der fortsat udestår et arbejde med at ISO27001 i statslige myndigheder vil
få standarden fuldt ud implementeret. regeringen fremadrettet følge op på
Myndighederne skal blandt andet blive myndighedernes implementering hvert
bedre til at foretage risikovurderinger og halve år. Regeringen vil stille krav om, at
løbende evaluere indsatsen. Regeringen de myndigheder, der endnu ikke er i mål,
sætter med strategien øget fokus på at skal forelægge en handleplan for regerin-
sikre et højt minimumsniveau for it- gen, som beskriver hvilke indsatser, der
sikkerhed i alle statslige myndigheder. vil blive gennemført med henblik på at
sikre fuld implementering af standarden.
Fremover vil alle statslige myndighe-
der være omfattet af minimumskrav Styrket national rådgivningsindsats
for arbejdet med cyber- og informa- Center for Cybersikkerhed er national
tionssikkerhed. Minimumskravene vil it-sikkerhedsmyndighed og står for en
være både tekniske og organisatoriske forebyggende, national rådgivnings- og
og skal understøtte en ensartet tilgang oplysningsvirksomhed om cybersik-
til arbejdet og sikre et tilstrækkeligt kerhed i forhold til både den offentlige
højt niveau for beskyttelse mod cyber- og den private sektor samt en målret-
og informationssikkerhedshændelser. tet indsats i forhold til håndtering af
Det betyder, at myndigheder skal konkrete hændelser.
blive bedre til at arbejde med risiko-
baseret informationssikkerheds- Med Forsvarsforliget 2018-2023 styrkes
ledelse gennem ISO27001, udarbejde centerets forebyggende indsats væsent-
handlingsplaner for håndtering og ligt gennem styrket rådgivning og vejled-
udvikling af it-porteføljen, herunder ning til især samfundskritiske sektorer.
håndtering af legacy-udfordringer og
informationssikkerhed, tage aktivt og Samtidig styrkes centerets kapacitet til
dokumenteret stilling til vejlednings- at opdage konkrete hændelser. Sammen
produkter på området og implemen- med centerets rådgivning skal det bi-
tere kendt og velafprøvet teknologi til drage til de ansvarlige myndigheder
beskyttelse mod angreb. og virksomheders arbejde med at gen-
oprette sikkerheden efter cyberangreb
inden for samfundsvigtige sektorer.
Myndighedernes og virksomhe- med henblik på at nedbringe risikoen

dernes arbejde med informations til et acceptabelt niveau.
sikkerhed skal ske med udgangs-
Risikobaseret
tilgang
punkt i en risikovurdering. Denne Vurderingen forudsætter et overblik
omfatter en vurdering af, hvilke over organisationens systemer, her-
forretningsmæssige og økonomi- under deres tekniske udformning
ske risici der er for opretholdelsen og sårbarheder. Med udgangspunkt
af de forretningsmæssige mål ved i den prioritering, som er fastlagt
mulige sikkerhedshændelser, her- i risikovurderingen, iværksættes
under cyberangreb, og hvad der er passende tiltag for at imødegå de
passende sikkerhedsforanstaltninger identificerede sårbarheder.
Regeringens
initiativer
– Tryg hverdag
Initiativ 1.1: Etablering af Initiativ 1.2: Minimumskrav

nationalt cybersituationscenter til myndigheders arbejde
med cyber- og informations
Der oprettes et døgnbemandet sikkerhed
nationalt cybersituationscenter ved
Center for Cybersikkerhed for at etab- Der skal sikres et tilstrækkeligt mini
lere et nationalt situationsbillede af mumsniveau for håndtering af cyber- og
den aktuelle sikkerhedstilstand for informationssikkerhed i statslige myn-
samfundskritiske digitale netværk. digheder. Alle statslige myndigheder skal
Situationscentret skal foretage tek- følge principperne i informationssikker-
nisk monitorering af netværk, scanne hedsstandarden ISO27001 og foretage
efterretningskilder, medier og fora for en vurdering af behovet for certificering.
oplysninger om nye trusler og igang De myndigheder, der ikke er i mål med
værende potentielt alvorlige cyber implementeringen, skal forelægge en
angreb og samtidig fungere som handleplan for regeringen med henblik
nationalt kontaktpunkt i forhold til på at sikre fuld implementering af stan-
grænseoverskridende cybersikkerheds- darden. Myndighederne skal desuden
hændelser. tage aktivt og dokumenteret stilling til
anvendelse af vejledninger om cyber- og
informationssikkerhed, vurdere behovet
for at implementere kendte og velaf-
prøvede teknologier til beskyttelse mod
ondsindede cyber- og informations
sikkerhedshændelser samt følge kravene
i Strategi for it-styring i staten.
Initiativ 1.3: Lovgivnings Initiativ 1.5: Fælles digital

initiativer på cyberområdet indgang til indberetninger
Den hastige udvikling i trusselsbille- Det skal være nemt og enkelt for
det medfører behov for at tilpasse virksomheder og myndigheder at ind-
lovgivningen til både det aktuelle berette sikkerhedshændelser. Derfor
trusselsbillede og den teknologiske etableres der én fælles digital løsning
udvikling, så Center for Cybersikkerhed for indberetning af sikkerhedshæn-
får bedre muligheder for at imødegå delser. Løsningen skal understøtte, at
cyberangreb mod den kritiske infra virksomhederne kun skal indberette
struktur. Forsvarsministeriet vil derfor hændelser én gang, ét sted og skal sam-
fremsætte et forslag til ændret lov tidig kunne levere handlingsorienteret
givning på cyberområdet, som vil information tilbage til indberetteren om
medføre en styrkelse af Center for forebyggelse og håndtering af hændel-
Cybersikkerheds muligheder for at ser. Løsningen placeres på Virk.dk, som
opdage og stoppe cyberangreb samt allerede i dag er den digitale indgang for
styrke centerets analytiske arbejde. virksomheder og myndigheder i forhold
til indberetninger til det offentlige.
Initiativ 1.4: Overvågning af

statens kritiske it-systemer Initiativ 1.6: Landsdækkende
center for behandling af
Som følge af udviklingen i trussels sager vedrørende it-relateret
billedet er der behov for at udbygge kriminalitet
den proaktive overvågningsindsats for
sikringen af statens kritiske it-systemer. For at sikre en ensartet og styrket
Der etableres derfor et døgnbemandet indsats imod it-relateret kriminalitet,
overvågningscenter i Statens It. Initiativet etableres der i dansk politi et lands-
vil give alle Statens Its kunder mulig dækkende center for modtagelse og
heden for døgnovervågning af systemer, indledende håndtering af anmeldelser
der driftes i Statens It. Initiativet vil blive om it-relateret kriminalitet. Centeret vil
indfaset over tid med et fuldt funktions bidrage til, at politiet i højere grad kan
dygtigt overvågningscenter i 2020. arbejde databaseret i bekæmpelsen
Myndigheder, hvis systemer ikke driftes og forebyggelsen af kriminalitet.
i Statens It, skal sikre sig, at der er 24/7
driftsovervågning, hvis det ud fra en
risikovurdering findes nødvendigt.
Initiativ 1.7: Styrket Initiativ 1.9: Styrket

samarbejde om forebyggelse prioritering af national it-
af og håndhævelse over for infrastruktur
it-relateret kriminalitet
Der skal udarbejdes en fyldestgørende
It-relaterede angreb kan begås med en oversigt over myndigheder og virksom-
stor afstand mellem gerningsperson og heder med digital infrastruktur, der er
offer og via tekniske løsninger, der kan væsentlige for samfundskritiske funkti-
udfordre sædvanlige og kendte meto- oner. Der gennemføres en beskrivelse af,
der til bekæmpelse heraf. Det er derfor hvilke centrale virksomheder og myndig-
vigtigt, at de relevante myndigheder heder og eventuelt tjenester, der har en
har de redskaber og kapaciteter, der skal særlig betydning for arbejdet med cyber-
til for effektivt at forhindre angreb i at og informationssikkerheden i Danmark.
opstå eller udvikle sig. Det eksisterende Beskrivelsen vil sammenholdt med en
samarbejde mellem myndigheder med trusselvurdering danne grundlag for en
et tværgående ansvar på området skal styrket prioritering af Center for Cyber-
løbende sikre det bedste grundlag for at sikkerheds monitorering og sektoran-
kunne bekæmpe it-relaterede angreb. svarlige myndigheder og virksomheders
Med henblik på at sikre dette etableres imødegåelse af cyberangreb, samt for
en arbejdsgruppe med deltagelse af det løbende arbejde med cyber- og
Forsvarsministeriet og Justitsministeriet. informationssikkerhed i bred forstand.
Initiativ 1.8: Øget sikring af Initiativ 1.10: Sikker

