Kommuner bør omfattes af cybersikkerhedsdirektivet NIS 2, mener KL.

Om det sker, står fortsat åbent, men med et nyt cyberforsvarsudspil lægger KL op til, at teknikere og ledere uddannes, oplyses og trænes i cyber- og informationssikkerhed for at sikre de nødvendige kompetencer til den kommunale opgaveløsning med cybersikkerhed.

Det ligger helt i tråd med, at EU vil gøre informations- og cybersikkerhed til en fundamental ledelseskompetence i samfundets nøglesektorer. For udover at godkende og føre tilsyn med cybersikkerhedsforanstaltninger, skal ledelsen for de enheder, der bliver omfattet af reglerne, også sendes på kursus, lyder det i lovteksten. 

- Det er et ret smart greb, siger professor i forvaltningsret og digitalisering ved Københavns Universitet Hanne Marie Motzfeldt.

- Det svarer lidt til, hvis en offentlig leder i Danmark siger: Det der med inhabilitet, det ved jeg ikke noget om, for de regler kender jeg ikke noget til. Det anser vi for uacceptabelt, for en offentlig leder skal kende til dem, siger hun.

Manglende viden er ingen undskyldning

Kravet om et kompetenceløft vil gøre det umuligt for ledelsen at undsige sig sit ansvar på grund af manglende viden, hvis noget går galt, fortæller Hanne Marie Motzfeldt. 

- Man kan ikke komme og sige, at man ikke var opmærksom på det. Der er ikke nogen undskyldninger, siger hun.

Ifølge direktivet skal medlemsstaterne sikre ”at medlemmerne af væsentlige og vigtige enheders ledelsesorganer er forpligtet til at følge kurser, og skal tilskynde væsentlige og vigtige enheder til løbende at tilbyde tilsvarende kurser til deres ansatte, således at de opnår tilstrækkelige kundskaber og færdigheder til at kunne identificere risici og vurdere metoderne til styring af cybersikkerhedsrisici og deres indvirkning på de tjenester, der leveres af enheden.” 

- NIS 2 siger det eksplicit: I skal lære noget om det her, siger Hanne Marie Motzfeldt.

Forbereder information af ledere

Mens direktivet fastslår, at blandt andet sundheds-, drikke- og spildevandssektoren skal omfattes, er det endnu uklart, om kommunale forvaltninger i sig selv hører til gruppen af væsentlige og vigtige enheder. Det er op til Folketinget at beslutte. 

Dermed udestår det også, om kommunale ledelsesorganer bliver omfattet.

I Aarhus er konstitueret chef for it og digitalisering Lone Juric Sørensen allerede bevidst om den informationsopgave, der måske venter lige rundt om hjørnet. 

- Vi er ved at planlægge, hvordan vores topledelse i kommunen bliver informeret på et tilstrækkeligt niveau, siger hun.

Det handler både om at orientere ledelsen om, hvad direktivet indebærer, men også om at gøre den i stand til at stille de rigtige spørgsmål, så den kan lægge linjen for kommunens sikkerhedsniveau, forklarer Lone Juric Sørensen.

- Hvad betyder det at skulle risikovurdere, og hvad betyder det for ledelsesrollen?, siger hun.

Men det er svært at løse den opgave, så længe man ikke ved præcis, hvilke kommunale aktiviteter der bliver omfattet og hvordan.

- Der er nogle områder, vi ved, bliver indfattet, men vi har brug for at kende omfanget for at kunne få klædt det øverste ledelsesniveau godt nok på, siger Lone Juric Sørensen.

Hvem udgør ledelsesorganet?

Hvem der i offentlig sammenhæng vil udgøre de ledelsesorganer, som direktivet omtaler, er heller ikke afklaret, fortæller partner i advokatfirmaet Poul Schmith Emil Bisgaard, der som erhvervsjuridisk rådgiver beskæftiger sig indgående med NIS 2-direktivet. 

- Vores vurdering er, at det i et aktieselskab er direktion og bestyrelse, siger han.

Men det er ikke et begreb, der nemt lader sig overføre til den danske offentlige organisation, påpeger han. Derfor må man vente på en mere specifik definition.

- Der skal laves en direktivfortolkning, som konkretiserer det over i en dansk kontekst, siger Emil Bisgaard.

- Det er ikke sikkert, at folkevalgte skal være ansvarlige på samme måde som en professionel bestyrelse. Vi ved det ikke helt endnu.