Her er regeringens strategi for informations- og cybersikkerhed

DOKUMENTATION: En strategi med 25 konkrete tiltag til en værdi af 1,5 milliarder kroner skal ruste Danmark til at bekæmpe de nye cybertrusler. Få overblik over strategien her.

Efter et års forsinkelse har regeringen netop præsenteret Danmarks nye nationale strategi for cyber- og informationssikkerhed.

En strategi, som består af 25 konkrete initiativer fordelt på tre kerneområder: tryg hverdag, bedre kompetencer og fælles indsats.

Der afsættes 1,5 milliarder kroner til den nye nationale strategi, der både involverer myndigheder, virksomheder og borgere i kampen mod cyberangrebene. 

Altinget har samlet hovedpunkterne i strategien: 

Tryg hverdag

Initiativ 1.1: Etablering af nationalt cybersituationscenter
Der oprettes et døgnbemandet nationalt cybersituationscenter ved Center for Cybersikkerhed for at etablere et nationalt situationsbillede af den aktuelle sikkerhedstilstand for samfundskritiske digitale netværk. Situationscentret skal foretage teknisk monitorering af netværk, scanne efterretningskilder, medier og fora for oplysninger om nye trusler og igangværende potentielt alvorlige cyberangreb og samtidig fungere som nationalt kontaktpunkt i forhold til grænseoverskridende cybersikkerhedshændelser.

Initiativ 1.2: Minimumskrav til myndigheders arbejde med cyber- og informationssikkerhed
Der skal sikres et tilstrækkeligt minimumsniveau for håndtering af cyber- og informationssikkerhed i statslige myndigheder. Alle statslige myndigheder skal følge principperne i informationssikkerhedsstandarden ISO27001 og foretage en vurdering af behovet for certificering. De myndigheder, der ikke er i mål med implementeringen, skal forelægge en handleplan for regeringen med henblik på at sikre fuld implementering af standarden. Myndighederne skal desuden tage aktivt og dokumenteret stilling til anvendelse af vejledninger om cyber- og informationssikkerhed, vurdere behovet for at implementere kendte og velafprøvede teknologier til beskyttelse mod ondsindede cyber- og informationssikkerhedshændelser samt følge kravene i Strategi for it-styring i staten.

Initiativ 1.3: Lovgivningsinitiativer på cyberområdet
Den hastige udvikling i trusselsbilledet medfører behov for at tilpasse lovgivningen til både det aktuelle trusselsbillede og den teknologiske udvikling, så Center for Cybersikkerhed får bedre muligheder for at imødegå cyberangreb mod den kritiske infrastruktur. Forsvarsministeriet vil derfor fremsætte et forslag til ændret lovgivning på cyberområdet, som vil medføre en styrkelse af Center for Cybersikkerheds muligheder for at opdage og stoppe cyberangreb samt styrke centerets analytiske arbejde.

Initiativ 1.4: Overvågning af statens kritiske it-systemer
Som følge af udviklingen i trusselsbilledet er der behov for at udbygge den proaktive overvågningsindsats for sikringen af statens kritiske it-systemer. Der etableres derfor et døgnbemandet overvågningscenter i Statens It. Initiativet vil give alle Statens It's kunder muligheden for døgnovervågning af systemer, der driftes i Statens It. Initiativet vil blive indfaset over tid med et fuldt funktionsdygtigt overvågningscenter i 2020. Myndigheder, hvis systemer ikke driftes i Statens It, skal sikre sig, at der er 24/7-driftsovervågning, hvis det ud fra en risikovurdering findes nødvendigt.

Initiativ 1.5: Fælles digital indgang til indberetninger
Det skal være nemt og enkelt for virksomheder og myndigheder at indberette sikkerhedshændelser. Derfor etableres der én fælles digital løsning for indberetning af sikkerhedshændelser. Løsningen skal understøtte, at virksomhederne kun skal indberette hændelser én gang ét sted og skal samtidig kunne levere handlingsorienteret information tilbage til indberetteren om forebyggelse og håndtering af hændelser. Løsningen placeres på Virk.dk, som allerede i dag er den digitale indgang for virksomheder og myndigheder i forhold til indberetninger til det offentlige.

