Patch management

Leverandører til forsvarsmyndigheder skal dokumentere, at deres it-systemer er akkrediteret til klassificerede oplysninger. FE akkrediterer på forsvarsområdet, og kravene omfatter også integrationer og softwareopdateringer. Planlæg med lange sagsforløb og Common Criteria-baserede vurderinger.

Datatilsynet tilføjer to konkrete sikkerhedsforanstaltninger for at bremse hackingrelaterede brud: styring og vedligehold af software samt netværkssegmentering. IoT-enheder som overvågningskameraer udpeges som risikopunkt. Virksomheder bør nu segmentere, patche og dokumentere kontroller.

En norsk dom afviser force majeure ved cyberangreb, når leverandøren mangler grundlæggende sikkerhedsforanstaltninger. Leverandøren hæfter for direkte tab, men et aftalt ansvarsloft står ved magt uden grov uagtsomhed. Dommen skærper krav til IT-kontrakter og sikkerhedsbaseline.

Datatilsynet udvider foranstaltningskataloget med en vejledning om sikkerhedstest af software. Tiltaget omsætter GDPRs krav om passende sikkerhed til praksis, fremhæver bl.a. sårbarheds- og penetrationstest, og understreger leverandørkrav samt solid testdokumentation. Erfaringer fra brud går igen.