”Selvom Beredskabsministeriet arbejder på højtryk, ved vi jo ikke på nuværende tidspunkt, hvordan vi præcis skal tolke en hændelse i regi af NIS2. Beredskabsministeriet har ikke meldt ud eller nærmere defineret, hvad det er for hændelser, de gerne vil have indrapporteret fra kommunerne. Vi mangler fortsat nogle præciseringer,” siger chef for KOMBITS cyberenhed Mille Østerlund.
Den 6. februar 2025, da beredskabsminister Torsten Schack Pedersen (V) fortalte, at alle kommuner blev fuldt omfattet af NIS2 direktivet fra EU, kalder chefen for KOMBITs cyberenhed, Mille Østerlund, for en historisk dag. ”Der blev truffet en vigtig beslutning for kommunerne, som vi ikke kender de fulde konsekvenser af, men det bliver uden tvivl skelsættende”.
KOMBIT holdt en workshop den 24. marts 2025, hvor alle 98 kommuner deltog. ”Vi har sagt, at vi ikke ønsker at gennemføre noget på cyberområdet, som kommunerne ikke efterspørger. Derfor holdt vi en workshop, hvor kommunerne fik taletid. Vi lyttede og noterede ned, hvad kommunerne sagde, da vi er optagede af kun at udbyde relevante ydelser,” siger Mille Østerlund, der har det ydelseskatalog, der på bagrund af workshoppen kom i høring ude hos kommunerne.
”Det, der fyldte mest på dagen, var NIS2, EU-direktivet som træder i kraft 1. juli 2025, og kommunerne efterlyste også hjælp til NIS2. Men meget af det kommunerne talte om, handler om overvågning og om det vigtige ved et fælles kommunalt cybersituationsoverblik – et trusselsoverblik - som kan hjælpe kommunerne med at prioritere deres indsats på cybersikkerhedsområdet,” siger Mille Østerlund.
I forlængelse af diskussionen om overvågning fyldte også sådan noget som procedurer for hændelsesindberetninger, da organisationer omfattet af NIS2 – og altså også kommunerne - skal indberette hændelser til de centrale myndigheder ved et angreb eller anden uforudset hændelse.
”Jeg vil også gerne sige, at selvom ministeriet arbejder på højtryk, så ved vi jo ikke på nuværende tidspunkt, hvordan vi præcis skal tolke en hændelse i regi af NIS2. Beredskabsministeriet har ikke meldt ud eller nærmere defineret, hvad det er for hændelser, de gerne vil have
indrapporteret fra kommunerne. Vi mangler altså fortsat nogle præciseringer,” siger Mille Østerlund.
En af de udfordringer kommunerne har med NIS2 er, at de egentlige specifikationer af arbejdsopgaver ikke er endeligt klar endnu og at direktivet træder i kraft 1. juli. Det åbner et ret lille tidsvindue for kommunerne til at blive NIS2 klar.
”Det er da indlysende, at det er svært for kommunerne, da de ikke ved præcis, hvad de skal gøre sig klar til. De ved, der kommer nye arbejdsopgaver, som de får at vide, de skal gøre sig klar til, men som de ikke kender omfanget af. De ved, det kommer til at koste en masse ressourcer både i tid og kroner og øre”.
”På den anden side er der en række opgaver, man godt kan begynde at arbejde med selvom vi ikke kender de endelige definitioner og tolkning af kravene i NIS2. Vi ved, at der er krav til basal cyberhygiejne. Vi ved, der er krav til monitorering, og hændelsesindberetning, så det kan man godt begynde at arbejde med. Vi ved, at ledelsen skal inddrages og tage ansvar for processerne, så det kan man også begynde at tage en diskussion om. Selv om vi endnu mangler de præciseringer, vi håber at få med de vejledninger, der kommer fra ministeriet, kan vi godt gå gang med arbejdet,” siger Mille Østerlund.
Efter at kommunerne er kommet med i NIS2 – beskyttelsen af den kritiske infrastruktur – og de digitale tjenester i kommunerne, er det første gang i digitaliseringens historie, at kommunerne skal leve op til kravene inden for national cybersikkerhed.
Fakta om KommuneCERT
KOMBITs KommuneCERT er en fælles cybersikkerhedsenhed for Danmarks kommuner, der fungerer som et centralt kontaktpunkt for viden om cybertrusler og sårbarheder i den kommunale it-portefølje. Deres ydelseskatalog omfatter i øjeblikket følgende tjenester:
• Varslingstjeneste: Informer kommunerne om aktuelle cybertrusler.
• Gennemgang af Microsoft-sikkerhedsfeatures: Evaluering af sikkerhedsfunktioner i Microsoft-produkter.
• Scanningsservice: Identificering af sårbarheder i kommunale systemer.
• Videndelingsforum: Faciliterer erfaringsudveksling mellem kommuner.
KommuneCERT arbejder løbende på at udvide deres ydelseskatalog med nye services og samarbejder, herunder pilotprojekter inden for ”detect and respond” for at imødekomme kommunernes behov og sikre overholdelse af NIS2-direktivet.
Væsentligt at kommunerne kom med
Derfor er det meget væsentligt, at kommunerne nu er blevet en del af NIS2 implementeringen – beskyttelsen af den kritiske infrastruktur – fordi så får kommunerne et konsistent niveau af cybersikkerhed og beredskab.
Uden NIS2 ville de mindste kommuner med færrest ressourcer risikere at være de dårligst stillede.
Mille Østerlund: ”Kommunerne er godt klar over, at det er nødvendigt med et højt cybersikkerhedsniveau med det trusselsniveau vi ser. Og det bliver ikke mindre aktuelt med den ustabile situation vi har i verden. Om nogen, er kommunerne klar over at den tætte sammenhæng mellem god sikkerhed omkring data og systemer og borgernes tillid. ”De, der angriber kommunale netværk, har jo intentioner om at destabilisere kommunerne, ved at rokke ved tilliden til kommunerne, til vores velfærdssamfund. Så der er vigtige ting på spil
”Mange kommuner er i øvrigt allerede i gang. Og har været det længe. Selvfølgelig med stor variation hen over landet. Men det, der kan holde nogen tilbage er frygten for at komme til at overimplementere og dermed bruge de sparsomme ressourcer uhensigtsmæssigt,” siger Mille Østerlund.