Kapittel 2. Krav til digital sikkerhet for tilbydere av samfunnsviktige tjenester

Denne siden viser digitalsikkerhetsforskriften § 10. Bruk lenkene over og under bestemmelsen for å navigere til kapittel, forrige eller neste paragraf.

Digitalsikkerhetsforskriften § 10 – Teknologiske sikkerhetstiltak

Basert på risikovurderingen etter § 7 skal en tilbyder av en samfunnsviktig tjeneste iverksette teknologiske sikkerhetstiltak som er tilpasset omfang, kompleksitet, driftsmiljø, brukermiljø, funksjon og risiko ved virksomhetens nettverk og informasjonssystemer.

Teknologiske sikkerhetstiltak skal minst omfatte

sterk autentisering for adgang til nettverk og informasjonssystemer
styring av og kontroll med tilganger til virksomhetens nettverk og informasjonssystemer
tiltak for segmentering av nettverk og tjenester basert på minste privilegiums prinsipp
tiltak som skal sikre at nettverk og informasjonssystemer kan håndtere forskjellige typer avbrudd og gjenopprettes innen rimelig tid uten vesentlig reduksjon av tjenestens kvalitet
tiltak som skal sikre at nettverk og informasjonssystemer har tilstrekkelig kapasitet til å tåle overbelastning og utstyrssvikt
tiltak som skal sikre at nettverk og informasjonssystemer videreutvikles kontinuerlig, herunder at oppdateringer kvalitetssikres, installeres og testes fortløpende
sikkerhetsovervåkning av nettverk og informasjonssystemer for å avdekke hendelser.

Dersom et eller flere av tiltakene i andre ledd ikke kan gjennomføres, skal dette godkjennes av virksomhetens leder. Begrunnelsen for unntaket skal dokumenteres i styringssystemet for sikkerhet. Tilsynsmyndigheten skal orienteres om unntaket.