En GAP-analyse afdækker gabet mellem det nuværende niveau for informationssikkerhed, og det niveau man skal leve op til. Efter at EU-direktivet om NIS2 er blevet lovpligtigt for alle IT-organisationer i EU-landene, er GAP-analyser blevet relevante for kommunale IT-afdelinger. For trekvart år siden besluttede de 11 kommunaldirektører i Nordjylland, at IT-afdelingerne i de 11 kommuner skulle arbejde tættere sammen.
Centerchef IT-og digitalisering Lars Sørensen, Frederikshavn Kommune: ”Vi er i dag 11 nordjyske kommuner, der er enige om at lave hver sin GAP-analyse og så samle de 11 analyser i en fælles evalueringsrapport for at afklare, hvad vi skal gøre i fællesskab og hvad vi skal gøre hver for sig for at indfri ambitionerne i NIS2-direktivet”.
”Vi vil lave et to-trins målbillede for fremtidig cybersikkerhed. Et målbillede for 2030 og et for 2035. Vi vil gerne sikre os, at vi arbejder i fællesskab om de samme ambitioner for cybersikkerhed, så de 11 kommuner ikke udvikler løsninger, der trækker i forskellige retninger og dermed ville kunne skabe uensartede niveauer af cybersikkerhed i Nordjylland,” siger Lars Sørensen.
I februar 2025 blev kommunerne omfattet af NIS2 direktivet. De blev kategoriseret som kritisk infrastruktur.
”NIS2 satte os i gang med at lægge en plan for fremtidigt samarbejde. Vi var sådan set i gang med at samarbejde, men NIS2-direktivet fik sat yderligere fart på den proces. Vi aftalte at bruge NIS2 som case til at etablere et bredere samarbejde og at lægge planen for de to målbilleder i 2030 og 2035,” siger Lars Sørensen.
Fælles evalueringsrapport
Det er først, når den fælles evalueringsrapport fra de 10 nordjyske kommuner er færdig, at kommunerne kan vurdere, hvor langt de er fra målet. De 10 kommuner har indgået kontrakt med konsulentvirksomheden Conscia, der har en modenhedsmodel, som bygger på CIS18, som en del af ISO 27001-standarden.
”Når vi har fået lavet en samlet analyse, kommer rationalet med at vi arbejder sammen om cybersikkerheden. Der vil være ting, vi skal gøre i fællesskab. Hvis vi skal foretage en opdatering af vores serverinfrastruktur, så skal vi ikke have 11 forskellige måder at gøre det på. Så kan vi gøre det på en måde og samarbejde om det”.
”Hvis vi står på forskellige niveauer i forhold til andre processer, så giver det mening, at nogle går forrest og trækker, mens andre løser det individuelt. I det hele taget er det godt at arbejde sammen, da vi træner og øver os på området. Jeg tror ikke, at vi kommer til at bruge så mange ressourcer på det tekniske. Dét, der kommer til at fylde, er processer og politikker. Jeg har sagt til min direktion, at 20 pct. er teknologi, mens 80 pct. er processer og styring,” siger Lars Sørensen.
Risikovurdering
Inden Lars Sørensen blev IT- og digitaliseringschef i Frederikshavn Kommune, var han digitaliseringschef på Aalborg Universitet. Her arbejdede han bl.a. med ISO27001-compliance i forhold til forskningsdata og -systemer i fire år, og fik den risikobaserede tilgang ind under huden.
”Det er et kæmpe arbejde at vurdere risici og have en risikobaseret tilgang til cybersikkerhed. Det finder man først ud af, når man arbejder med det hver dag. Så går det op for en, hvor mange mulige risici, der er. Det er indlysende rigtigt at finde et fælles niveau for risici, når man skal samarbejde om cybersikkerhed og informationssikkerhed,” siger han.
Lars Sørensen kan ikke gå i detaljer med det konkrete indhold i GAP-analysen, men han understreger, at cybersikkerheden ikke kun handler om teknologi. Det handler i høj grad også om at have styr på processer og politikker, som skal dokumenteres og løbende følges op på. Høj grad af cybersikkerhed kræver altså mere end tekniske løsninger – det kræver et solidt fundament af klare procedurer og retningslinjer.
”Det handler i bund og grund om processer og have et dokumenteret ledelsessystem. At have et ledelsessystem, hvor man er risikobaseret og hver enkelt medarbejder er risikobevidst. Det er nøglen til at lykkes, og det er noget jeg kommer til at bruge det meste af min tid på. Både i forhold til cybersikkerhed og informationssikkerhed. Det er vigtigt, at vi får løftet sikkerheden. Det gælder ikke kun i Nordjylland. Det skal ske i hele Europa.”