identitetsbeviser kommunikation i staten
Som samfund skal vi kunne have tillid til Der er behov for bredere adgang til
de identiteter og identitetsbeviser, som sikkert at kommunikere mellem myn-
oprettes og udstedes af myndighederne. digheder. Der etableres derfor bedre
Det gælder både for fysiske og digitale mulighed for, at statslige myndigheder
identitetsbeviser som fx pas, kørekort og kan anvende netværk med et højt sik-
NemID. Der igangsættes derfor en ind- kerhedsniveau til at kommunikere med
sats for at sikre sammenhæng mellem hinanden, ligesom en løsning til sikker
registrering af en fysisk identitet og mobiltelefonkommunikation udbredes.
udstedelse af en digital identitet samt
sikre sammenhæng på tværs af forskel-
lige systemer i den offentlige sektor.
2
Bedre kompetencer
Initiativer
2.1 Digital dømmekraft og kompetencer via uddannelsessystemet
2.2 Informationsportal
2.3 Forskning i ny teknologi
2.4 Erhvervspartnerskab for øget it-sikkerhed i dansk erhvervsliv
2.5 Partnerskab om kompetenceudvikling og opbygning af

sikkerhedskultur i staten
2.6 Styrket oplysningsindsats til borgere og virksomheder

Bedre
kompetencer
Pejlemærke: Borgere, virksomheder og myndig-

heder har adgang til den nødvendige viden og har
forudsætningerne for at håndtere de stigende
cyber- og informationssikkerhedsudfordringer.
borgers, virksomheds og organisations

For at understøtte bedre kompeten- viden om digital sikkerhed og kompe-
cer blandt borgere, virksomheder tencer for at imødegå cyber- og infor-
og myndigheder vil regeringen mationssikkerhedstrusler.
blandt andet:
Den hastige udvikling af nye teknolo-
• Hæve den digitale dømmekraft og gier, sammenholdt med de kriminelles
de digitale kompetencer hos børn evne til at udnytte dem, vil konstant
og unge skabe nye udfordringer. Der er derfor
• Øge viden om cyber- og informa behov for, at danskernes viden om
tionssikkerhed hos borgere, cyber- og informationssikkerhed øges,
virksomheder og myndigheder og at borgere og virksomheders digi-
• Styrke arbejdet med løbende at tale adfærd bliver mere sikker.
opbygge mere specialiseret viden
og ekspertise på området. Digital dømmekraft og kompetencer
• Styrke indsatsen for bedre via uddannelsessystemet
cyber- og informationssikkerhed Mange unge ved ikke nok om, hvor-
i erhvervslivet dan de beskytter sig selv og andre på
internettet, eller hvilke aktører de skal
Den øgede digitalisering og konstante være opmærksomme på. Uddannel-
forandring i trusselsbilledet stiller sessystemet spiller her en vigtig rolle i
større og større krav til den enkelte at sikre, at alle børn og unge klædes på
til at begå sig trygt, forsvarligt og etisk Øget viden om cyber- og

korrekt, når de anvender it og bevæger informationssikkerhed
sig på sociale medier. Der skal hos alle borgere, myndigheder
og virksomheder være kendskab til
Regeringen vil derfor sætte fokus på og kontinuerlig forbedring af bevidst-
digitale færdigheder i et sikkerheds- heden om cybertrusler, og hvordan de
perspektiv i undervisningen allerede imødegås med sikker adfærd – og også
fra folkeskolen og hele vejen op i hvilke risici, man udsætter sig selv og
uddannelsessystemet. Børn og unge andre for.
skal have de bedste muligheder for at
gribe de digitale muligheder og til at Regeringen etablerer derfor en infor-
agere kritisk som borgere i et digitali- mationsplatform til vidensformidling
seret samfund. Børn og unge skal have rettet mod borgere, virksomheder
evnerne til at tænke kritisk i forhold og myndigheder. Borgere, virksom-
til indhold på internettet, så de er heder og myndigheder skal kunne
opmærksomme på truslen fra falske finde relevant og konkret anvendelig
nyheder, radikalisering, cybermob- viden om og værktøjer til, hvordan
ning, svindel mv. De skal kunne færdes de bedst beskytter sig. Informations-
sikkert på internettet og udnytte de indsatser skal medvirke til at skabe
digitale muligheder på en tryg og større opmærksomhed om trusler,
sikker måde, ligesom de skal være og informationsportalen skal under-
bevidste om, hvilke regler og konse- støtte et højere vidensniveau, der gør
kvenser, der følger af at begå sig online. befolkningen i stand til at tage de
Børn og unge skal gøres digitalt kom- fornødne forholdsregler.
petente og opbygge en stærk digital
dømmekraft med forståelse af de etiske I takt med den teknologiske udvik-
dilemmaer, der ligger ud over den tek- ling stiger udfordringen med at sikre
niske forståelse af digitaliseringen. cyber- og informationssikkerheden i
de statslige myndigheder, og de rette
kompetencer vil blive stadig mere
efterspurgte – både blandt specialister
og generalister. Samtidig oplever den
private sektor en øget efterspørgsel
efter kvalificeret arbejdskraft. Regerin-
Børn og unge skal have

gen vil derfor invitere alle relevante
parter til at medvirke i et partner-
evnerne til at udnytte de skab om kompetenceopbygning

på området.
digitale muligheder på en For at øge kompetencerne på det stats-
tryg og sikker måde lige område igangsætter regeringen
derudover en række initiativer, der
er målrettet ledere, medarbejdere og
specialister i staten, så de fortsat kan
udvikle og digitalisere den statslige
sektor med det nødvendige sikker-
hedsniveau. En del af kurserne på det
statslige digitaliseringsakademi, som for cyber- og informationssikkerhed.

regeringen præsentererede i efteråret Det skal ske ved at sætte strategiske
2017 som led i “Strategi for it-styring forskningsmidler af til at forske i nye
i staten”, vil derfor omhandle sikker teknologiske muligheder.
digital adfærd samt have et grund-
læggende fokus på cyber- og informa- Forskning på området skal også
tionssikkerhed. bidrage til mere kvalificeret under-
visning i cybersikkerhed på uddannel-
Viden om ny teknologi sesinstitutionerne og dermed under-
Ud over behovet for øget viden er der støtte, at fremtidens arbejdsstyrke
behov for flere sikkerhedsspecialister til får de nødvendige færdigheder og
at understøtte en sikker digital omstil- den ekspertise, der efterspørges af de
ling af virksomheder og myndigheder. danske virksomheder.
Disse særlige færdigheder er vitale i den
digitale tidsalder og helt afgørende for Styrket indsats for bedre
Danmarks evne til at opretholde cyber- cyber- og informationssikkerhed
og informationssikkerheden. i erhvervslivet
Regeringen vil understøtte en generel
Regeringen vil med mere fokuseret styrkelse af cyber- og informationssik-
forskning i ny teknologis betydning kerheden i dansk erhvervsliv. Danske
for digitale sårbarheder generere virksomheder har som resten af det
mere viden om de bedst mulige for- danske samfund været gode til at tage
anstaltninger, modeller og værktøjer digitaliseringen til sig. Arbejdsgange er
blevet automatiseret, papirarkiver og fremme it-sikkerhed og ansvarlig

regnskabsbøger er digitaliseret og lagt datahåndtering og skabe grobund
ind i it-systemer og salg og markeds- for udbredelse af fælles løsninger
føring foregår i stigende omfang via på tværgående problemer. Gennem
internettet. Det gavner virksomheder- partnerskabet udvikles forebyggende
nes vækst og konkurrenceevne, men sikkerhedstiltag, der iværksættes en
afhængigheden af digitale systemer indsats for at fremme virksomhe-
øger også virksomhedernes sårbarhed dernes anvendelse af internationale
overfor cyberangreb. sikkerhedsstandarder, og endelig vil
partnerskabet have fokus på, hvordan
Danske virksomheder udsættes i sti- der kan iværksættes en indsats for
gende grad for cyberangreb. Et cyber- at styrke virksomhedernes primære
angreb kan have voldsomme konse- rådgiveres indsigt i it-sikkerhed, så
kvenser for den enkelte virksomhed, de kan fungere som brobyggere, der
men samtidig er de mange små- og fremmer it-sikkerhed i danske små og
mellemstore virksomheder en poten- mellemstore virksomheder.
tiel kilde til angreb, brud, datalæk og
spredning af hændelser. Regeringen har desuden med Strategi
for Danmarks digitale vækst besluttet
Regeringen sætter nu fokus på at styrke at videreføre Virksomhedsrådet for
cyber- og informationssikkerheden i IT-sikkerhed, som løbende skal komme
dansk erhvervsliv. Opgaven skal løftes i med anbefalinger til regeringen og
samarbejde med erhvervslivets interes- dansk erhvervsliv om styrkelsen
senter, og derfor etableres et partner- af rammerne for virksomhedernes
skab for øget it-sikkerhed og ansvarlig it-sikkerhed og ansvarlige datahånd-
datahåndtering i dansk erhvervsliv. tering. Rådet får en rolle som advisory
board for partnerskabet og kan komme
Erhvervspartnerskabet skal danne med anbefalinger og input om kon-
rammen om en fælles indsats for at krete virksomhedsrettede løsninger.
Danske virksomheder oplever i dag til at interessere sig, uddanne sig og

