“Regeringen og KL er enige om at drøfte implementering af NIS 2-direktivet, herunder i hvilket omfang kommunerne vil være omfattet af direktivets krav”.

Sådan lyder det i næste års økonomiaftale om EU’s cybersikkerhedsdirektiv.

Det efterlader kommunerne i en situation, hvor de må forvente at blive omfattet af ny cybersikkerhedslovgivning uden at kende omfanget.

- Meget tyder på, at så længe, man ikke ved det, vil man være ramt af handlingslammelse, siger chefkonsulent i interesseorganisationen IT-Branchen Troels Johansen.

I kommunerne holder man et vågent øje med udviklingen på området, men ikke meget mere end det, fortæller formand for Foreningen af kommunale IT- og digitaliseringsansvarlige, KITA, Henrik Brix.

- Når vi ikke ved, om vi er omfattet og i hvilket omfang, så er det godt nok svært at gøre noget, siger han.

Uvisheden gør det vanskeligt at nå at leve op til lovgivningen, der skal være implementeret i Danmark 17. oktober næste år, forudser han.

- Hvis vi bliver omfattet på samme tidspunkt som de andre sektorer, tror jeg ikke, vi kan nå det, siger han.

Ingen tegn på hurtig afklaring 

Direktivet har til formål at sikre et højt fælles cybersikkerhedsniveau på tværs af EU inden for sektorer, der har kritisk betydning for samfundet. Det gælder ifølge direktivet blandt andet sundheds-, drikke- og spildevandssektoren. 

Også offentlige forvaltningsenheder er omfattet, men som udgangspunkt kun stat og regioner. Det er op til hvert medlemsland at beslutte, om også lokale forvaltningsenheder skal omfattes. 

Der er åbenlyst behov for, at myndigheder generelt øger deres it-sikkerhedsniveau, mener KL. Men når der fra politisk hold stilles krav, er det helt afgørende, at kommunerne også har en reel mulighed for at efterleve reglerne, lyder det i et skriftligt svar fra kontorchef i KL Pia Færch. 

- Indtil det er på plads, er den bedste forberedelse, kommunerne kan gøre, at arbejde videre med risikobaseret indsats for informationssikkerhed, skriver hun.

KL har allerede planlagt et projekt, der skal være med til at skabe et samlet overblik over de økonomiske, teknologiske og kompetencemæssige konsekvenser, som implementering af NIS 2-direktivet vil få for kommunerne. Projektet afventer, at direktivet udmøntes i dansk lovgivning.

- Lige så snart KL kender til den nationale implementering, vil vi selvfølgelig understøtte aktiviteter for kommunerne, forsikrer Pia Færch.

Det er Forsvarsministeriet, der har det koordinerende ansvar for implementering af NIS 2, og det tyder på, at kommunerne må væbne sig med tålmodighed. Der er nemlig ikke sket meget, siden informations- og cybersikkerhedsdirektivet for mere end fire måneder siden trådte i kraft. Hvem, der skal gøre hvad i den danske lovgivningsproces, udestår fortsat. 

Forsvarsministeriet er “i dialog med relevante myndigheder med henblik på stillingtagen til fordelingen af roller og ansvar mellem myndigheder inden for rammen af direktivet,” oplyser ministeriet, der dog ikke kan sætte navn på, hvem de relevante myndigheder er.

Presbold

Det er for usikkert at gå i gang med at forberede sig på at løse en opgave, der måske aldrig kommer, mener Henrik Brix, der selv er IT-manager i Favrskov Kommune. 

- Jeg er lidt bange for at sætte et arbejde i gang, som viser sig at være spildt. Vi svømmer ikke i ressourcer, siger han. 

I nabokommunen Aarhus er man så småt begyndt at tage hul på den informationsopgave, man forventer, der vil ligge i at få klædt ledelsen på, fortæller konstitueret chef for it og digitalisering Lone Juric Sørensen. 

Belært af erfaringerne fra implementeringen af GDPR-forordningen ved hun, at halvandet år ikke er lang tid. Alene det at beskrive interne retningslinjer og procedurer er tidskrævende, bemærker hun.

- Vi føler, at vi har travlt. Der er denne her presbold, at om halvandet år træder det i kraft, siger hun og understreger, at det ikke er et spørgsmål om, hvorvidt kommunen kan nå at blive klar til at leve op til nye lovkrav inden for fristen. Det skal den.

- Vi skal leve op til lovkrav. Men vi er presset på tid, og det bekymrer mig. Det er en ny opgave, som skal tages ind i en i forvejen presset drift, og som kræver nye kompetencer og ressourcer, siger Lone Juric Sørensen.

Svært at forudse udfald

Det er meget svært at forudse, hvilken vej det går, mener professor i forvaltningsret og digitalisering ved Københavns Universitet Hanne Marie Motzfeldt.

Om kommunerne skal omfattes afhænger af informationer, som er forbeholdt en snæver kreds, påpeger hun.

- Jeg er så naiv, at jeg har tillid til, at vores ministerier, efterretningstjenester og Center for Cybersikkerhed er i stand til at komme med den rigtige vurdering på baggrund af de oplysninger, som kun de har. 

- Det kan være, de vurderer, at det ikke er nødvendigt. Hvis de omvendt melder ud, at det er nødvendigt, handler det ikke om, hvad det koster at øge sikkerhedsniveauet, men hvad det koster, når det går galt. Der er vi nødt til at have tillid til vores system. Det er ikke alle informationer, der kan sendes ud i almenheden, siger hun.

- Hvis de kompetente instanser vurderer, at vi er så truet på vigtige samfundsfunktioner, at kommunerne skal omfattes i deres helhed, vil det være en katastrofe, hvis kortsigtede hensyn betyder, at vi ikke lytter til dem, der ved, hvad de taler om – og de så ikke bliver omfattet.

IT-Branchen: Kommuner bør omfattes

Interesseorganisationen IT-Branchen er ikke i tvivl. Kommunerne bør omfattes.

Direktivet er en kærkommen løftestang til at få hævet og harmoniseret det samlede danske sikkerhedsniveau på tværs af stat, regioner og kommuner, mener chefkonsulent Troels Johansen.

- Der er brug for, at kommunerne forholder sig til et minimumsniveau med tilsyn og ensartede cybersikkerhedskrav, siger han og påpeger, at noget af det allervigtigste lige nu for både kommuner og virksomheder er, at man får kortlagt, hvem der er omfattet. 

Men også spørgsmålet om finansiering trænger sig på. 

- Det bør prioriteres som et særskilt område ved økonomiaftaler, siger Troels Johansen. 

Formand for KITA, Henrik Brix havde håbet på en afklaring i forbindelse med økonomiaftalen, der faldt på plads sidst i maj. 

Men der fulgte ingen penge med. 

- Vi har brug for en afklaring hurtigst muligt. Bliver vi omfattet? Hvor meget, hvornår og med hvilken økonomi?, siger Henrik Brix