NAVN PÅ DCIS / CFCS]
SektorCERT
CVR nummer 41369841 Xxxxxxxxxxxxxx 0x 0000 Xxxxxxx
(herefter "SektorCERT")
[NAVN PÅ DCIS / CFCS]
CVR nummer [NUMMER] [ADRESSE]
[ADRESSE]
Kontaktperson:
(herefter "Anvender")
som decentral enhed for cyber- og informationssikkerhed for
[SEKTOR]
(herefter "Sektoren")
(individuelt refereret til som "Part", og tilsammen som "Parterne")
1. BAGGRUND OG FORMÅL
1.1 SektorCERT er en forening der er stiftet med det formål at bistå virksomheder indenfor dansk kritisk infrastruktur med at forebygge og bekæmpe cyberkriminalitet og angreb mod virksomhedernes infrastruktur og systemer. Dette sker blandt andet gennem gensidig udveksling af oplysninger om cyberhændelser. SektorCERT ejer og forestår drift af platformen DCIS-MISP der kan anvendes til udveksling af informationer om cybersikkerhedshændelser på en struktureret og sikker måde.
1.2 Anvenderen er involveret i arbejdet med cyber- og informationssikkerhed indenfor Sektoren, og Anvenderen og de enkelte virksomheder i Sektoren ønsker mulighed for at udveksle informationer om relevante cyberhændelser med øvrige brugere indenfor Sektoren eller med øvrige aktører indenfor andre sektorer. Anvenderen ønsker derfor adgang til at benytte SektorCERTs DCIS-MISP med henblik på at stille denne platform til rådighed for virksomheder i Sektoren ("Sektorvirksomheder").
1.3 Formålet med denne aftale ("Aftalen") er at fastlægge vilkårene for Anvenderens adgang til og brug af DCIS-MISP.
1.4 Ingen bestemmelse eller forpligtelse afledt af Aftalen kan fortolkes på en sådan måde, der bevirker, at Anvenderen er forpligtet til at handle i strid med nogen form for forpligtelse eller standard, som Anvenderen er underlagt efter gældende dansk ret.
2. DCIS-MISP PLATFORMEN
2.1 Det er en forudsætning for indgåelse af Aftalen, at sammenslutningen af decentrale enheder for cyber- og informationssikkerhed ("DCIS"), der benævnes DCIS Forum, har godkendt Anvenderen.
2.2 Ved indgåelse af Aftalen får Anvenderen en ikke-eksklusiv adgang til, så længe Aftalen er i kraft, at benytte DCIS-MISP i forbindelse med:
i. Anvenderens egen centrale deling indenfor Sektoren af relevante cyberhændelser,
ii. Anvenderens egen deling af relevante cyberhændelser på tværs af sektorer, der alle er tilsluttet DCIS-MISP,
iii. Anvenderens egen deling af relevante cyberhændelser på tværs af øvrigt forbundne platforme, der er tilsvarende DCIS-MISP,
iv. Anvenderen ønsker at stille DCIS-MISP til rådighed for Sektorvirksomheder med henblik på udveksling af informationer om relevante cyberhændelser.
2.3 Anvenderen kan indgå individuelle aftaler med Sektorvirksomheder om adgang til platformen. Sektorvirksomheders adgang til DCIS-MISP er afledt af (og afhængig af) Anvenderens ret til at anvende platformen i henhold til denne Aftale.
2.4 SektorCERT forestår driften af DCIS-MISP og stiller denne til rådighed for Anvenderen, som den er og forefindes i relation til funktionalitet og teknisk opsætning. SektorCERTs ydelser består således alene i tilgængeliggørelse af platformen DCIS-MISP, og SektorCERT yder således ikke i forbindelse hermed nogen former for rådgivning overfor Anvenderen
eller Sektorvirksomheder, ligesom SektorCERT ikke i øvrigt har garanteret specifikke egenskaber eller opnået funktionalitet ved DCIS-MISP.