stor mangel på ansatte med digitale arbejde indenfor det digitale og tek-
og tekniske kompetencer. I takt med niske område.
Teknologipagt
at avanceret teknologi og digitale løs-
ninger udbredes i fremtiden, vokser Regeringen har med Teknologipagten
virksomhedernes efterspørgsel efter sat et mål om, at 20 pct. flere skal
fx ingeniører, dataloger, biostatisti- gennemføre en faglært eller videre
kere, elektrikere og andre personer gående uddannelse over de næste
med digitale og tekniske færdigheder. 10 år indenfor de såkaldte STEM-
Kilde: Strategi for
Danmarks digitale Derfor har regeringen igangsat en områder (teknologi, it, naturviden-
vækst Teknologipagt, der skal få flere unge skab og matematik).
Regeringens
initiativer
– Bedre
kompetencer
Initiativ 2.1: Digital dømme Initiativ 2.2: Informations

kraft og kompetencer via portal
uddannelsessystemet
Der etableres en informationsportal,
Der igangsættes en samlet indsats i hele der bl.a. skal indeholde lettilgængelig
uddannelseskæden med fokus på at og handlingsanvisende information og
øge opmærksomheden om sikkerheds konkrete værktøjer til borgere, virksom-
udfordringer for børn, unge og under- heder og myndigheder vedr. informati-
visere. Der udarbejdes bl.a. efter- og onssikkerhed og databeskyttelse samt
videreuddannelsesforløb, undervisnings- information om, hvordan gældende lov-
materiale samt kampagner om cyber- og givning efterleves. Indholdet på portalen
informationssikkerhed rettet mod både skal være dynamisk, aktuelt og løbende
undervisere, elever og studerende. opdateret med den nyeste viden.
Initiativ 2.3: Forskning i ny Initiativ 2.5: Partnerskab

teknologi om kompetenceudvikling
og opbygning af sikkerheds
Regeringen vil prioritere flere midler kultur i staten
til teknologisk forskning, herunder
midler til FORSK2025-temaet “Nye Kompetencer relateret til cyber- og
teknologiske muligheder” til udmønt- informationssikkerhed vil blive stadig
ning i Danmarks Innovationsfond. mere efterspurgt – både blandt spe-
Forskningsindsatsen skal bl.a. fokusere cialister og generalister. Regeringen
på at skabe viden omkring nye modeller inviterer derfor alle relevante parter til
og værktøjer til at vurdere trusler, viden at medvirke i et partnerskab om kompe-
til at styrke infrastrukturen imod angreb tenceopbygning på området. Derudover
samt viden, der kan medvirke til at for- iværksættes en række tiltag for kom-
bedre myndigheder og virksomheders petenceudvikling af statsligt ansatte.
evner til at identificere angribere. De ansatte skal have forudsætningerne
for at fortsætte udviklingen og digita-
liseringen af den statslige sektor med
det nødvendige sikkerhedsniveau.
Initiativ 2.4: Erhvervspartner
skab for øget it-sikkerhed i
dansk erhvervsliv Initiativ 2.6: Styrket
oplysningsindsats til borgere
Regeringen ønsker at styrke it-sikkerhed
og ansvarlig datahåndtering i dansk og virksomheder
erhvervsliv og bidrage til, at det bliver
en dansk styrkeposition. For at sikre Der er behov for at styrke oplysnings-
dette er det nødvendigt, at der løftes i indsatsen rettet mod borgere og virk-
flok på tværs af den offentlige og private somheder for at styrke sikker adfærd på
sektor, ligesom der er behov for en tæt nettet og skabe løbende opmærksom-
dialog og vidensudveksling mellem de hed på området. Der skal gennemføres
aktører, der på forskellig vis kan under- landsdækkende oplysningsindsatser
støtte virksomhedernes arbejde med suppleret af målrettede indsatser mod
it-sikkerhed og ansvarlig datahåndtering. grupper af borgere og virksomheder,
Regeringen vil derfor tage initiativ til at der er særligt udfordrede på den digitale
etablere et offentlig-privat samarbejde i kommunikation, og lokale indsatser
form af et erhvervspartnerskab for øget rettet mod fx virksomheder eller særlige
it-sikkerhed og ansvarlig datahåndtering. medarbejdergrupper i den offentlige
Samtidig videreføres Virksomhedsrådet sektor. Private og offentlige parter invi-
for IT-sikkerhed og får en rolle som advi- teres til at deltage som bidragsydere
sory board for Erhvervspartnerskabet. og partnere til indsatserne.
3
Fælles indsats
Initiativer
3.1 Sektorvise delstrategier og decentrale cybersikkerhedsenheder
3.2 Tværgående indsats for at understøtte samfundskritiske

sektorers cyber- og informationssikkerhed
3.3 Styr på leverandører af outsourcet it
3.4 Styrket national koordinering
3.5 Styrket internationalt engagement
3.6 Tilstandsmåling af cyber- og informationssikkerhed
3.7 Overblik over beskyttelsesværdig information
3.8 Informationssikkerhedsarkitektur
3.9 National og international indsats for dataetik og

Fælles
indsats
Pejlemærke: Risikobaseret sikkerhedsledelse er en

integreret del af styringen i staten og i samfunds
kritiske sektorer. Der er klarhed over roller og ansvar
på cyber- og informationssikkerhedsområdet
blandt myndigheder og virksomheder, der leverer
samfundskritiske funktioner.
forskellige roller. Den fortsatte digi-

For at sikre en fælles indsats på talisering og de stadig flere gensidige
cyber- og informationssikkerheds- digitale afhængigheder i samfundet
området vil regeringen blandt andet: medfører behov for øget koordination
mellem myndigheder på området.
• Iværksætte en indsats for at Det kræver en højere grad af central,
understøtte samfundskritiske strategisk forankring af indsatser og
sektorers arbejde med cyber- og tiltag på nationalt niveau.
informationssikkerhed
• Stille større krav til myndigheders Karakteren af de sikkerhedsmæssige
styring af leverandører af udfordringer betyder, at cyber- og
samfundskritiske it-systemer informationssikkerhed i dag skal være
• Styrke den strategiske koordination et vigtigt fokusområde for alle ledere,
på nationalt niveau såvel offentlige som private. Samtidig
• Styrke Danmarks internationale er cyber- og informationssikkerheden i
engagement på området Danmark afhængig ikke blot af statens
indsats på området, men i lige så høj
Opgaverne på cyber- og informations- grad af indsatsen i de samfundskritiske
sikkerhedsområdet varetages af en sektorer. Der er således behov for at
række forskellige myndigheder med understøtte arbejdet med cyber- og
informationssikkerhed både centralt i Forskellige modenhedsniveauer og

