§ 20: Femårige øvelsesplan

Virksomheder skal have en plan over øvelser, som virksomheden planlægger at gennemføre over en femårig periode i henhold til § 21.

Stk. 2. Den femårige øvelsesplan skal dække alle øvelseselementer i bilag 4.

Stk. 3. Virksomheder skal første gang udarbejde en femårig øvelsesplan som dækker perioden fra den 1. oktober 2025 til den 30. september 2030. Derefter udarbejdes en ny øvelsesplan for en ny femårig periode.

Stk. 4. Den femårige øvelsesplan er tentativ og skal opdateres minimum én gang årligt og ved væsentlige ændringer.

Bilag 4. Øvelseselementer:

1. Virksomhedens krisestyringsorganisation.
2. Sikring af forsat drift.
3. Genopretning af forsyning.
4. Mobilisering af ekstra ressourcer og materialer.
5. Intern kommunikation.
6. Ekstern kommunikation.
7. Information til forbrugere.
8. Brugen af alternative kommunikationsmidler.
9. Modtagelse af og kvittering for udmeldinger om ændringer i sektorberedskabsniveau og sektorberedskabsforanstaltninger.
10. Iværksættelse af sektorberedskabsforanstaltninger i henhold til sektorberedskabsniveauet.
11. Modtagelse og håndtering af varsler om cybertrusler og sårbarheder.
12. Procedurerne i det samordnede beredskab.
13. Inddragelse af leverandører i håndteringen af hændelser.
14. Inddragelse af leverandører af forsyningskritiske net- og informationssystemer i håndteringen af hændelser.
15. Aktivering af virksomhedens it-sikkerhedstjeneste.
16. Nødprocedure for isolering af forsyningskritiske net- og informationssystemer i produktionsmiljøet.
17. Nødprocedure for alternativ drift af net- og informationssystemer og aktivering af redundante systemer.
18. Genopretning af forsyningskritiske net- og informationssystemer fra backup, herunder genopretning af kildekode og systemdata for egenudviklet- eller specialudviklet software.
19. Normalisering efter nøddrift af net- og informationssystemer.