2.5 Såfremt SektorCERT finder det nødvendigt at foretage ændringer i forhold til DCIS-MISP, er SektorCERT berettiget til at foretage sådanne ændringer, og vil gøre dette i tæt koordination med DCIS Forum. Disse ændringer får automatisk virkning i forhold til denne Aftale. Anvenderen kan komme med forslag og anmodningsændringer i forhold til funktionaliteten af DCIS-MISP, og i det omfang det er muligt efterkommer SektorCERT ønskerne fra DCIS Forum og sikrer implementering af ændringerne. SektorCERT har således kontrollen med og ejerbeføjelserne over DCIS-MISP.
3. FORPLIGTELSER UNDER AFTALEN
3.1 Der kan fastsættes nærmere regler og anvisninger for den brugsret, Anvenderen opnår med denne Aftale, herunder vedrørende tekniske standarder, klassificering, rapportering
m.v. Sådanne regler og anvisninger fastsættes i DCIS Forum, der er en sammenslutning af DCIS'er, og DCIS Forum vil sørge for at gøre samtlige regler og anvisninger tilgængelige for Anvenderen, herunder også løbende ændringer og opdateringer af sådanne regler og anvisninger.
3.2 Anvenderen er forpligtet til at efterleve sådanne regler og anvisninger, ligesom Anvenderen er forpligtet til at sikre, at de Sektorvirksomheder, der tilsluttes DCIS-MISP gennem Anvenderen, overholder de til hver en tid gældende regler og anvisninger. Anvenderen skal sikre, at enhver anvendelse af DCIS-MISP sker i overensstemmelse med sådanne regler m.v., herunder at deling af information sker i overensstemmelse med den klassifikation (ex. Traffic Light Protocol), der er bestemt til anvendelse for information, der deles.
3.3 Såfremt Anvenderen varetager interesser for eller repræsenterer en sektor, gælder i øvrigt følgende forpligtelser:
a) Anvenderen er ansvarlig for at udbrede kendskabet til DCIS-MISP,
b) Anvenderen er ansvarlig for at rådgive de Sektorvirksomheder, der tilsluttes DCIS-MISP, vedrørende træning i brugen af DCIS-MISP, således at den tilsluttede Sektorvirksomhed kan varetage den relevante træning overfor sine egne brugere,
c) Anvenderen er ansvarlig for sammen med øvrige Anvendere af DCIS-MISP organiseret i DCIS Forum at udarbejde og opdatere gældende regler og retningslinjer for brugen af DCIS-MISP.
4. VARIGHED OG OPSIGELSE
4.1 SektorCERT og Anvenderen kan hver især opsige Aftalen (og dermed adgangen til DCIS- MISP) med tre måneders skriftligt varsel til udgangen af en måned.
4.2 Såfremt Aftalen ophører, uanset grunden herfor, vil adgangen for enhver af de Sektorvirksomheder, der er tilsluttet gennem Anvenderen, automatisk ophøre.
4.3 Parternes forpligtelser efter punkt 5 skal forblive i kraft, uanset Aftalens ophør.
4.4 Anvenderen accepterer og anerkender, at al data, der er delt af Anvenderen, fortsat vil indgå i og være tilgængeligt for øvrige Anvendere af DCIS-MISP, uanset at Aftalen måtte ophøre. Dog kan Anvenderen anmode om at events oprettet af Anvenderen og
Sektorvirksomheder der er tilsluttet gennem Anvenderen slettes fra DCIS-MISP, uden at dette får betydning for de eventuelt forbundne platforme, hvor data er delt.
4.5 Anvenderen kan anmode om at registrerede brugere tilknyttet Anvenderen og de Sektorvirksomheder der er tilsluttet gennem Anvenderen vil blive fjernet fra DCIS-MISP senest 45 dage efter Aftalens ophør.