staten, i sektorerne og i forhold til bor- behov i de enkelte sektorer betyder,
gere og det brede erhvervsliv gennem at indsatsen skal differentieres i de
øget erfaringsudveksling og koordine- forskellige sektorer. Der etableres
ring. Det vil både bidrage til at løfte dedikerede cyber- og informations-
Danmarks sikkerhed og medvirke til at sikkerhedsenheder, som skal bidrage
gøre fokus på cyber- og informations- til at gennemføre sektorvise trussels-
sikkerhed til en strategisk mulighed for vurderinger, styrke monitoreringen,
øget vækst og velstand og ikke blot en sikkerheds- og kompetenceopbygge
operationel udfordring. og rådgive og vejlede myndigheder
og virksomheder i sektorerne.
Styrket indsats i
samfundskritiske sektorer Sektorspecifikke strategier
For at opretholde cyber- og infor- Sektorer, der har særlig betydning for
mationssikkerheden i hele Danmark cyber- og informationssikkerheden i
er det afgørende, at der i samfunds- Danmark, skal sikre, at der ligger en
kritiske sektorer er det nødvendige klar plan for arbejdet med cyber- og
fokus på området. Derfor igangsætter informationssikkerhed i sektorerne.
regeringen en række initiativer, der Sektorerne skal derfor udarbejde
skal løfte de samfundskritiske sekto- sektorspecifikke strategier, der tager
rers arbejde med cyber- og informa- udgangspunkt i de særlige forhold,
tionssikkerhed. der gør sig gældende i sektorerne.
Sektorerne skal under udarbejdelsen
af delstrategierne inddrage relevante
interessenter i arbejdet.
Cyber- og informations-
sikkerheden i Danmark 
er i høj grad afhængig af
indsatsen i samfunds-
kritiske sektorer
Energi Sundhed
En sikker energiforsyning er en Sundhedssektoren er kendetegnet
forudsætning for et velfungerende ved, at der ved behandling og pleje
samfund, og manglende sikkerhed i af patienter registreres et stort antal
sektoren er dermed en sårbarhed for personhenførbare oplysninger i for-
hele samfundet. Energisektorernes bindelse med journalføring, doku-
sårbarhed overfor cybertrusler udvik- mentationskrav, indberetning til
ler sig hastigt i takt med digitalisering registre, ligesom der anvendes digitalt
af alt fra vindmøller til husholdnings- apparatur og medicinsk udstyr mv.
apparater. Leverandører af digitalt Det bidrager til at gøre sektoren til et
udstyr, software eller overvågning vil i muligt mål for cyberkriminalitet, hvor
fremtiden have en øget betydning for udefrakommende personer hacker
leverancen af energi. Samtidig er der sig til adgang til disse oplysninger og
en øget afhængighed af digital styring systemer. Det udbredte samarbejde
af anlæg til energiudvekslingen med om patientbehandlingen i sundheds-
nabolandende og balanceringen af sektoren med dertilhørende deling af
fluktuerende energiproduktion fra patientoplysninger parterne imellem
sol- og vindenergi. Derfor er der fastsat indebærer desuden en risiko for, at
regler for el- og naturgassektorernes potentielle cyberkriminelle vil gå
beredskab og herunder specifikt it- efter “det svageste led”, hvis ikke alle
beredskabet, således at nye trusler, aktører i tilstrækkelig grad lever op
sårbarheder og risici erkendes og til nødvendige og ensartede krav til
håndteres i tide. Energisektorernes sikkerhed. Delstrategien skal på den
delstrategi skal bygge videre på det baggrund styrke og ensrette arbejdet
arbejde inden for de eksisterende med cyber- og informationssikkerhed
rammer. på tværs af sundhedssektoren med
henblik på at forudsige, forebygge,
Energi- Forsynings- og Klimamini- opdage og håndtere cyberangreb samt
steriet har ansvaret for senest med videreføre arbejdet i strategi for digi-
udgangen af 2018 at have udarbejdet tal sundhed 2018-2022, hvor blandt
en delstrategi for cyber- og informa- andet cyberpolitisk forum sætter
tionssikkerheden i energisektorerne. cybersikkerhed på dagsordenen i hele
sundhedssektoren.
Sundheds- og Ældreministeriet har

ansvaret for senest med udgangen af
2018 at have udarbejdet en delstrategi
for cyber- og informationssikkerheden
i sundhedssektoren.
Regeringen igangsætter
initiativer, der skal løfte
Transport
Kritisk infrastruktur i transportsek-
samfundskritiske sektorers toren understøttes i stigende grad af

it-systemer, der tillader centraliseret
arbejde med cyber- og monitorering og fjernstyret eller auto-
matiseret kontrol. I takt med digitali-
informationssikkerhed seringen stiger truslen for angreb rettet
mod funktioner og systemer, som er udgangen af 2018 at have udarbejdet

kritiske for at sikre en transportsektor en delstrategi for cyber- og informati-
med høj mobilitet og sikker trafik- onssikkerheden i transportsektoren.
afvikling. Udarbejdelsen af en delstra-
tegi for cyber- og informationssikker- Tele
heden vil omfatte hele ressortområdet. Telesektoren er kendetegnet ved, at det
Det er dog primært luftfartsområdet, samlede telenet er en af de mest kriti-
og i nogen grad jernbaneområdet, der ske dele af samfundets it-infrastruktur.
er afhængige af netværks- og informa- På teleområdet har regeringen gennem
tionssystemer og dermed kan være etablering af lov om net- og informa-
sårbare over for trusler mod cyber- og tionssikkerhed derfor haft fokus på at
informationssikkerheden. Delstrate- sikre, at teleudbyderne opretholder
gien vil skabe overblik over de udfor- en høj grad af informationssikkerhed.
dringer, som transportsektoren står Det indebærer, at teleudbyderne skal
overfor som følge af stigende anven- sikre tilgængelighed, integritet og for-
delse af elektroniske styringssystemer trolighed i deres telenet, ligesom tele-
og automatiseret dataudveksling. Den udbyderne skal have et beredskab, der
vil dermed udgøre grundlaget for den understøtter, at samfundets funktioner
overordnede prioritering af arbejdet i videst muligt omfang kan videreføres
med cyber- og informationssikkerhed i tilfælde af, at telenettet påvirkes af
i transportsektoren med fokus dels på ulykker, katastrofer og cyberangreb.
at sikre opretholdelse af samfundskri-
tiske transportfunktioner og dels på Forsvarsministeriet har ansvaret
passagerernes sikkerhed. for senest med udgangen af 2018 at
have udarbejdet en delstrategi for
Transport-, Bygnings- og Boligmini- cyber- og informationssikkerheden
steriet har ansvaret for senest med i telesektoren.
Finans (AIS, NAVTEX), skibssystemer og

I den finansielle sektor har man etab- software til skibets drift, herunder til
leret et sektorforum i form af Finan- fremdrivning og navigation. Delstra-
sielt Sektor forum for Operationel tegien vil supplere implementerin-
Robusthed (FSOR), som blandt andet gen af NIS-direktivet med konkrete
skal være med til at sikre en fælles, initiativer, som med udgangspunkt
koordineret indsats i forhold til cyber- i sektorens sårbarheder og aktuelle
og informationssikkerhed. Endvidere modenhed bidrager til øget robusthed
implementeres NIS-direktivet i den over for cyberangreb og dermed øget
finansielle lovgivning inden maj 2018. cybersikkerhed i søfartssektoren.
Delstrategien vil supplere implemen-
teringen af NIS-direktivet og bygge Erhvervsministeriet har ansvaret
videre på det allerede etablerede for med udgangen af 2018 at have
sektorforum, FSOR, med konkrete udarbejdet en delstrategi for cyber-
initiativer, som med udgangspunkt og informationssikkerheden i søfarts-
i sektorens sårbarheder og aktuelle sektoren.
modenhed bidrager til øget robusthed
over for cyberangreb og dermed øget Drikkevandsforsyning
cybersikkerhed i finanssektoren. Der vil ikke blive udarbejdet en
særskilt delstrategi for drikkevands-
Erhvervsministeriet har ansvaret for forsyningssektoren, da leverancen
senest med udgangen af 2018 at have af drikkevand ikke er afhængig af
udarbejdet en delstrategi for cyber- net- og informationssystemer, idet
og informationssikkerheden i finans- alle forsyningsselskaber har mulighed
sektoren. for manuel drift. Kommunerne har
imidlertid en forpligtelse til at have en
Søfart beredskabsplan, der sikrer leverancen
Søfartssektorens sektoransvar omfat- af drikkevand.
ter sikkerheden for sejlads i danske
farvande samt sikkerheden for dansk- Det kan ikke udelukkes, at der med
flagede skibe og deres besætning. tiden vil ske ændringer i forsyninger-
Cybersikkerhed for skibe omfatter nes drift hen imod en afhængighed af
tjenester som trafikovervågning, it-styring af drikkevandsleverancen.
advarsler og information til skibsfarten Miljø- og Fødevareministeriet vil
EU-Kommissionen har fremlagt en cyberstrategi fra 2013, hvor særligt

omfattende cyberpakke med det net- og informationssikkerhedsdirek-
overordnede formål at skabe mod- tivet (NIS-direktivet) stod centralt.
Cyberpakke
standsdygtighed, afskrækkelse og EU-Kommissionens cyberpakke inde-
forsvare Europa mod cybertrusler holder en lang række tiltag, herunder
– og samtidig øge de europæiske et forordningsforslag til styrkelse af
borgeres tillid til digitale løsninger. EU’s Cyberagenturs (ENISA) mandat
Cyberpakken bygger videre på de samt en fælleseuropæisk ramme for
fremskridt, der blev gjort med EU’s cybersikkerhedscertificering.
Regeringen indfører derfor skærpede

