Hændelseshåndtering

Formålet med en systematisk håndtering af hændelser er at minimere risikoen for brud på fortroligheden, integriteten eller tilgængeligheden.

En organisation bør have en ensartet og effektiv metode til at imødekomme brud på informationssikkerheden. Der skal følges op og evalueres på hændelser, så man kan igangsætte de rette organisatoriske, administrative og tekniske løsninger til at imødekomme samme typer hændelser fremover.

Begræns følgevirkninger ved at handle hurtigt

Hvis der konstateres sikkerhedsmæssige svagheder eller brud på sikkerheden, er det vigtigt, at der hurtigt rettes op på det, for at kunne begrænse eventuelle følgevirkninger.

Processen for hændelseshåndtering bør være systematisk og nem at gå til, og at rapportering sker hurtigst muligt, så snart eventuelle skadesbegrænsende aktiviteter er gennemført.

Som udgangspunkt er det systemejerens ansvar at beskrive processen for hændelseshåndteringen, da systemejeren dels har risikoansvaret, dels har det største kendskab til systemet og samarbejdsfladerne til leverandører, brugere og andre interessenter.

Underretningspligt

I tilfælde af en væsentlig cybersikkerhedshændelse skal enheder, som er omfattet af NIS2-loven, underrette om hændelsen på virk.dk. Styrelsen for Samfundssikkerhed har udgivet en vejledning om hændelsesunderretning.

Find vejledningen om hændelsesunderretning på Styrelsen for Samfundssikkerheds hjemmeside

I tilfælde af en større cybersikkerhedshændelse kan FE’s situationscenter også kontaktes direkte på telefon 33325566 eller csirt@fe-ddis.dk.

Proces for hændelseshåndtering

Tjekliste for den ansvarlige i en konkret håndteringssituation, når en hændelse er rapporteret: 

  • Vurder om der tale om en krisesituation.
    Hvis ja, i gangsæt relevant beredskab. Er der tale om læk af personfølsomme oplysninger, kontakt organisationens databeskyttelsesrådgiver (DPO).
    Hvis nej, fortsæt tjekliste
  • Foretag udbedring af problemet og lav en konsekvensvurdering.
  • Foretag en konsolidering af informationerne
  • Kommuniker relevante informationer til ledelsen og interessenter. 
  • Luk hændelsesforløbet.

Alle aktiviteter skal logges, også læring fra beredskabsindsatsen, hvis den i gangsættes.

Relevansen af aktiviteterne bør altid vurderes, og flere eller andre aktiviteter og aktører kan bringes i spil.

Sørg for systematik i håndteringen

  • Opret faste kanaler for rapportering.
    Dette sikrer, at en sikkerhedshændelse altid kan rapporteres, den rette information indsamles, og de rette aktører involveres.
  • Opbevar informationer om sikkerhedshændelsen med angivelse af tidspunkt og i elektronisk form af hensyn til en eventuel retslig efterforskning
  • Alle rapporterede informationer bør behandles efter en vurdering af fortrolighed og integritet.
    Så medarbejdere og andre kan være sikre på, at informationerne ikke eksponeres unødigt.
  • Vurder efter hver sikkerhedshændelse om behov for erfaringsopsamling og forebyggende indsatser, fx i form af tekniske eller styringsmæssige ændringer.
  • Beskriv specifikke interessenter, aktører og aktiviteter i forbindelse med rapportering af sikkerhedshændelser
  • Systemejeren/risikoejeren bør indsamle beviser for outsourcede systemer i samarbejde med driftsleverandøren, hvis hændelsen er opstået forsætligt.
    Vurderes hændelsen at have karakter af krise, følges gældende retningslinjer for beredskab.

Tilknytning til ISO 27001

Hændelseshåndtering behandles i afsnittene A.5.24-5.28 samt A.6.8 i ISO 27001:2022 - tidligere A.16 i ISO 27001:2013.

Center for Cybersikkerheds logo

Indholdet på denne side er skrevet i samarbejde med Center for Cybersikkerhed