5. FORTROLIGHED
5.1 Information, som Parterne modtager i forbindelse med tilslutning til DCIS-MISP, skal uden tidsbegrænsning anses for fortrolig information og må ikke uden samtykke fra den udleverende Part bruges på anden vis end forudsat i Aftalen eller, uanset formålet, videregives til tredjemand, medmindre den pågældende information:
i. er eller bliver offentligt tilgængelig, og dette ikke skyldes videregivelse af informationen i strid med denne forpligtelse,
ii. i Aftalen er forudsat at kunne og/eller skulle videregives til tredjemand eller skal videregives for at opfylde Partens forpligtelser i henhold til gældende lovgivning og øvrige forskrifter, som vedkommende Part er underlagt eller til opfyldelse af en specifik domstolsbeslutning herom, eller
iii. videregives til Partens revisor, juridiske rådgiver eller andre, som ved lov er forpligtet eller forpligter sig til at iagttage fortrolighed.’
5.2 Informationen der er tilgængelig i DCIS-MISP må på ingen måde ekstraheres, hverken i form af skærmbilleder eller ved anden metode. Ekstrahering af data vil medføre eksklusion af Mattermost.
5.3 Hver af Parterne hæfter på objektivt grundlag for Partens medarbejderes tilsidesættelse af den i dette afsnit nævnte fortrolighedsforpligtelse, ligesom Anvenderen, hvor denne repræsenterer en sektor, også er ansvarlig for Sektorvirksomhedernes tilsidesættelse.
6. IMMATERIELLE RETTIGHEDER
6.1 Anvenderen anerkender og accepterer, at SektorCERT skal eje alle immaterielle rettigheder, herunder ophavsret og andre rettigheder, til DCIS-MISP samt eventuelle videreudviklinger, forbedringer eller andre resultater, der måtte blive frembragt i forbindelse med, at SektorCERT stiller DCIS-MISP til rådighed for Anvenderen, og at SektorCERT kan udøve alle disse rettigheder uden Anvenderens forudgående samtykke.
6.2 Anvenderen bevarer selv rettighederne til det indhold, der lægges ind i DCIS-MISP af Anvenderen eller Sektorvirksomheder. Anvenderen meddeler hermed SektorCERT en vederlagsfri, ikke-eksklusiv licens til at anvende indholdet til at drive og levere DCIS-MISP samt tilknyttede tjenester under denne Aftale samt så længe sådant indhold findes eller skal findes på platformen og/eller i backup, arkiv eller lignende kopier.
7. BEHANDLING AF PERSONOPLYSNINGER
7.1 Som led i SektorCERTs tilrådighedsstillelse samt drift af DCIS-MISP i overensstemmelse med Aftalen ("Ydelserne") skal SektorCERT behandle personoplysninger på vegne af Anvenderen.
7.2 Behandlingen af personoplysninger sker i overensstemmelse med databeskyttelseslovgivningen, dvs. de love og regler, som finder anvendelse for behandling og beskyttelse af personoplysninger overalt i det Europæiske Økonomiske Samarbejdsområde (EØS) med de til enhver tid gældende ændringer og/eller tilføjelser, herunder databeskyttelsesforordningen, databeskyttelsesloven samt øvrig relevant national lovgivning, og hvor relevant, de retningslinjer og regelsæt, der udstedes af det danske Datatilsyn eller andre kompetente tilsynsmyndigheder i EØS (herunder de nationale datatilsyn) (tilsammen "Databeskyttelseslovgivningen").
7.3 Databeskyttelseslovgivningen kræver, at der mellem en dataansvarlig og en databehandler, der behandler personoplysninger på vegne af den dataansvarlige, indgås en skriftlig kontrakt eller et andet retligt og bindende dokument, som fastlægger genstanden for og varigheden af behandlingen, behandlingens karakter og formål, typer af personoplysninger og kategorierne af de registrerede samt den dataansvarliges forpligtelser og rettigheder. Som led i indgåelsen af Aftalen har Parterne ligeledes vedtaget dette punkt 7, der regulerer behandlingen af personoplysninger.