krav til alle offentlige myndigheder
Regeringen vil skabe

om brug af tilstrækkelige sikkerheds-
og styringsbestemmelser i fremtidige
bedre sammenhæng mellem kontrakter for samfundskritiske it-

systemer samt til myndighedernes
de operationelle tiltag og styring af private leverandører. Endelig
vil regeringen undersøge muligheden
den overordnede strategiske for at give staten hjemmel til om nød-
tilgang til cyber- og

vendigt og i helt særlige tilfælde at
overtage samfundskritiske it-systemer,
informationssikkerhed der drives for en myndighed.
Mere samarbejde og øget national

koordinering
Sektoransvarsprincippet betyder,
løbende vurdere, om der vil skulle at den myndighed, der har ansvaret
udarbejdes en delstrategi i sektoren. for en funktion i det daglige, også
har ansvaret, når der sker en alvorlig
Domænenavnssystemer og hændelse. Ansvaret omfatter også at
digitale  tjenester planlægge, hvordan man vil opretholde
NIS-direktivet stiller krav om, at udby- og videreføre funktionerne, hvis der
dere af såkaldte domænenavnssystemer indtræffer en ekstraordinær hændelse.
og administratorer af topdomæne- Ansvaret for cyber- og informations-
navne samt udbydere af visse digitale sikkerheden og dermed opgaven med
tjenester, herunder blandt andet cloud at beskytte vores samfundskritiske
computing-tjenester, skal styre risici i infrastruktur er derfor delt mellem de
forhold til sikkerheden i deres tjenester myndigheder, som har ansvaret for de
og indberette væsentlige sikkerheds- samfundskritiske sektorer, fx trans-
hændelser. Disse krav bliver imple- port-, sundheds- og finanssektoren.
menteret med Erhvervsministeriets Med Forsvarsforliget 2018-2023 sker
kommende lov om net- og informati- der en væsentlig styrkelse af Center
onssikkerhed for domænenavnssyste- for Cybersikkerheds evne til bistå de
mer og visse digitale tjenester. sektoransvarlige myndigheder.
Styr på leverandører af Den sektorvise ansvarsfordeling sikrer,

samfundskritisk it at tiltagene tager højde for den enkelte
En stor del af danske myndigheders sektors kendetegn og modenhed i for-
samfundskritiske it-systemer drives af hold til cyber- og informationssikker-
private leverandører. Det stiller store hed. Samtidig nødvendiggør sektoran-
krav til myndighederne om at sikre, svaret, at der er en central koordinering,
at deres leverandører opretholder et både mellem sektorministerierne og
passende sikkerhedsniveau, at data mellem myndigheder med et tværgå-
og informationer behandles i over- ende ansvar. Det er afgørende, at staten
ensstemmelse med lovgivningen, og fastsætter de overordnede strategiske
at borgernes rettigheder i forhold til rammer på cyber- og informations-
deres personoplysninger respekteres. sikkerhedsområdet og understøtter
Styrket internationalt engagement
Danmark skal være

I de kommende år vil cyberområdet
være et af de mest prioriterede sagsom-
stærkere repræsenteret råder i EU, og EU-kommissionen har

blandt andet fremlagt en omfattende
i internationale drøftelser cyberpakke. Cyberområdet vil have
tværgående betydning for en lang
om cybersikkerhed og række sektorområder, såsom erhvervs-
styring af internettet
politik, energi- og forsyningssikker-
hed, telekommunikation, forsvar,
retsområdet samt offentlig og privat
digitalisering. Regeringen vil derfor øge
arbejdet hermed i de samfundskritiske Danmarks engagement i det internati-
sektorer. Til at understøtte og bistå onale samarbejde. Danmark skal være
den enkelte sektor i arbejdet med at stærkere repræsenteret i drøftelser i
opbygge den nødvendige cyber- og EU-, NATO- og FN-sammenhænge om
informationssikkerhed oprettes en cybersikkerhed og styring af internet-
midlertidig task force med deltagelse tet, når drøftelserne har direkte betyd-
af Digitaliseringsstyrelsen, Center for ning for danske borgere, virksomheder
Cybersikkerhed og Politiets Efterret- og myndigheder.
ningstjeneste.
Regeringen vil også bringe Danmarks
For at imødekomme behovet for hur- tech-ambassadør i spil på cyberom-
tigt at tilpasse indsatsen på cyber- og rådet som led i en styrket dialog med
informationssikkerhedsområdet til de store, multinationale teknologi-
den løbende udvikling i trusselsbilledet virksomheder og det øvrige tech-miljø
er der behov for at styrke den nationale om cyber- og informationssikkerhed,
tværgående koordinering på området. herunder dataetik og databeskyt-
Derfor nedsætter regeringen Den natio- telse. Regeringen vil ligeledes styrke
nale styregruppe for cyber- og infor- cyberdiplomatiet ved at etablere en
mationssikkerhed. Øget koordinering cyberkoordinator-funktion i Udenrigs-
og videndeling på området skal skabe ministeriet, som skal styrke Danmarks
bedre sammenhæng mellem de opera- engagement i det internationale sam-
tionelle tiltag i de enkelte sektorer og arbejde om cybersikkerhed.
den overordnede strategiske tilgang til
cyber- og informationssikkerhed. Derudover iværksættes en indsats for
styrket eksportkontrol med cyber-
Regeringen ønsker desuden at fort- overvågningsudstyr. Der fokuseres på
sætte samarbejdet med eksperter fra at sikre klarere regler og kompetent
den offentlige og den private sektor vejledning fra myndighederne, således
og derfor omlægges Dialogforum for at virksomhederne tør satse på eksport
informationssikkerhed til et advisory og derigennem opbygge en stærk dansk
board med eksperter på området, som cyberindustri, der samtidig kan bidrage
skal levere input til implementeringen til et styrket dansk cyberberedskab.
og opfølgningen på cyberstrategien og
dens initiativer.
Regeringens
initiativer
– Fælles indsats
Initiativ 3.1: Sektorvise • Initiativ 3.1a: Cyber- og

informationssikkerhedsstrategi
delstrategier og decentrale for energisektoren
cybersikkerhedsenheder • Initiativ 3.1b: Cyber- og
informationssikkerhedsstrategi
For at opbygge stærkere decentral for sundhedssektoren
kapabilitet på cyber- og informations • Initiativ 3.1c: Cyber- og
sikkerhedsområdet, oprettes der for informationssikkerhedsstrategi
hver af de samfundskritiske sektorer en for transportsektoren
sektorenhed, der kan bidrage til gen- • Initiativ 3.1d: Cyber- og
nemførelsen af sektorvise trusselsvurde- informationssikkerhedsstrategi
ringer, overvågning, beredskabsøvelser, for telesektoren
sikkerhedsopbygning, vidensdeling, • Initiativ 3.1e: Cyber- og
vejledning mv. Endvidere skal der i 2018 informationssikkerhedsstrategi
for hver af de samfundskritiske sektorer for finanssektoren
udarbejdes en sektorspecifik strategi i • Initiativ 3.1f: Cyber- og
forlængelse af den nationale strategi. informationssikkerhedsstrategi
for søfartssektoren
Initiativ 3.2: Tværgående iværksætte supplerede initiativer og

indsats for at understøtte sam- analyser og løbende drøfte den nati-
onale policy på cyber- og informati-
fundskritiske sektorers cyber- onssikkerhedsområdet. Dialogforum
og informationssikkerhed for informationssikkerhed omlægges
til et advisory board med eksperter
Der etableres en tværministeriel task- på området, som skal levere input til
force bestående af eksperter fra Center implementeringen og opfølgningen på
for Cybersikkerhed, Digitaliseringssty- cyberstrategien og dens initiativer.
relsen og Politiets Efterretningstjeneste,
som i en overgangsfase, gennem rådgiv-
ning og fælles tiltag, skal bistå de sam-
fundskritiske sektorer med udformning
Initiativ 3.5: Styrket
af sektorstrategierne, bistå i etableringen internationalt engagement
af de decentrale cybersikkerhedsenheder
og erfaringsudveksling samt udarbejde Regeringen vil styrke Danmarks inter-
vejledninger for sektorernes arbejde nationale engagement ved at udstati-
med etablering af beredskabsplaner på onere to cyber-attachéer på EU-repræ-
informationssikkerhedsområdet. sentationen i Bruxelles med henblik
på at styrke Danmarks tværgående
interessevaretagelse. Samtidig styrker
regeringen tech-ambassadørens setup i
Initiativ 3.3: Styr på Silicon Valley med en rådgiver dedikeret
leverandører af outsourcet it til cyber- og informationssikkerhed og
styrker cyberdiplomatiet med en inter-
For at øge it-sikkerheden og forsynings- national cyberkoordinator i Udenrigsmi-
sikkerheden for myndighedernes sam- nisteriet. Danmark vil desuden deltage
fundskritiske it-systemer indføres der i ”NATO Cooperative Cyber Defence
skærpede krav til alle offentlige myndig- Center of Excellence” i Tallinn og i ”Euro-
heder om brug af tilstrækkelige sikker- pean Centre of Excellence for countering
heds- og styringsbestemmelser i frem- hybrid threats” i Helsinki. Herudover
tidige kontrakter for samfundskritiske øges indsatsen indenfor eksportkontrol
it-systemer samt til myndighedernes med cyberovervågningsudstyr med
styring af disse. henblik på at sætte danske virksom-
heder i stand til at navigere indenfor
dette, samtidig med at dansk udviklet
teknologi ikke bruges imod nationen af
Initiativ 3.4: Styrket national ondsindede aktører.
koordinering
Den strategiske koordinering på cyber-

