Henrik Brix • 27 november 2024

Forsinkelsen og reguleringen af NIS2 rammer kommunerne hårdt

Trusselsniveauet mod kommunerne med mange daglige cyberangreb stiger hastigt. Selvom kommunernes indsats med forbedret cyberforsvar også øges, bliver gabet mellem angreb og den mulige defensiv fortsat større. 

Vores efterslæb på cybersikkerhed vokser. Vi kan ikke følge med hackerne. Det er vi nødt til at være ærlige om. Den problemstilling formidlede jeg til byrådet i Favrskov Kommune, hvor jeg er IT- og digitaliseringschef – og politikerne kvitterede med en bevilling på 1 mio. kr. om året de kommende fire år – målrettet til et bedre cyberforsvar.
Det er jeg stolt over. Alle kommuner befinder sig i denne situation. Vi er under massivt og stigende pres. Senest med de ondsindede phishingangreb i Gentofte og Lyngby-Taarbæk kommuner, hvor mere end 2.100 mails blev sendt rundt til mailadresser i en række kommuner, organisationer og ministerier – fra blot tre brugere, der havde klikket forkert på de falske mails. 
Knapt en tredjedel af kommunerne har besluttet at prioritere indsatsen med et bedre cyberforsvar ved at bevilge penge til det. To tredjedele af kommunerne har ikke. Det gør danske kommuner til et oplagt angrebsmål for udenlandske hackere. Derfor gør det ekstra ondt, at regeringen endnu ikke har besluttet, at kommunerne skal være en del af det nationale cyberforsvar. Det underbygges af, at regeringens lovforslag om NIS2 ikke omfatter kommunerne direkte. 
 

NIS2 rammer skævt
Og her er min væsentligste anke. Forsinkelsen og reguleringen af NIS2 i Danmark rammer hårdt i kommunerne på flere måder. Forsinkelsen af den nationale udgave af NIS2 til marts 2025 betyder, at vi får meget kort tid til at implementere de kommunale serviceområder som kommer med NIS2, der træder i kraft 1. juli 2025. Det er ikke realistisk at vi kan nå det.

Den nationale regulering af NIS2 fra regeringens side, hvor kommunerne formelt holdes ude, men på kritiske serviceområder, hvor kommuner leverer service – som hele sundhedsområdet, levering af mad til ældre borgere, rent vand, spildevand og 
affaldshåndtering – holdes vi inde og skal reguleres. 
Her ønsker regeringen at regulere NIS2 i kommunerne som sektorer styret af staten. Vel at mærke forskellige sektorer selvom kommunerne er hele og samlede organisationer med samlet it-understøttelse. 
Når kommunerne formelt holdes ude – og der reelt ikke er afsat tilstrækkelige midler fra statens side – bliver det op til den enkelte kommune at finde midlerne til et lokalt cyberforsvar. Dvs. tage pengene fra velfærdsområderne og bruge dem til databeskyttelse. Penge til databeskyttelse kommer i karambolage med velfærdsydelser, der bruges i børnehaver, skoler og ældrepleje. Man tager fra det ene og flytter over til det andet.
Der bliver tale om differentieret sikkerhed, forskellige niveauer af cyberforsvar i forskellige kommuner – i stedet for at opbygge et ensartet cyberforsvar gennem samarbejde. Der er også i KOMBIT et initiativ i gang med at opbygge en KommuneCERT – en samlet enhed på kommunernes vegne. Det tilslutter KITA sig. Så lad os få kommunerne med det samlede nationale cyberforsvar, med i NIS2 og lad os bygge en KommuneCERT i fællesskab. Det er ikke et enten/eller. Det er et både/og.