7.4 Begreberne "personoplysninger", "særlige kategorier af personoplysninger", "behandling", "dataansvarlig", "databehandler", "registrerede", "tilsynsmyndighed", "pseudonymisering", "tekniske og organisatoriske foranstaltninger" og "brud på persondatasikkerheden" skal i dette punkt 7 forstås i overensstemmelse med Databeskyttelseslovgivningen.
7.5 Anvenderens ansvar og opgaver i forbindelse med behandling af personoplysninger
7.5.1 Anvenderen har ansvaret for, at behandlingen af personoplysninger sker i overensstemmelse med Databeskyttelseslovgivningen og dette punkt 7.
7.5.2 Anvenderen er berettiget og forpligtet til at træffe beslutninger om, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.
7.5.3 Anvenderen skal sikre, at den behandling, som SektorCERT instrueres i at foretage på vegne af Anvenderen, er lovlig, herunder at der er det fornødne retsgrundlag til behandlingen. Herunder er det Anvenderens ansvar, at der er det fornødne retsgrundlag til videregivelse eller tilgængeliggørelse af oplysninger under anvendelse af MISP.
7.6 SektorCERTs ansvar og opgaver i forbindelse med behandling af personoplysninger
7.6.1 SektorCERT behandler - i det omfang det er nødvendigt for levering af Ydelserne - følgende typer af personoplysninger:
Kategori af registrerede | Typer af personoplysninger |
Registrerede brugere af DCIS-MISP | Mailadresse, mobilnummer |
Brugere af diverse netværk i forbindelse med cyberangreb | Generel information om digitale spor i forbindelse med cyber angreb (modus operandi). Eksempelvis: • Misbrugte ip adresser, domæner, e-mail adresser, hjemmesider, tidspunkter for misbrug • Malware procesnavne og filnavne. |
7.6.2 SektorCERTs behandlingsaktiviteter for de nævnte personoplysninger omfatter:
a) Oprettelse og sletning (på foranledning af den dataansvarlige), opbevaring, brug og visning til verificering af brugere.
b) Opbevaring, sletning, brug, deling og visning i det omfang, dette indgår som led i Ydelserne.
7.6.3 SektorCERT skal behandle personoplysninger på vegne af Anvenderen i overensstemmelse med Databeskyttelseslovgivningen og bestemmelserne i dette punkt 7.
7.6.4 SektorCERT må kun behandle personoplysningerne efter dokumenteret instruks fra Anvenderen, herunder som beskrevet i dette punkt 7, medmindre behandlingen kræves i henhold til EU-retlige regler eller regler i medlemsstaterne, som SektorCERT er underlagt. I så fald underretter SektorCERT Anvenderen om dette retlige krav inden behandlingen, medmindre de pågældende regler forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.
7.6.5 Såfremt Anvenderen giver instruks for behandling af personoplysninger, der supplerer eller fraviger Aftalen, vil dette vedlægges som bilag til Aftalen med de til enhver tid gældende ændringer. Anvenderens instruks kan kun ændres af Anvenderen ved en skriftlig (eller på anden måde dokumenteret) meddelelse til SektorCERT eller på anden måde med Anvenderens accept.
7.6.6 SektorCERT skal straks underrette Anvenderen, hvis SektorCERT vurderer, at en instruks fra Anvenderen er i strid med Databeskyttelseslovgivningen.
7.6.7 SektorCERT skal sikre, at de personer, som er involveret i behandlingen af personoplysninger på vegne af Anvenderen, enten har underskrevet en fortrolighedserklæring eller er underlagt tavshedspligt ved lov.
7.6.8 SektorCERT skal træffe de fornødne foranstaltninger til at sikre, at enhver person, der udfører arbejde for SektorCERT, og som har adgang til personoplysningerne, kun behandler disse personoplysninger efter dokumenteret instruks fra Anvenderen.