og informationssikkerhedsområdet skal
styrkes. Derfor oprettes “Den nationale
styregruppe for cyber- og informations-
sikkerhed”. Styregruppen får til ansvar at
følge op på udmøntningen af strategien
for cyber- og informationssikkerhed,
Initiativ 3.6: Tilstandsmåling Initiativ 3.8: Informations

af cyber- og informations sikkerhedsarkitektur
sikkerhed
Med henblik på at støtte myndighe-
Der er behov for jævnligt at foretage derne i at udvikle it-løsninger, der øger
en national analyse af cyber- og infor- myndighedernes evne til at sikre for-
mationssikkerhedssituationen med trolighed, integritet, tilgængelighed og
henblik på at vurdere, om de iværk- robusthed af systemer og -tjenester,
satte tiltag har den ønskede effekt og udarbejdes en fællesoffentlig arkitektur
imødegår udviklingen i trusselsbilledet. for informationssikkerhed bestående
Analysen skal anlægge såvel et bredt af principper, standarder, fælleskom
som et dybdegående blik på cyber- og ponenter og vejledninger.
informationssikkerheden i Danmark,
herunder trusler, risici, beskyttelses-
niveau, iværksatte foranstaltninger,
organisering, sammenhænge mellem Initiativ 3.9: National og inter-
sektorer mv.
national indsats for dataetik og
Initiativ 3.7: Regeringen vil styrke den dataetiske

indsats både nationalt, i forhold til hånd-
Overblik over beskyttelses teringen af data i danske virksomheder,
værdig information og internationalt. På nationalt niveau
udarbejdes virksomhedsrettet infor-
Med henblik på at beskytte informa- mations- og vejledningsmateriale om
tioner af betydning for den nationale reglerne for bl.a. ansvar, ejerskab og ret-
sikkerhed og styrke arbejdet med vur- tigheder ved anvendelse af data. Der er
dering af informationssikkerhedsrisici endvidere nedsat en ekspertgruppe
iværksættes en indsats, der har til formål med repræsentanter fra erhvervslivet,
at skabe det fornødne overblik over som skal udarbejde anbefalinger for
beskyttelsesværdig information. Over- dataetik. Regeringen vil desuden lancere
blikket skal anvendes til at fastlægge en særskilt strategi om beskyttelse af
konkrete klassifikations- og sikkerheds- danskernes personoplysninger. På inter-
niveauer, såvel myndighedsspecifikt nationalt niveau vil regeringen udpege
som i forhold til den overordnede dataetik og databeskyttelse som fokus-
samfundsmæssige betydning af infor- områder for Danmarks tech-ambassadør
mationer. i Silicon Valley, som led i en styrket
dialog med de store, multinationale
teknologivirksomheder.
A
Appendix
Ansvar og roller ved myndigheders
arbejde med cyber- og informations
sikkerhed
Arbejdet med cyber- og informations-

sikkerhed er baseret på sektoransvars-
princippet. Det betyder, at den myn-
dighed, der har ansvaret for en opgave
til dagligt bevarer ansvaret under en
hændelse. Det gælder både i det daglige
beredskab, under hændelser og ved
genopretning efter hændelser.
Sektoransvarsprincippet Samarbejdsprincippet
Den myndighed, der har ansvaret Myndighederne har et selvstændigt
for en opgave til daglig, bevarer ansvar for at samarbejde og koor-
Generelle principper
for det nationale
ansvaret for opgaven under en større dinere med andre myndigheder og
krisestyringssystem i ulykke eller katastrofe. organisationer, både vedrørende
Danmark beredskabsplanlægning og krise
Lighedsprincippet styring.
De procedurer og ansvarsforhold, der
anvendes i dagligdagen, anvendes Handlingsprincippet
i videst muligt omfang også i krise I en situation med uklare eller ufuld
styringssystemet. stændige informationer er det mere
hensigtsmæssigt at etablere et lidt
Nærhedsprincippet for højt beredskab end et lidt for lavt
Beredskabsopgaverne bør løses beredskab. Samtidig skal der hurtigt
så tæt på borgerne som muligt kunne ændres på beredskabet i
Kilde: National
Beredskabsplan, 6. og dermed på det lavest egnede, nedadgående retning for at undgå
udgave relevante organisatoriske niveau. ressourcespild.
Sektoransvarsprincippet indebærer bl.a., at
1. Alle ministre skal sikre et for- 3. . Myndighedernes beredskabs-

Sektoransvarsprin-
cippet
svarligt beredskab inden for eget planlægning skal bygge på
ressort en løbende og systematisk
risikovurderingsproces, som er
2. . Sektoransvaret omfatter alle forankret i ledelsen
Kilde: Præcisering kritiske funktioner og opgaver,
af sektoransvar for som er pålagt lovgivningsmæs- 4. . Myndighederne skal løbende
ministerier og styrelser,
National sårbarheds sigt, politisk eller administrativt overvåge risikobilledet inden
rapport, 2006 for egen sektor
2. Ansvar og roller ved hændelser Sektoransvarsprincippet indebærer

af betydning for cyber- imidlertid fortsat, at det er de sektor-
og  informationssikkerheden ansvarlige myndigheders ansvar at sikre
et overblik over hændelsens omfang og
2.1. Hændelse inden for en sektor at rapportere dette til relevante myn-
Den enhed (myndigheder, virksom- digheder, herunder CFCS og NOST, hvis
heder og organisationer), der har denne er etableret, ligesom det er de
ansvaret for en opgave til daglig, har berørte myndigheder, virksomheder
fortsat ansvaret, når der opstår en og organisationers ansvar at håndtere
cyberhændelse. Enheden skal sikre, at hændelsen og dens følger. Afhængig af
den i den forbindelse får den aftalte hændelsens omfang og karakter kan
bistand fra eventuelle driftsleveran- Center for Cybersikkerhed i den forbin-
dører. Derudover kan enheden få delse assistere de ramte enheder med
bistand fra de decentrale cybersikker- imødegåelsen af hændelsen. Center for
hedsenheder. Det er enhedens ansvar Cybersikkerhed kan således foretage
at aktivere denne bistand, forestå den tekniske undersøgelser af cyberangreb
indledende hændelseshåndtering med henblik på dels at stoppe den
og, afhængigt af hændelsens omfang, enkelte hændelse, dels at klarlægge
at indberette denne til kompetente eventuelle angrebsmetoder eller sår-
myndigheder og Center for Cyber- barheder, således at samfundets beskyt-
sikkerhed. Det er ligeledes den ansvar- telse mod tilsvarende situationer kan
lige myndighed, virksomhed eller styrkes. Disse undersøgelser udføres i et
organisation, der som udgangspunkt tæt samarbejde med den udsatte enhed.
varetager evt. ekstern kommunikation
om hændelsen. Ved langt de fleste større cyberangreb
vil der være behov for både efterforsk-
2.2. Større, tværgående hændelser ning og it-sikkerhedstekniske under-
Ved større cyberhændelser, der påvir- søgelser. Der er derfor etableret et tæt
ker flere sektorer, kan National Opera- samarbejde mellem politiet (herunder
tiv Stab (NOST), hvor bl.a. Rigspolitiet, PET) og Center for Cybersikkerhed,
PET og FE/Center for Cybersikkerhed som indebærer, at der sker en gensidig
er faste medlemmer, aktiveres. orientering ved større cyberhændelser,
herunder forsætlige angreb, ligesom Kommunikationsberedskab (DCOK)