Initiativ 1.6: Landsdækkende center for behandling af sager vedrørende it-relateret kriminalitet
For at sikre en ensartet og styrket indsats imod it-relateret kriminalitet, etableres der i dansk politi et landsdækkende center for modtagelse og indledende håndtering af anmeldelser om it-relateret kriminalitet. Centeret vil bidrage til, at politiet i højere grad kan arbejde databaseret i bekæmpelsen og forebyggelsen af kriminalitet.

Initiativ 1.7: Styrket samarbejde om forebyggelse af og håndhævelse over for it-relateret kriminalitet
It-relaterede angreb kan begås med en stor afstand mellem gerningsperson og offer og via tekniske løsninger, der kan udfordre sædvanlige og kendte metoder til bekæmpelse heraf. Det er derfor vigtigt, at de relevante myndigheder har de redskaber og kapaciteter, der skal til for effektivt at forhindre angreb i at opstå eller udvikle sig. Det eksisterende samarbejde mellem myndigheder med et tværgående ansvar på området skal løbende sikre det bedste grundlag for at kunne bekæmpe it-relaterede angreb. Med henblik på at sikre dette etableres en arbejdsgruppe med deltagelse af Forsvarsministeriet og Justitsministeriet.

Initiativ 1.8: Øget sikring af identitetsbeviser
Som samfund skal vi kunne have tillid til de identiteter og identitetsbeviser, som oprettes og udstedes af myndighederne. Det gælder både for fysiske og digitale identitetsbeviser som for eksempel pas, kørekort og NemID. Der igangsættes derfor en indsats for at sikre sammenhæng mellem registrering af en fysisk identitet og udstedelse af en digital identitet samt sikre sammenhæng på tværs af forskellige systemer i den offentlige sektor.

Initiativ 1.9: Styrket prioritering af national it-infrastruktur
Der skal udarbejdes en fyldestgørende oversigt over myndigheder og virksomheder med digital infrastruktur, der er væsentlige for samfundskritiske funktioner. Der gennemføres en beskrivelse af, hvilke centrale virksomheder og myndigheder og eventuelt tjenester, der har en særlig betydning for arbejdet med cyber- og informationssikkerheden i Danmark. Beskrivelsen vil, sammenholdt med en trusselsvurdering, danne grundlag for en styrket prioritering af Center for Cybersikkerheds monitorering og sektoransvarlige myndigheder og virksomheders imødegåelse af cyberangreb samt for det løbende arbejde med cyber- og informationssikkerhed i bred forstand.

Initiativ 1.10: Sikker kommunikation i staten
Der er behov for bredere adgang til sikkert at kommunikere mellem myndigheder. Der etableres derfor bedre mulighed for, at statslige myndigheder kan anvende netværk med et højt sikkerhedsniveau til at kommunikere med hinanden, ligesom en løsning til sikker mobiltelefonkommunikation udbredes.

Bedre kompetencer

Initiativ 2.1: Digital dømmekraft og kompetencer via uddannelsessystemet
Der igangsættes en samlet indsats i hele uddannelseskæden med fokus på at øge opmærksomheden om sikkerhedsudfordringer for børn, unge og undervisere. Der udarbejdes blandt andet efter- og videreuddannelsesforløb, undervisningsmateriale samt kampagner om cyber- og informationssikkerhed rettet mod både undervisere, elever og studerende.

Initiativ 2.2: Informationsportal
Der etableres en informationsportal, der blandt andet skal indeholde lettilgængelig og handlingsanvisende information og konkrete værktøjer til borgere, virksomheder og myndigheder vedrørende informationssikkerhed og databeskyttelse samt information om, hvordan gældende lovgivning efterleves. Indholdet på portalen skal være dynamisk, aktuelt og løbende opdateret med den nyeste viden.

Initiativ 2.3: Forskning i ny teknologi
Regeringen vil prioritere flere midler til teknologisk forskning, herunder midler til FORSK2025-temaet "Nye teknologiske muligheder" til udmøntning i Danmarks Innovationsfond. Forskningsindsatsen skal blandt andet fokusere på at skabe viden omkring nye modeller og værktøjer til at vurdere trusler, viden til at styrke infrastrukturen imod angreb samt viden, der kan medvirke til at forbedre myndigheder og virksomheders evner til at identificere angribere. 