7.6.9 SektorCERT skal på Anvenderens anmodning give Anvenderen tilstrækkelige oplysninger til, at Anvenderen kan påse, at kravene i Databeskyttelseslovgivningen overholdes.
7.6.10 SektorCERT skal endvidere give tilladelse og bidrage til eventuelle tilsyn og revisioner, herunder inspektioner, der foretages af Anvenderen eller en revisor eller auditor, som er bemyndiget hertil af Anvenderen. SektorCERT vil årligt fremlægge besvarelse af de mere gængse og generelle spørgsmål, men for udarbejdelse af yderligere eller mere detaljerede besvarelser, er XxxxxxXXXX berettiget til at modtage særskilt vederlag herfor, som beregnes efter timeforbrug og efter sædvanlig timesats.
7.7 Sikkerhedsforanstaltninger
7.7.1 Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal SektorCERT træffe de fornødne tekniske og organisatoriske foranstaltninger til at sikre et sikkerhedsniveau, der passer til disse risici.
7.7.2 I tilfælde af ethvert brud på persondatasikkerheden underretter SektorCERT uden unødig forsinkelse Anvenderen efter at være blevet opmærksom på bruddet. Endvidere
skal SektorCERT bistå Anvenderen med at sikre overholdelse af Anvenderens forpligtelser til (i) at dokumentere alle brud på persondatasikkerheden, (ii) at anmelde eventuelle brud på persondatasikkerheden til de(n) kompetente tilsynsmyndighed(er), og
(iii) at underrette de registrerede om sådanne brud på persondatasikkerheden, hvis der består en forpligtelse dertil i overensstemmelse med artikel 33 og artikel 34 i databeskyttelsesforordningen.
7.8 Underdatabehandling
Ved underskrift af Aftalen godkender Anvenderen, at SektorCERT må benytte underleverandører til at bistå med leveringen af Ydelserne. SektorCERT vil i forbindelse med levering af Ydelserne gøre brug af følgende Underdatabehandlere:
Navn, CVR-nr. og adresse | Beskrivelse af behandling | Lokation(er) for behandling af personoplysninger |
NIL815 ApS | Drift og vedligehold af | Danmark |
CVR-nummer: 37436224 | platformen, DCIS-MISP | |
Xxxxxxxxxx 0, 0. | ||
2500 Valby | ||
Amazon Web Services EMEA SARL | Leverandør af Cloud | AWS EU Amazon Web |
CV-nummer: 39009323 | løsning AWS | Services EMEA SARL |
Vindingevej 10 | ||
4000 Roskilde |
7.8.1 Eventuelle tilføjelser eller ændringer til listen vil forud for tilføjelsen/ændringen blive meddelt til Anvenderen pr. e-mail. Hvis Anvenderen ønsker at gøre indsigelser derimod, skal Anvenderen give skriftlig meddelelse herom, så snart meddelelsen er fremkommet i rette modtagers indbakke. Anvenderens indsigelse skal være konkret, rimelig og begrundet. Manglende indsigelse fra Anvenderen vil blive anset for en stiltiende godkendelse af underdatabehandlingen.
7.8.2 SektorCERT skal sikre, at pågældende underdatabehandling er lovlig, og at alle Underdatabehandlere påtager sig og er underlagt samme vilkår og forpligtelser, som SektorCERT er underlagt i henhold til Aftalen og tilhørende bilag.
7.8.3 SektorCERTs overførsel af personoplysninger til Underdatabehandlere, der ikke er godkendt af Anvenderen, eller som Anvenderen ikke har modtaget meddelelse om eller har gjort indsigelse imod, udgør et brud på persondatasikkerheden. Punkt 7.7.2 finder tilsvarende anvendelse i disse tilfælde.