der ofte vil være et operativt samarbejde kommunikationen. DCOK har således
i forbindelse med konkrete hændelser. til opgave at sikre hurtig videregivelse af
relevante og koordinerende informati-
2.3. Kommunikation oner til offentligheden, herunder medi-
Ekstern kommunikation ved mindre erne. DCOK har endvidere til opgave
hændelser, der ikke berører flere sek- – om fornødent – at etablere enheder,
torer, håndteres som udgangspunkt hvor borgere kan få yderligere oplysnin-
af den sektoransvarlige myndighed. ger vedrørende konkrete hændelser.
Kommunikation om cybertrusler og
det aktuelle situationsbillede samt 2.4. Genopretning efter en
krisekommunikation i forbindelse cyberhændelse
med cyberhændelser i øvrigt vare- Den berørte enhed (myndighed, virk-
tages af Center for Cybersikkerhed i somhed eller organisation) forestår
samarbejde med den relevante sektor- med udgangspunkt i sin beredskabs-
ansvarlige myndighed. plan selv genopretning af såvel den
forretningsmæssige drift som it-driften.
I tilfælde af en større, tværgående Den berørte enhed kan i arbejdet blive
hændelse vil der skulle ske en koordi- støttet af offentlige eller private leve-
nation af kommunikationen. Via myn- randører på området og eventuelt af de
dighedssamarbejdet inden for NOST decentrale cybersikkerhedsenheder i
koordinerer Det Centrale Operative de enkelte sektorer.
Figur 1
Det nationale krise- Regeringens
styringssystem Sikkerhedsudvalg
Embedsmandsudvalget
for Sikkerhedsspørgsmål
National Operativ Stab

International
(Det Centrale Operative
Operativ Stab
Kommunikationsberedskab)
De 12 lokale
beredskabsstabe
Kilde: Krisestyring i Kommandostadet i

Danmark, Beredskabs- indsatsområdet
styrelsen, 2015
3. Løbende koordinering For at styrke den strategiske koordina-

Det løbende arbejde med cyber- og tion og implementering af strategien
informationssikkerhed skal ske med nedsættes en national styregruppe for
tæt koordinering og vidensdeling cyber- og informationssikkerhed, hvor
mellem relevante myndigheder. Derfor arbejdet i de enkelte sektorer knyttes
igangsættes en række initiativer, som sammen med den nationale indsats på
understøtter arbejdet i sektorer, myn- området.
digheder og virksomheder, og som
sikrer en tættere national koordination Med kravet om sektorstrategier og dedi-
på området, særligt ift. det forebyg- kerede cyber- og informationssikker-
gende arbejde med it-sikkerhed. hedsenheder i de enkelte sektorer sikres
en tættere tværgående koordination
Med strategien sættes der fokus på inden for den enkelte sektor samt imel-
kravet om, at de samfundskritiske sek- lem sektorerne og nationale indsatser.
torer skal opbygge en dedikeret cyber- Der etableres en task force med delta-
og informationssikkerhedsenhed, der gelse af Digitaliseringsstyrelsen, Center
kan bidrage til sektorvise trusselsvurde- for Cybersikkerhed og Politiets Efterret-
ringer, sårbarhedsvurderinger, bered- ningstjeneste, der gennem rådgivning
skabsøvelser, sikkerhedsopbygning, og fælles tiltag skal bistå sektorerne med
videndeling, vejledning mv. etablering af cyber- og informations-
sikkerhedsenhederne og udarbejdelse
af de sektorspecifikke strategier.
Figur 2
Styregruppe
for national Tele
Finans
koordinering og FMN
EM
opfølgning på cyber-
og informations
sikkerhedsstrategien
Sekretariat
FM+FMN (formand), EM, JM Transport
Energi
EFKM TRM
Task Force
DIGST, CFCS og PET
Sundhed Søfart
SUM EM
Center for Cybersikkerhed Politiets Efterretningstjeneste

CFCS er national it-sikkerheds PET er national sikkerhedsmyndig-
myndighed og varetager en række hed og kan i den forbindelse bl.a. yde
Myndigheder, der
leverer information,
opgaver af forebyggende og afhjæl- rådgivning og bistand til offentlige
rådgivning og pende karakter, herunder bl.a. råd- myndigheder og private i sikkerheds-
vejledning på cyber- givning. CFCS’ netsikkerhedstjeneste spørgsmål, herunder for så vidt angår
og informations kan bidrage til at opdage og varsle den menneskelige faktor i informa-
sikkerhedsområdet om avancerede cyberangreb hos tionssikkerhed tillige med fysiske
tilsluttede myndigheder og virk- sikring.
somheder. CFCS varsler relevante
myndigheder og virksomheder Digitaliseringsstyrelsen
om konkrete cybertrusler, ligesom Digitaliseringsstyrelsen understøt-
centeret udarbejder nationale og ter informationssikkerheden i den
sektorspecifikke situationsbilleder offentlige sektor og varetager en
og trusselsvurderinger. række borgerrettede informations-
opgaver samt har ansvaret for at
Politiet koordinere implementeringen af
Politiet har til opgave at forebygge strategien i samarbejde med FMN.
og efterforske it-relateret kriminali-
tet, og bringe kriminalitet til ophør. Erhvervsstyrelsen
Politiet har desuden det koordine- Erhvervsstyrelsen udarbejder infor-
rende ansvar ved større, tværgående mation, vejledning og værktøjer
hændelser. til at styrke det brede erhvervslivs
arbejde med it-sikkerhed og ansvarlig
datahåndtering.
4. Myndigheder med et Forsvarets Efterretningstjeneste bl.a.

tværgående ansvar for cyber- national it-sikkerhedsmyndighed, og
og informationssikkerhed denne funktion varetages af Center for
Myndighedernes arbejde med cyber- Cybersikkerhed.
sikkerhed understøttes af bistand,
information, vejledning og rådgivning På det proaktive område tilbyder
fra myndigheder med en tværgående Center for Cybersikkerhed at rådgive
og koordinerende funktion på områ- statslige myndigheder om cybersikker-
det. Det er myndighedernes ansvar hed, f.eks. ved indkøb af it-udstyr eller
aktivt at efterspørge den bistand, der design af nye it-systemer. Desuden
vurderes relevant. udgiver centeret vejledninger om
håndtering af cybersikkerhedsmæssige
4.1. Center for Cybersikkerhed udfordringer. CFCS’ trusselsvurde-
Center for Cybersikkerhed blev dannet ringsenhed udarbejder nationale og
i 2012 for at styrke beskyttelsen sektorspecifikke situationsbilleder og
mod cyberangreb mv. Jf. FE-loven er trusselvurderinger.
På det reaktive område har blandt Center for Cybersikkerhed udgiver

andet statslige myndigheder mulighed jævnligt situationsbilleder og trussels-
for at blive tilsluttet centerets netsik- vurderinger. Uklassificerede situations-
kerhedstjeneste, der sikrer, at myn- billeder og trusselsvurderinger kan
dighedens internetkommunikation findes på Center for Cybersikkerheds
løbende monitoreres for skadelig trafik hjemmeside, www.cfcs.dk. Klassifice-
ved hjælp af særlige alarmenheder. rede trusselsvurderinger og varslinger
Endvidere kan statslige myndigheder om konkrete cybersikkerhedshændel-
døgnet rundt kontakte netsikkerheds- ser distribueres direkte til de berørte
tjenesten, hvis der konstateres mulige myndigheder.
cyberangreb, hvorefter netsikkerheds-
tjenesten kan yde assistance, f.eks. ved Med forsvarsforliget 2018-2023 sker
udsendelse af et Rapid Response Team. der en væsentlig styrkelse af Center for
Cybersikkerheds evne til at bistå de
Regeringen har besluttet, at alle stats- sektoransvarlige myndigheder. Styr-
lige myndigheder skal rapportere kelsen af Center for Cybersikkerhed
større it-sikkerhedshændelser i deres vil både omfatte centrets rådgivende
egne it-systemer til Center for Cyber- og forebyggende rolle og indsatsen
sikkerhed, således at netsikkerheds- i forhold til at opdage og varsle om
tjenesten har det bedst mulige overblik konkrete hændelser inden for sam-
over den aktuelle sikkerhedssituation fundsvigtige sektorer. Det sker bl.a. ved
på den danske del af internettet. etableringen af et nyt døgnbemandet
nationalt cybersituationscenter som
vil skulle operationalisere oplysninger
fra efterretningskilder, indberetnin-
ger mv. og dermed skabe et nationalt
situationsbillede over den aktuelle
sikkerhedstilstand for samfundsvigtige
digitale netværk.
4.2. Politiets Efterretningstjeneste