Initiativ 2.4: Erhvervspartnerskab for øget it-sikkerhed i dansk erhvervsliv
Regeringen ønsker at styrke it-sikkerhed og ansvarlig datahåndtering i dansk erhvervsliv og bidrage til, at det bliver en dansk styrkeposition. For at sikre dette er det nødvendigt, at der løftes i flok på tværs af den offentlige og private sektor, ligesom der er behov for en tæt dialog og vidensudveksling mellem de aktører, der på forskellig vis kan understøtte virksomhedernes arbejde med it-sikkerhed og ansvarlig datahåndtering. Regeringen vil derfor tage initiativ til at etablere et offentlig-privat samarbejde i form af et erhvervspartnerskab for øget it-sikkerhed og ansvarlig datahåndtering. Samtidig videreføres Virksomhedsrådet for IT-sikkerhed, der får en rolle som advisory board for erhvervspartnerskabet.

Initiativ 2.5: Partnerskab om kompetenceudvikling og opbygning af sikkerhedskultur i staten
Kompetencer relateret til cyber- og informationssikkerhed vil blive stadig mere efterspurgt – både blandt specialister og generalister. Regeringen inviterer derfor alle relevante parter til at medvirke i et partnerskab om kompetenceopbygning på området. Derudover iværksættes en række tiltag for kompetenceudvikling af statsligt ansatte. De ansatte skal have forudsætningerne for at fortsætte udviklingen og digitaliseringen af den statslige sektor med det nødvendige sikkerhedsniveau.

Initiativ 2.6: Styrket oplysningsindsats til borgere og virksomheder
Der er behov for at styrke oplysningsindsatsen rettet mod borgere og virksomheder for at styrke sikker adfærd på nettet og skabe løbende opmærksomhed på området. Der skal gennemføres landsdækkende oplysningsindsatser suppleret af målrettede indsatser mod grupper af borgere og virksomheder, der er særligt udfordrede på den digitale kommunikation, og lokale indsatser rettet mod for eksempel virksomheder eller særlige medarbejdergrupper i den offentlige sektor. Private og offentlige parter inviteres til at deltage som bidragsydere og partnere til indsatserne.

Fælles indsats

Initiativ 3.1: Sektorvise delstrategier og decentrale cybersikkerhedsenheder
For at opbygge stærkere decentral kapabilitet på cyber- og informationssikkerhedsområdet oprettes der for hver af de samfundskritiske sektorer en sektorenhed, der kan bidrage til gennemførelsen af sektorvise trusselsvurderinger, overvågning, beredskabsøvelser, sikkerhedsopbygning, vidensdeling, vejledning med videre. Endvidere skal der i 2018 for hver af de samfundskritiske sektorer udarbejdes en sektorspecifik strategi i forlængelse af den nationale strategi:

  • Initiativ 3.1a: Cyber- og informationssikkerhedsstrategi for energisektoren
  • Initiativ 3.1b: Cyber- og informationssikkerhedsstrategi for sundhedssektoren
  • Initiativ 3.1c: Cyber- og informationssikkerhedsstrategi for transportsektoren
  • Initiativ 3.1d: Cyber- og informationssikkerhedsstrategi for telesektoren
  • Initiativ 3.1e: Cyber- og informationssikkerhedsstrategi for finanssektoren
  • Initiativ 3.1f: Cyber- og informationssikkerhedsstrategi for søfartssektoren

Initiativ 3.2: Tværgående indsats for at understøtte samfundskritiske sektorers cyber- og informationssikkerhed
Der etableres en tværministeriel taskforce bestående af eksperter fra Center for Cybersikkerhed, Digitaliseringsstyrelsen og Politiets Efterretningstjeneste, som i en overgangsfase, gennem rådgivning og fælles tiltag, skal bistå de samfundskritiske sektorer med udformning af sektorstrategierne, bistå i etableringen af de decentrale cybersikkerhedsenheder og erfaringsudveksling samt udarbejde vejledninger for sektorernes arbejde med etablering af beredskabsplaner på informationssikkerhedsområdet.

Initiativ 3.3: Styr på leverandører af outsourcet it
For at øge it-sikkerheden og forsyningssikkerheden for myndighedernes samfundskritiske it-systemer indføres der skærpede krav til alle offentlige myndigheder om brug af tilstrækkelige sikkerheds- og styringsbestemmelser i fremtidige kontrakter for samfundskritiske it-systemer samt til myndighedernes styring af disse.

