Man kan ikke bare presse et pomfritjern ned over en kommune, skære den op i pomfritter og så regne med, at det sikrer kommunal cybersikkerhed.

Men står regeringens lovudkast til implementering af EU’s cybersikkerhedsdirektiv NIS 2 til troende, er det, hvad der kommer til at ske. 

Regeringen har nemlig besluttet, at kommunerne kun skal omfattes af de nye krav i det omfang, de har aktiviteter inden for kritiske sektorer som fx sundhed, drikke- og spildevand og affaldshåndtering. 

I praksis tvinger det kommuner til at arbejde, som om de var fuldt omfattet, fordi det ifølge administrerende direktør i Kombit Kristian Vengsgaard mange steder både er organisatorisk og teknisk umuligt at lave den sektorspecifikke opdeling, som regeringen med sin såkaldte minimumsimplementering lægger op til.

- Lovforslaget svarer til en fuld implementering, men den er uhensigtsmæssig, fordi man gør det i siloer, siger han.

Kan komme i klemme

I nogle kommuner er der få mennesker til at passe opgaver, som i andre kommuner er fordelt på flere personer. Det betyder, at medarbejdere, som varetager opgaver inden for flere forskellige sektorer, må tage stilling til, om de er omfattet af lovgivningen og i givet fald hvordan, fortæller Kristian Vengsgaard. 

Desuden går mange it-systemer og deres underliggende infrastruktur på tværs af sektorer, påpeger han.

- Helt banalt er der i de enkelte kommuner netværk, pc’er og telefoner, som bruges til det hele, men som vil være omfattet af forskellige sektorkrav, siger han. 

Og det er ikke givet, at de enkelte ministerier, som har ansvaret for at implementere og føre tilsyn inden for hver deres sektor, fortolker lovkravene ens.

Det betyder, at kommunerne risikerer at blive klemt mellem to negle uden at have indflydelse på, hvordan loven skal fortolkes og kravene opfyldes - selv på områder, hvor de formelt set ikke er omfattet, påpeger Kristian Vengsgaard. 

Det vil både gøre implementeringen sværere at administrere og holde døren åben for diskussioner om, hvorvidt et øget sikkerhedsniveau kan prioriteres bort.

- Risikoen er, at vi ender med en løsning, som er lige så dyr, men mere bøvlet, som hvis man gjorde det ordentligt og lod hele kommunen omfatte, siger han.

Samtidig betyder det, at penge til cybersikkerhed skal konkurrere med midler, der ellers kunne bruges på flere pædagoger eller et nyt tag til skolen.

- Når man har en presset økonomi i kommunen, begynder man at lede efter steder, hvor man kan undgå en administrativ omkostning. Så fokuserer man på, hvor man kan slippe i stedet for, hvordan vi får god cybersikkerhed, siger Kristian Vengsgaard.

Ondsindet aktivitet i vækst

Ifølge Datatilsynet er antallet af anmeldte brud som følge af ondsindet aktivitet rettet mod den offentlige sektor steget markant. I 2022 var der 50 anmeldelser, mens tallet i 2023 var mere end firedoblet til 221. 

Tallene dækker over brud på persondatasikkerheden grundet kriminalitet, fx ved identitetstyveri og misbrug af konti til login, phishing, svindelforsøg, manipulation af data med uautoriseret adgang, målrettede angreb, såkaldte DD0S-angreb, udnyttelse af betroede rettigheder og certifikatsvindel.

Ifølge Center for Cybersikkerheds (CFCS) seneste cybertrusselsvurdering er Danmark da også fortsat et attraktivt mål for ondsindede aktører. Ifølge rapporten er cyberaktivistiske angreb mod danske virksomheder og myndigheder blevet en del af normalbilledet.

I starten af juni hævede centeret desuden trusselsniveauet for destruktive cyberangreb fra lav til middel på grund af en øget russisk risikovillighed til at gå efter europæiske NATO-lande. Både truslen fra cyberspionage og cyberkriminalitet vurderes at være meget høj, fremgår det af rapporten, som udkom i september.

Få dage efter blev Danmark for fjerde gang i træk tildelt førstepladsen i offentlig digitalisering i FN’s E-Government Survey 2024, der rangerer 193 landes digitale udvikling. 

Blandt andet derfor ærgrer det Kristian Vengsgaard, når debatten kommer til at handle om økonomi i stedet for cybersikkerhed. 

- Debatten er startet med pengene i stedet for at starte med det, man vil fra EU. Det er klart, at det koster penge. Hvis vi er verdensmestre i digitalisering, kommer det også med en pris på cybersikkerhed, siger han.

Frygter modstridende krav

KL har længe advokeret for, at kommunerne bliver omfattet i deres helhed. Det er uhensigtsmæssigt at opsplitte den kommunale digitale infrastruktur i flere dele og opbygge parallelle systemer, lyder det i foreningens høringssvar. 

Med sektoropdelingen er der risiko for, at krav bliver modstridende, og at de kommunale myndigheder derfor kommer til at bruge unødvendigt meget tid på administration, ikke mindst i forbindelse med tilsyn. Derfor er der brug for én tilsynsmyndighed og ét samlet og koordineret tilsyn med kommunerne, mener KL.

Også Rådet for Digital Sikkerhed mener ifølge sit høringssvar, at kommunerne som udgangspunkt bør være omfattet af de nye regler. Den uafhængige medlemsforening bestående af offentlige og private organisationer, som arbejder for et trygt digitalt samfund, mener, at det vil sikre ensartethed i beredskabet på tværs af kommuner, regioner og stat og minimere risikoen for udfordringer i forbindelse med fortolkning af reglerne.

Beredskabsminister vil tage sig tid til at lytte

Med ministerrokaden tidligere på året flyttede ansvaret for implementering af direktivet fra Forsvarsministeriet til det nye Ministerium for Samfundssikkerhed og Beredskab. I forbindelse med Folketingets åbning lød det tidligere på måneden i en pressemeddelelse fra ministeriet, at lovforslaget udskydes, så det i stedet for at blive fremsat for Folketinget i oktober først forventes fremsat til februar næste år. 

I forvejen har processen været udskudt, så det længe har stået klart, at Danmark ikke når at leve op til EU’s frist for implementering af direktivet 17. oktober i år.

Kommunen.dk har foreholdt minister for samfundssikkerhed og beredskab Torsten Schack Pedersen (V) kritikken om ikke at lade kommunerne omfatte af NIS 2 og spurgt, hvad ræsonnementet bag det er.

I et skriftligt svar nøjes ministeren med at henvise til, at man i Danmark har besluttet, at direktivet skal minimumimplementeres og forsikrer, at det ikke ensbetydende med, at der ikke er fokus på, at kommunerne skal have “et passende cybersikkerhedsniveau”. 

Om det bemærker han, at regeringen og KL i årets økonomiaftale er enige om, at et tidssvarende cybersikkerhedsniveau i kommunerne er nødvendigt for at sikre alle led i den offentlige sektor. 

- NIS 2-direktivet får stor betydning for de omfattede myndigheder og virksomheder. Derfor ligger det mig også meget på sinde, at vi får tilrettelagt en så god proces som muligt, hvor vi tager os tid til at lytte til de input, der er kommet fra blandt andre interessenter på området, siger Torsten Schack Pedersen.