7.8.4 SektorCERT indestår for lovligheden af sine Underdatabehandleres behandling af personoplysninger. SektorCERT bærer over for Anvenderen ansvaret for alle sine Underdatabehandleres handlinger og undladelser, herunder de personer, som udfører arbejde for Underdatabehandlerne.
7.9 Overførsel af personoplysninger til et tredjeland
7.9.1 SektorCERT kan overføre personoplysninger til lande uden for EØS, såfremt det fremgår af denne Aftales punkt 7 eller Anvenderen forinden har givet skriftligt samtykke hertil. SektorCERT er forpligtet til at sikre sig, at en sådan overførsel til enhver tid er lovlig, herunder blandt andet at der er et tilstrækkeligt beskyttelsesniveau forud for overførslen af personoplysninger til lande uden for EØS.
7.10 SektorCERTs generelle forpligtelser
7.10.1 SektorCERT skal ved hjælp af passende tekniske og organisatoriske foranstaltninger bistå Anvenderen med opfyldelse af Anvenderens forpligtelser til at besvare anmodninger om udøvelse af de registreredes rettigheder i henhold til Databeskyttelseslovgivningen. Hvis SektorCERT modtager anmodninger fra de registrerede, skal SektorCERT uden unødig forsinkelse videresende disse anmodninger til Anvenderen. SektorCERT må ikke uden Anvenderens forudgående og dokumenterede instruks besvare anmodninger fra de registrerede. SektorCERT kompenseres for den anvendte tid med bistand til besvarelse af anmodninger om udøvelse af de registreredes rettigheder. Kompensationen afregnes efter timeforbrug og efter sædvanlig timesats.
7.10.2 SektorCERT skal anvende og overholde Databeskyttelseslovgivningen og må ikke udføre sine forpligtelser i henhold til Aftalen, herunder dette punkt 7, på en måde, som kan medvirke til, at Anvenderen misligholder sine forpligtelser i henhold til Databeskyttelseslovgivningen.
7.10.3 SektorCERT skal mod særskilt vederlæggelse (afregnet efter timeforbrug og sædvanlig timesats) bistå Anvenderen med at sikre overholdelsen af forpligtelsen til
i. at foretage en konsekvensanalyse vedrørende databeskyttelse, hvis en type behandling sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder (artikel 35 i databeskyttelsesforordningen), og
ii. at høre de(n) kompetente tilsynsmyndighed(er) inden behandling, såfremt en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af Anvenderen for at begrænse risikoen (artikel 36 i databeskyttelsesforordningen).
8. ANSVAR
8.1 Da SektorCERT alene stiller platformen DCIS-MISP til rådighed for Anvenderen, fraskriver SektorCERT sig ethvert ansvar for eventuel skade, som Anvenderen og/eller Sektorvirksomhederne måtte lide som følge af brug af DCIS-MISP platformen, idet SektorCERTs ydelse alene består i tilgængeliggørelse af platformen DCIS-MISP, og SektorCERT yder således ikke nogen former for rådgivninger overfor Anvenderen (eller Sektorvirksomhederne), ligesom SektorCERT ikke i øvrigt har garanteret specifikke egenskaber eller funktionalitet ved DCIS-MISP.
8.2 SektorCERT hæfter således kun for den skade, der er forvoldt af behandling, der skyldes manglende opfyldelse af de forpligtelser i Databeskyttelseslovgivningen, der er rettet specifikt mod SektorCERT, eller hvis SektorCERT har undladt at følge eller handlet i strid med Anvenderens lovlige instrukser, jf. pkt. 7.6.5. Hver Parts samlede ansvar ifølge Aftalen kan ikke overstige DKK 50.000.
9. LOVVALG OG VÆRNETING
9.1 Aftalen og de tilhørende bilag er underlagt og skal fortolkes og håndhæves i overensstemmelse med dansk lovgivning, dog ikke danske internationale privatretlige regler.
9.2 Eventuelle tvister i forbindelse med Aftalen og de tilhørende bilag skal forelægges for retten i Xxxxxxx som første instans.