Vi står overfor en ny virkelighed med “alvorlige og komplekse trusler mod vores sikkerhed, tryghed og frihed.” 

Sådan lyder det i den beredskabsaftale, som minister for samfundssikkerhed og beredskab, Torsten Schack Pedersen (V), præsenterede midt i januar.

Ifølge aftalen er det en helt central opgave at udarbejde en ny strategi for at løfte cyber- og informationssikkerheden på tværs af samfundet i lyset af det komplekse og alvorlige trusselsbillede, som Danmark står over for. 

Men i hvilken grad strategien kommer til at omfatte kommunerne er uklart, og ser man på de tre foregående strategier, er kommunerne stort set fraværende. 

- For mig at se fremstår det en smule mærkværdigt, at de strategier, der tidligere er lavet, ikke fokuserer på kommunerne som en central aktør, når det handler om cybersikkerhed, siger Alexander Høgsberg Tetzlaff, der militæranalytiker med ekspertise i samfundssikkerhed og beredskabspolitik ved Institut for Statskundskab på Københavns Universitet.

- Det er mig en gåde, at de ikke er tænkt ind i højere grad. De fordeler og styrer mange flere ressourcer end i mange andre lande, siger han.

Spørgsmålet er, om fjerde gang er lykkens gang.

“No-brainer” at inddrage kommuner

At kommunerne overhovedet bør inkluderes, er ifølge Alexander Høgsberg Tetzlaff en no-brainer - dels i lyset af det eskalerende trusselsbillede, men også i betragtning af hvor stor og vigtig en offentlig aktør de er. Som han ser det, er det både borgernes retssikkerhed og samfundets robusthed, der er på spil, når vi gang på gang hører beretninger om nedbrud i driften og kompromittering af borgeres data.

Det var da også med en snert af skuffelse, at formand for KL’s klima- og miljøudvalg Johannes Lundsfryd Jensen (S) konstaterede, at beredskabsaftalen ikke kommer til at ændre noget videre i borgernes ende.

- Der er blevet foretaget nogle opjusteringer af det statslige beredskab, og det kan jeg ikke sige noget dårligt om, men der hvor det virkelig gælder for borgerne, der kommer man ikke til at kunne mærke nogen ændringer, sagde han til Kommunen.dk, efter aftalen var blevet præsenteret. 

- Tværtimod går vi mod en tid, hvor vi forventer flere og mere alvorlige cyberangreb og en tid, hvor klimaforandringerne rammer oftere og hårdere, og hvis der ikke sker noget, ser vi ind i en gradvis forringelse af beredskabet for borgerne, lød det. 

Det er centralt, at kommunerne bliver en del af den nye strategi, for de er en kritisk del af samfundsstrukturen, påpeger han.

- Det er alvorligt, hvis den kommunale hjemmepleje bliver lagt ned i en periode, og de medarbejdere, der kører rundt, ikke har adgang til den data, de har behov for, siger han og understreger, at kommunerne ligger inde med flest oplysninger om borgerne.

Hvilken rolle kommunerne skal spille i strategien, kan han ikke give noget præcist svar på, men som han siger, bliver cyberforsvaret ikke stærkere end det svageste led.

- Kommunerne bliver forsøgt hacket hele tiden, og vi kan modstå en del af det, men i takt med, at hackerne bliver mere og mere sofistikerede i deres metoder, bliver vi nødt til at tænke kommunerne dybere ind. Vi er en del af det danske myndighedsbillede, og derfor skal vi selvfølgelig også være med i den nationale strategi, siger han. 

Minister vil “overveje”, hvordan kommuner kan tænkes ind

I en rundspørge blandt landets kommunale it-chefer foretaget af Momentum i efteråret svarede størstedelen, at den digitale trussel er blevet mere kompleks, angreb hyppigere og at cybertruslen har nået et omfang, der overstiger kommunens ressourcer til at håndtere den. 

At it-chefernes svarer sådan, kommer ikke bag på Alexander Høgsberg Tetzlaff. 

- Jeg kan sagtens dele deres bekymring og frustration, siger han. 

Selvom nogle ud fra en kritisk læsning af kommunernes bekymring måske vil påstå, at de bare er ude efter at få snabelen i statskassen, er der mere på spil, fastslår han med henvisning til Center for Cybersikkerheds trusselsvurderinger og kommunernes vigtige rolle i øvrigt.

