Kommunen.dk
MENU
Forsiden
Podcasts
Nyhedsbrev
Epaper
Abonnement
Kontakt
Om os
Annoncering
Betingelser

Ministers u-vending løser ikke sektor-kaos i kommunernes it-systemer

Øgede krav og flere penge til cybersikkerhed løser ikke udfordringer med sektorgrænser og mangel på cybersikkerhedskompetencer i kommuner.

Ministers u-vending løser ikke sektor-kaos i kommunernes it-systemer

Øgede krav og flere penge til cybersikkerhed løser ikke udfordringer med sektorgrænser og mangel på cybersikkerhedskompetencer i kommuner.
Sektorgrænserne kan stadig blive en udfordring, når kommunerne skal implementere nye cybersikkerhedskrav, mener formand for Foreningen af kommunale IT- og digitaliseringsansvarlige, KITA, Henrik Brix.
Sektorgrænserne kan stadig blive en udfordring, når kommunerne skal implementere nye cybersikkerhedskrav, mener formand for Foreningen af kommunale IT- og digitaliseringsansvarlige, KITA, Henrik Brix.
Foto: Thomas Borberg/Politiken/Ritzau Scanpix
IT OG TEKNOLOGI
11. feb 2025
Stina Fink Elsing
STINA FINK ELSING

Det har udløst glæde i både KL og Kombit, at beredskabsminister Torsten Schack Pedersen (V) har besluttet, at alle kommunernes it-systemer skal omfattes af ny cybersikkerhedslovgivning. 

Men det løser ikke nødvendigvis kommunernes udfordringer med sektorovergange, ligesom mangel på kompetencer kan blive en udfordring. 

Derfor skal man næppe forvente, at kommunerne er i fuldstændig mål, når loven om knap fem måneder, nærmere bestemt den 1. juli, træder i kraft, mener formand for Foreningen af kommunale IT- og digitaliseringsansvarlige, KITA, Henrik Brix.

- Jeg håber ikke, at tilsynet står ude i kommunerne den 2. juli, siger han.

Sektorgrænser består

Sidste år kritiserede Kombit-direktør Kristian Vengsgaard over for Kommunen.dk, at regeringens lovudkast til implementering af EU’s NIS 2-direktiv kun omfattede dele af kommunernes aktiviteter, men i praksis tvang dem til at arbejde, som om de var fuldt omfattet. 

For som han sagde, er det ofte hverken organisatorisk eller teknisk muligt at lave den sektorspecifikke siloopdeling, som regeringen oprindeligt lagde op til i sit udkast til lovforslaget, da mange it-systemer og hardware går på tværs af sektorer.

- Helt banalt er der i de enkelte kommuner netværk, pc’er og telefoner, som bruges til det hele, men som vil være omfattet af forskellige sektorkrav, sagde han.

Ministerens u-vending garanterer imidlertid langt fra, at problematikken er løst. 

I lovforslaget lægges der nemlig op til at følge det såkaldte sektoransvarsprincip, hvor hvert ressortministerie selv har ansvaret for cybersikkerheden og tilsynet inden for deres respektive sektor. 

Det vil sige, at det som udgangspunkt bliver op til det enkelte ministerium at konkretisere og tilpasse de nærmere regler og krav til foranstaltninger inden for hver deres sektor.

For kommunerne, der både løser opgaver inden for f.eks. sundhed, affald, drikke- og spildevand, betyder det, at de risikerer at blive ramt af modsatrettede krav. Og det vil man selvsagt helst undgå, da det i bedste fald vil besværliggøre implementeringen.

Ønsker man, at 98 autonome kommuner skal gøre noget nogenlunde ens, vil det ifølge Henrik Brix derfor give mening at samle kommunerne under én sektor - en kommunesektor.  

- Når der nu står så tydeligt, at vi er omfattet, går jeg ud fra, at man også er klar over, at der skal findes en løsning på, at vi (kommunerne, red.) går på tværs af ministerier, siger han.

Skal slå kræfterne sammen

Ifølge direktør for Compliance, Kvalitet og Sikkerhed i Kombit Johanne Strabo Svendsen vil det blive nemmere for kommunerne at implementere de nye cybersikkerhedskrav, når alle systemer og afdelinger nu bliver omfattet. 

- Det stiller kommunerne et sted, hvor det er klart, hvad de skal leve op til, og at de krav bliver de samme på tværs af alle kommuner, regioner og stat, siger hun.

Det betyder imidlertid ikke, at det bliver nemt, understreger hun. 

- Det er en stor opgave og for nogle kommuner større end andre. De er på forskellige niveauer, men vi står klar til at hjælpe, siger hun og henviser til eksempelvis KommuneCERT - et kommunalt Computer Emergency Respons Team, som Kombit har investeret i med henblik på at samle kommuner i en fælles indsats, der ruster kommunerne på tværs.

Og det er en god ide at slå kræfterne sammen, mener Henrik Brix, i hvert fald på nogle områder, for der er i forvejen nok at se til i de kommunale it-afdelinger. 

Sidste år kunne Kommunen.dk berette, at flere it-afdelinger er underbemandede i forhold til de opgaver, de står med - et billede som Henrik Brix genkender.

- Der er i hvert fald travlt, siger han, og tilskriver det til dels øgede sikkerhedskrav, så med udsigten til endnu flere, forventer han, at der kommer tilstrækkelig finansiering med til at få oprustet ressourcerne.  

