Flemming Kjærsdam • 24 august 2022

EU-parlamentariker Morten Løkkegaard (V): “NIS2 skal også gælde for kommunerne”

I slutningen af juli blev politikerne i EU-parlamentet enige om at indføre IT-sikkerhedsdirektivet NIS2. Det er ny skærpet lovgivning fra EU inden for it-sikkerhed i forbindelse med hackerangreb og anden digital kriminalitet. I følge det danske medlem af EU-parlamentet, Morten Løkkegaard (V), bør alle landets kommuner også blive omfattet af NIS2.

 

NIS2-servicedirektivet, som er et nyt it-sikkerhedsdirektiv, træder i kraft fra nytår. Som landet ligger lige nu, er det op til den danske stat at træffe beslutning om, hvorvidt kommunerne også skal være omfattet af NIS2. EU-parlamentariker Morten Løkkegaard, (V), der har været med til at forhandle det nye it-sikkerhedsdirektiv endeligt på plads i EU, er ikke i tvivl.

Selvfølgelig skal alle kommuner være med i NIS2. Hele baggrunden for at indføre NIS2 er, at alle skal med. Det kan vi jo ikke vedtage i Bruxelles. Det er nationalstaterne, der tager sig af implementeringen i det enkelte land for at få det til at ske. Men jeg synes kommunerne skal være med i NIS2, fordi truslen om hackerkriminalitet vil få stor betydning for det regionale og kommunale område. Kommuner og regioner løser mange opgaver inden for kritisk infrastruktur og det er klart, hvis man bliver hacket som kommune, så har vi et større problem,” siger Morten Løkkegaard. 

Udover at Morten Løkkegaard er medlem af EU-parlamentet er han også medlem af kommunalbestyrelsen i Gentofte. NIS2-direktivet fra EU stiller omfattende krav til it-sikkerheden hos en række sektorer. Det er dog langt fra nok. Kommunerne løser opgaver inden for kritisk infrastruktur som vand- og el-forsyning, spildevand og opgaver på sundhedsområdet, som er sektorer, der alle er i risiko for at blive udsat for hackerangreb og anden digital kriminalitet.

 

Kommunerne skal med

Morten Løkkegaard fortæller, hvorfor kommunerne skal være omfattet af NIS2:

Det skal vi, fordi vi ikke har råd til at lade være. Cybertruslerne er et meget stort problem. Under forhandlingerne om NIS2 har flere spurgt ind til, hvorfor vi skal investere i det? Det koster en hulens masse penge. Den diskussion behøver vi ikke at have. Fordi hvis virksomheder eller organisationer bliver angrebet af cyberkriminelle og de ikke har styr på it-sikkerheden ender de med at være helt ude af business. NIS2 er ikke en straf, der bliver pålagt fra Bruxelles”.

NIS2 er en investering i fremtiden på samme måde som alle mulige andre investeringer. Derfor er det heller ikke længere ham dér it-Per nede på lageret, der skal tage sig af det. NIS2 er et direktionsspørgsmål. Det er et bestyrelsesanliggende. Det er en måde at rykke it-sikkerheden op på direktionsgangen og i bestyrelseslokalet, fordi det handler om deres overlevelse.” 

Og alt dette gælder også for kommunerne. Det bør der ikke være tvivl om. Hvis kommunerne ikke har styr på it-sikkerheden og beredskabet, så er de med garanti sikre på at blive ramt på et eller andet tidspunkt. Ingen organisation er stærkere end det svageste led. Det er derfor kun et spørgsmål om tid, hvis kommunerne ikke kommer med i NIS2, at it-kriminelle lægger kommuner ned. Og når det sker, hvad har du så tænkt dig at sige til dit forsvar som kommunaldirektør eller som borgmester? Der er ikke så meget at rafle om, hvis du spørger mig”. 

 

Baggrund

Efter 2016, hvor russerne blandede sig i den amerikanske valgkamp vendt mod Trumps modkandidat, og Brexit, hvor det flød med forkerte informationer og hacking på nettet, som fik indflydelse på den endelige Brexit-aftale, gik EU-politikerne i gang med lovgive på området. I hast fik man en lovgivning sat sammen, NIS1, for at imødegå kriminalitet på nettet. Det endte med et ret udvandet resultat i 2018, men problemerne voksede sig i mellemtiden større, så vi gik i gang med NIS2,” siger Morten Løkkegaard.

NIS2 er en efterfølger til NIS1 fra 2018. Da vi forhandlede om NIS2 i 2020, som er skærpet i forhold til NIS1, var der udbredt skepsis blandt flere af EU´s medlemsstater. De kunne ikke se nødvendigheden af at stramme lovgivningen og at investere yderligere i it-sikkerhed. Men øjenåbneren dengang var, da Mærsk blev angrebet. Det fik stemningen til at vende blandt skeptikerne,” siger Morten Løkkegaard.

 

Tre områder

Som nævnt er ambitionsniveauet langt højere i NIS2 end i forgængeren NIS1. Der er især tre forskelle, der gør sig gældende. Den første og største kaldes scope” – altså omfanget af IT-sikkerhedsdirektivet. Alle skal med. 

Morten Løkkegaard: NIS2 er ikke kun for private virksomheder. Det gælder også organisationer, myndigheder, ngo´er. Det er alle, der løser relevante samfunds- og serviceopgaver. Det er også derfor, kommunerne skal være omfattet. Erfaringen viser, at en organisation – en stat, myndighed, eller kommune er aldrig stærkere end det svageste led. Det vil sige hackerne kan finde vej ind overalt. De kommer ind via mails og netværk. Og hvis organisationerne ikke melder disse angreb, kan det sprede sig som smitte”.

Den anden ting er en omfattende meldepligt. Inden for 24 timer har en organisation meldepligt. Der er desuden en udvidet meldepligt efter 72 timer, hvor organisationen skal gøre nærmere rede for hvad man har fundet ud af om hackerangrebet og afrapportere til en myndighed. Disse meldefrister er hentet med inspiration fra GDPR-forordningen”.

Den tredje ting er, at der vanker bøder, hvis man ikke overholder it-sikkerheden eller meldepligten. Under forhandlingerne om NIS2 blev vi bekendt med, at der var virksomheder som undlod at investere i it-sikkerhed for så at tage bøden i stedet. Nu falder der solide bøder. Bødeniveauet hedder mellem 1,4 pct. og to pct. af omsætningen. Det kan jo godt blive til en hel del, hvis man kigger på de store virksomheder. Der er et maksimum på 10 millioner euro. Bøderne ligger oppe i et område, hvor man bare ikke har lyst til at blive taget”. 

Bøderne gælder umiddelbart ikke for kommunerne. Det gælder foreløbigt kun for private virksomheder.

»Ideen har været, at der skal være en størrelsesmæssig sammenhæng, så vi slipper for, at virksomhederne spekulerer i at lade være med at have ordentlig it-sikkerhed og så bare tager bøden i stedet. Det skal være sådan, at man vælger de kriminelle fra og lovgivningen til,” siger Morten Løkkegaard.