(PET)
Myndighederne PET har i medfør af PET-loven til

opgave at forebygge, efterforske og
understøttes af bistand, modvirke trusler og handlinger, der
udgør eller vil kunne udgøre en fare
information, vejledning og for Danmark som et selvstændigt,
rådgivning fra myndigheder
demokratisk og sikkert samfund.
Ansvarsområdet for PET er forbry-
med en tværgående og delserne omhandlet i straffelovens

kapitel 12 (om forbrydelser mod
koordinerende funktion statens selvstændighed og sikkerhed)
og 13 (om forbrydelser mod stats-
forfatningen og de øverste statsmyn-
digheder, terrorisme m.v.), herunder
forbrydelser der i den forbindelse
er rettet mod informations- og
kommunikationssystemer, eller som Med henblik på en styrkelse af hånd-

indebærer anvendelse af informations- teringen af it-relateret kriminalitet
og kommunikationsteknologi. har Rigspolitiet i 2014 etableret et
nationalt Cyber Crime Center (NC3).
PET skal gennem sin virksomhed Centret har – med forbehold for de
medvirke til, at trusler af den nævnte opgaver, der varetages af PET – det
karakter identificeres og håndteres så overordnede ansvar for at sætte ret-
tidligt og effektivt som muligt. ning for politiets opgavevaretagelse
vedrørende bl.a. kriminalitet, der retter
PET er endvidere national sikker- sig imod it-systemer, og kriminalitet,
hedsmyndighed og rådgiver i den der begås under anvendelse af it.
forbindelse om den fysiske beskyt-
telse af følsom information, herunder Politiets kompetence omfatter alle
om sikkerhedsmæssig håndtering af strafbare forhold, der er undergivet
medarbejdere med fysisk adgang til dansk straffemyndighed. Dette gælder
information og informationssystemer, ligeledes handlinger, der foretages
herunder gennemførsel af sikker- uden for den danske stat, når handlin-
hedsundersøgelser og -godkendelser. gerne krænker den danske stats selv-
PET varetager endelig funktionen som stændighed, sikkerhed, forfatning eller
it-sikkerhedsmyndighed på Justits- offentlige myndigheder, eller når virk-
ministeriets område. ningen af de strafbare handlinger er
tilsigtet at skulle indtræde her i landet.
4.3. Politiet
Politiet har i medfør af lov om politiets Politiet har desuden i medfør af bered-
virksomhed (politiloven) til opgave at skabsloven det koordinerende ansvar
forebygge og efterforske strafbare for- for den samlede indsats ved større
hold og bringe strafbar virksomhed til skader, herunder også for så vidt angår
ophør, herunder sager om it-relateret bl.a. varsling mv.
kriminalitet.
2017/18:29
April 2018
Finansministeriet
Christiansborg Slotsplads 1
1218 København K
Tlf.: +45 3392 3333
E-mail: fm@fm.dk
ISBN 978-87-93635-45-6 (pdf version)

ISBN 978-87-93635-36-4 (trykt version)
Design: e-Types
Foto: Ritzau Scanpix, Colourbox,
Johnér og Pexels
Tryk: Rosendahls
Publikationen kan hentes på

fm.dk /regeringen.dk
Finansministeriet
Christiansborg Slotsplads 1
1218 København K
Tlf.: +45 3392 3333

National Strategi For Cyber - Og Informationssikkerhed PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

National Strategi For Cyber - Og Informationssikkerhed PDF

Uploaded by

Copyright:

Available Formats

National strategi

Digitale muligheder og sårbarheder .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. . 6

En systematisk og vedvarende indsats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Øget afhængighed og stigende utidssvarende, it-systemporteføljer,

Utilstrækkelig sikkerhedsadfærd Flere enheder er forbundet

Et trusselsbillede i forandring mere avancerede angreb i form af

I Danmarks første nationale strategi styrket. Endelig udviklede Erhvervs-

• Befolkningen, virksomheder og Et fælles ansvar

Private virksomheder ejer og under- En del af en større indsats

EU’s direktiv om sikkerhed i levering af deres tjenester. Derudover

Som led i en styrkelse af den samlede Endelig præsenterede regeringen i

En tryg hverdag for borgere og

Bedre kompetencer Fælles indsats

1.2 Minimumskrav til myndigheders arbejde med cyber-

1.3 Lovgivningsinitiativer på cyberområdet

1.4 Overvågning af statens kritiske it-systemer

1.5 Fælles digital indgang for indberetninger

1.6 Landsdækkende center for behandling af sager

1.7 Styrket samarbejde om forebyggelse af og håndhævelse

1.8 Øget sikring af identitetsbeviser

1.9 Styrket prioritering af national it-infrastruktur

1.10 Sikker kommunikation i staten

enkelte virksomhed og myndigheds

de centrale myndigheder har et fyldest- og for at opretholde et opdateret

implementering af ISO27001 viser, at For at sikre fuld implementering af

Myndighedernes og virksomhe- med henblik på at nedbringe risikoen

Initiativ 1.1: Etablering af Initiativ 1.2: Minimumskrav

Initiativ 1.3: Lovgivnings­ Initiativ 1.5: Fælles digital

Initiativ 1.4: Overvågning af

Initiativ 1.7: Styrket Initiativ 1.9: Styrket

Initiativ 1.8: Øget sikring af Initiativ 1.10: Sikker

2.3 Forskning i ny teknologi

2.4 Erhvervspartnerskab for øget it-sikkerhed i dansk erhvervsliv

2.5 Partnerskab om kompetenceudvikling og opbygning af

2.6 Styrket oplysningsindsats til borgere og virksomheder

Pejlemærke: Borgere, virksomheder og myndig-

borgers, virksomheds og organisations

til at begå sig trygt, forsvarligt og etisk Øget viden om cyber- og

Børn og unge skal have

evnerne til at udnytte de skab om kompetenceopbygning

statslige digitaliseringsakademi, som for cyber- og informationssikkerhed.

blevet automatiseret, papirarkiver og fremme it-sikkerhed og ansvarlig

Danske virksomheder oplever i dag til at interessere sig, uddanne sig og

Initiativ 2.1: Digital dømme­ Initiativ 2.2: Informations­

Initiativ 2.3: Forskning i ny Initiativ 2.5: Partnerskab

3.2 Tværgående indsats for at understøtte samfundskritiske

3.3 Styr på leverandører af outsourcet it

3.4 Styrket national koordinering

3.5 Styrket internationalt engagement

3.6 Tilstandsmåling af cyber- og informationssikkerhed

3.7 Overblik over beskyttelsesværdig information

3.9 National og international indsats for dataetik og

Pejlemærke: Risikobaseret sikkerhedsledelse er en

forskellige roller. Den fortsatte digi-

informationssikkerhed både centralt i Forskellige modenhedsniveauer og

Sundheds- og Ældreministeriet har

samfundskritiske sektorers toren understøttes i stigende grad af

mod funktioner og systemer, som er udgangen af 2018 at have udarbejdet

Finans (AIS, NAVTEX), skibssystemer og

EU-Kommissionen har fremlagt en cyberstrategi fra 2013, hvor særligt

Regeringen indfører derfor skærpede

Regeringen vil skabe

bedre sammenhæng mellem kontrakter for samfundskritiske it-­

1.2 Minimumskrav til myndigheders arbejde med cyber-

1.3 Lovgivningsinitiativer på cyberområdet

1.4 Overvågning af statens kritiske it-systemer

1.6 Landsdækkende center for behandling af sager

1.7 Styrket samarbejde om forebyggelse af og håndhævelse

1.9 Styrket prioritering af national it-infrastruktur

1.10 Sikker kommunikation i staten

de centrale myndigheder har et fyldest- og for at opretholde et opdateret

Initiativ 1.3: Lovgivnings Initiativ 1.5: Fælles digital

2.4 Erhvervspartnerskab for øget it-sikkerhed i dansk erhvervsliv

2.6 Styrket oplysningsindsats til borgere og virksomheder

Initiativ 2.1: Digital dømme Initiativ 2.2: Informations

3.3 Styr på leverandører af outsourcet it

3.4 Styrket national koordinering

3.5 Styrket internationalt engagement

3.7 Overblik over beskyttelsesværdig information

Finans (AIS, NAVTEX), skibssystemer og

bedre sammenhæng mellem kontrakter for samfundskritiske it-

Initiativ 3.6: Tilstandsmåling Initiativ 3.8: Informations

1. Alle ministre skal sikre et for- 3. . Myndighedernes beredskabs-