Kommunen.dk har spurgt minister for Samfundssikkerhed og Beredskab Torsten Schack Pedersen (V), hvilken rolle, han mener, kommunerne skal spille i den nye strategi.

I et skriftligt svar lyder det, at det vil “blive overvejet”, hvordan kommunerne kan blive tænkt ind. 

- Formålet med strategien skal være at løfte cyber- og informationssikkerheden på tværs af samfundet, og derfor vil det også blive overvejet, hvordan kommunerne kan blive tænkt ind, skriver han. 

Det er i sig selv positivt, mener Alexander Høgsberg Tetzlaff, for det indikerer, at man har forstået, at kommuner er vigtige for den samlede cybersikkerhed.

KL har længe selv advokeret for, at kommunerne som helhed bør omfattes af den kommende cybersikkerhedslovgivning, NIS 2, hvilket de efter regeringens lovudkast fra sidste år at dømme ikke skal regne med. 

Da Kommunen.dk i efteråret spurgte Torsten Schack Pedersen til ræsonnementet bag ikke at lade dem fuldt omfatte, henviste han til, at man har besluttet, at direktivet skal minimumimplementeres. Han tilføjede dog samtidig, at det lå ham meget på sinde at tage sig tid til at lytte til input fra interessenter på området.

I december sagde han ifølge Politiken, at han ikke ville love, at kommunerne bliver inkluderet i den “nationale sikkerhedsparaply”. 

Kommunen.dk har spurgt ministeren, om han deler KL’s bekymring om den kommunale cybersikkerhed, samt om det er hensigtsmæssigt at lade kommunerne stå uden for paraplyen. 

Det har han ikke svaret på. Men ministeriet oplyser, at det løbende er i dialog med KL og relevante myndigheder om rammerne for kommunernes overholdelse af kravene i NIS 2.

Lovforslaget forventes fremsat i Folketinget sidst i februar.

Den nationale sikkerhedsparaply

At der er sprækker i den offentlige sektors cybersikkerhed, stod også klart i januar, da Statsrevisorerne kritiserede regionernes beskyttelse af sundhedsdata mod cyberangreb. Her lød det, at regionernes beskyttelse “ikke er helt tilfredsstillende”, og at der er “risiko for, at følsomme og fortrolige sundhedsdata kommer i hænderne på uvedkommende eller ikke er pålidelige eller tilgængelige, når der er brug for dem”. 

Selvom staten skal have implementeret informationssikkerhedsstandarden ISO 27001, går den heller ikke fri. Ved flere lejligheder har Statsrevisorerne kritiseret, at en række statslige samfundskritiske it-systemer ikke er sikret et tilfredsstillende it-beredskab. 

Hvordan det reelt forholder sig med sikkerheden på tværs af kommunerne er uvist, for selvom de er forpligtet til at følge de samme principper som staten, følger ingen, som Kommunen.dk tidligere har beskrevet, op på, i hvilket omfang de gør det. 

Når man ikke har overblik over kommunernes informationssikkerhedsniveau, kan det betyde, at man som samfund ikke er så godt beskyttet mod angreb, som man tror, man er, advarede professor ved Cyber Security Group på Aalborg Universitet Jens Myrup Pedersen.

Det er imidlertid en kompleks opgave at sikre et ensartet niveau på tværs af 98 forskellige kommuner, som gør ting forskelligt, påpeger Alexander Høgsberg Tetzlaff. 

Der skal blandt andet ses på, hvornår og hvor meget det giver mening at centralisere, og det vil kræve et analysearbejde. Derfor er det endnu svært at sige, hvordan kommunerne bør tænkes ind i den nye cybersikkerhedsstrategi. 

Med beredskabsaftalen er der da også afsat midler til udarbejdelse af relevante analyser, som skal ligge til grund for strategien. 

Om kommunerne kan regne med at få del i de 100 mio. kr., der er afsat årligt fra 2025-2033 til implementering af et højt fælles cybersikkerhedsniveau i Danmark, svarer ministeren ikke på. 

”Midlerne skal ses i sammenhæng med reserven på 200 mio. kr. årligt i 2025-2028 til implementering af NIS 2, som allerede er afsat på finansloven for 2025. Ministeriet er i løbende dialog med KL og relevante myndigheder om betydningen heraf, herunder de nærmere rammer for kommunernes overholdelse af NIS 2-direktivets krav,” lyder det fra ministeriet.