Frygter mangel på kompetencer

Af lovforslaget til den nye cybersikkerhedslovgivning fremgår det, at beredskabsministeriet “med betydelig usikkerhed” estimerer, at det årligt vil koste kommunerne 95-280 mio. kr. at leve op til de nye krav. 

Det er det samme beløb, som i det oprindelige udkast, hvor kommunerne kun delvist var omfattet. Derfor forventer Henrik Brix også, at beløbet lander i den høje ende. Men ét er penge, noget andet er kompetencer, og de hænger ikke ligefrem på træerne.

Som professor i cybersikkerhed Jens Myrup Pedersen sidste år påpegede, er mange af dem, der arbejder med it, enten ikke er uddannet i it-sikkerhed, eller uddannet engang, hvor trusselsbilledet var et andet, og man har været for langsomme til at uddanne specialister inden for cybersikkerhed.

- Om vi kan få de rigtige kompetencer, om de findes, er da også en frygt, jeg har, siger Henrik Brix. 

Han har kollegaer rundt om i landet, der i halve og hele år forgæves har forsøgt at rekruttere medarbejdere. Derfor mener han, det er oplagt at arbejde sammen om, hvor mange kompetencer man skal etablere hver for sig og sammen, ligesom det kan være en fordel at samarbejde om at opkvalificere de medarbejdere, man allerede har. 

- Vi kan komme længere for kronerne ved at gå sammen, siger han. 

Indtil videre glæder han sig over, at kommunerne er kommet med under cybersikkerhedsreglerne, men der er endnu mange ubesvarede spørgsmål.  

- Jeg kunne godt bruge noget konkret. At kende kravene til os og økonomien, og så må vi se, hvordan vi kan handle hurtigt.

Èt er dog klart: 

- Vi får travlt, siger Henrik Brix.

Sådan vil der blive holdt øje med kommunerne

Den kompetente myndighed fastsætter regler, fører tilsyn og håndhæver inden for sin sektor eller delsektor. Myndigheden kan: 

  • Foretage kontrol, eksternt tilsyn, herunder stikprøvekontroller og sikkerhedsaudits eller stille krav om, at enheden får et kvalificeret uafhængigt organ til at foretage disse audits.
  • Foretage sikkerhedsscanninger og kræve at få udleveret oplysninger, der er nødvendige for at vurdere de foranstaltninger til styring af cybersikkerhedsrisici.
    Kræve at få adgang til data, dokumenter og oplysninger, der er nødvendige for udførelsen af tilsynsopgaven og at få udleveret dokumentation for gennemførelsen af cybersikkerhedspolitikker.
  • Udstede advarsler og bindende instrukser vedrørende foranstaltninger, der er nødvendige for at forhindre eller afhjælpe en hændelse. Herunder frister for gennemførelse og rapportering.
  • Påbyde enheden at træffe foranstaltninger, der er nødvendige for at forhindre eller afhjælpe en hændelse og meddele påbud og forbud for at sikre overholdelse af krav.
  • Påbyde enheden at underrette de fysiske eller juridiske personer, som potentielt kan være berørt af en væsentlig cybertrussel og eventuelle beskyttelsesforanstaltninger, som de kan træffe som reaktion på truslen.
  • Påbyde enheden at gennemføre de anbefalinger, der er fremsat i forbindelse med en gennemført sikkerhedsaudit.
  • Påbyde kommunen at offentliggøre afgørelser om håndhævelsesforanstaltninger samt resumeer af domme eller bødevedtagelser, hvor der idømmes eller vedtages en bøde.

Som på databeskyttelsesområdet kan det føre til politianmeldelse og bødestraf, hvis loven ikke overholdes. Bøden skal være effektiv, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning. 

Lovforslaget førstebehandles i Folketinget 26.februar.

Kilde: Forslag til Lov om om foranstaltninger til sikring af et højt cybersikkerhedsniveau (NIS 2), Folketinget.dk

Historien kort

  • Kommunale aktører glæder sig over, at kommunerne bliver omfattet af nye cybersikkerhedskrav, men de risikerer stadig at blive ramt af modsatrettede krav.
  • Ifølge lovforslaget skal hvert ressortministerie nemlig som udgangspunkt selv tilpasse krav og regler til deres respektive sektor og føre tilsyn med den.
  • Derudover kan mangel på medarbejdere med de rette kompetencer betyde, at kommunerne ikke når at leve op til kravene, når loven træder i kraft 1. juli.

Tekst, grafik, billeder, lyd og andet indhold på dette website er beskyttet efter lov om ophavsret. DK Medier forbeholder sig alle rettigheder til indholdet, herunder retten til at udnytte indholdet med henblik på tekst- og datamining, jf. ophavsretslovens § 11 b og DSM-direktivets artikel 4.

Kunder med IP-aftale/Storkundeaftaler må kun dele Kommunen.dks artikler internet til brug for behandling af konkrete sager. Ved deling af konkrete sager forstås journalisering, arkivering eller lignende.

Kunder med personligt abonnement/login må ikke dele Kommunen.dks artikler med personer, der ikke selv har et personligt abonnement på kommunen.dk

Afvigelse af ovenstående kræver skriftlig tilsagn fra det pågældende medie.

Til toppen
GDPR