Initiativ 3.4: Styrket national koordinering
Den strategiske koordinering på cyber- og informationssikkerhedsområdet skal styrkes. Derfor oprettes "Den nationale styregruppe for cyber- og informationssikkerhed". Styregruppen får til ansvar at følge op på udmøntningen af strategien for cyber- og informationssikkerhed, iværksætte supplerede initiativer og analyser og løbende drøfte den nationale policy på cyber- og informationssikkerhedsområdet. Dialogforum for informationssikkerhed omlægges til et advisory board med eksperter på området, som skal levere input til implementeringen og opfølgningen på cyberstrategien og dens initiativer.

Initiativ 3.5: Styrket internationalt engagement
Regeringen vil styrke Danmarks internationale engagement ved at udstationere to cyber-attachéer på EU-repræsentationen i Bruxelles med henblik på at styrke Danmarks tværgående interessevaretagelse. Samtidig styrker regeringen tech-ambassadørens setup i Silicon Valley med en rådgiver dedikeret til cyber- og informationssikkerhed og styrker cyberdiplomatiet med en international cyberkoordinator i Udenrigsministeriet. Danmark vil desuden deltage i "Nato Cooperative Cyber Defence Center of Excellence" i Tallinn og i "European Centre of Excellence for Countering Hybrid Threats" i Helsinki. Herudover øges indsatsen inden for eksportkontrol med cyberovervågningsudstyr med henblik på at sætte danske virksomheder i stand til at navigere inden for dette, samtidig med at dansk udviklet teknologi ikke bruges imod nationen af ondsindede aktører.

Initiativ 3.6: Tilstandsmåling af cyber- og informationssikkerhed
Der er behov for jævnligt at foretage en national analyse af cyber- og informationssikkerhedssituationen med henblik på at vurdere, om de iværksatte tiltag har den ønskede effekt og imødegår udviklingen i trusselsbilledet. Analysen skal anlægge såvel et bredt som et dybdegående blik på cyber- og informationssikkerheden i Danmark, herunder trusler, risici, beskyttelsesniveau, iværksatte foranstaltninger, organisering, sammenhænge mellem sektorer med videre. 

Initiativ 3.7: Overblik over beskyttelsesværdig information
Med henblik på at beskytte informationer af betydning for den nationale sikkerhed og styrke arbejdet med vurdering af informationssikkerhedsrisici iværksættes en indsats, der har til formål at skabe det fornødne overblik over beskyttelsesværdig information. Overblikket skal anvendes til at fastlægge konkrete klassifikations- og sikkerhedsniveauer, såvel myndighedsspecifikt som i forhold til den overordnede samfundsmæssige betydning af informationer.

Initiativ 3.8: Informationssikkerhedsarkitektur
Med henblik på at støtte myndighederne i at udvikle it-løsninger, der øger myndighedernes evne til at sikre fortrolighed, integritet, tilgængelighed og robusthed af systemer og -tjenester udarbejdes en fællesoffentlig arkitektur for informationssikkerhed bestående af principper, standarder, fælleskomponenter og vejledninger.

Initiativ 3.9: National og international indsats for dataetik og persondatabeskyttelse
Regeringen vil styrke den dataetiske indsats både nationalt, i forhold til håndteringen af data i danske virksomheder og internationalt. På nationalt niveau udarbejdes virksomhedsrettet informations- og vejledningsmateriale om reglerne for blandt andet ansvar, ejerskab og rettigheder ved anvendelse af data. Der er endvidere nedsat en ekspertgruppe med repræsentanter fra erhvervslivet, som skal udarbejde anbefalinger for dataetik. Regeringen vil desuden lancere en særskilt strategi om beskyttelse af danskernes personoplysninger. På internationalt niveau vil regeringen udpege dataetik og databeskyttelse som fokusområder for Danmarks tech-ambassadør i Silicon Valley som led i en styrket dialog med de store, multinationale teknologivirksomheder.

Forrige artikel Ny sikkerhedsvurdering: Vi skal stadig frygte russerne - men hjælpen er på vej Ny sikkerhedsvurdering: Vi skal stadig frygte russerne - men hjælpen er på vej Næste artikel Ny cyberstrategi efterlader kommunerne alene i den digitale jungle Ny cyberstrategi efterlader kommunerne alene i den digitale jungle