Henrik Brix • 23 maj 2025

Fem uger før NIS2

1. juli 2025. En ny skelsættende dag. Det er, i skrivende stund, om fem ugers tid, hvor alle kommuner bliver omfattet af de nye lovkrav fra EU´s NIS2 direktiv til beskyttelse af vores kritiske infrastruktur. Det gælder også vores digitale tjenester, som omfatter borgerrettede services, der vedrører kritiske sektorer. Når det er en skelsættende dag, skyldes det, at det er første gang, at kommuner skal opfylde lovkrav inden for cybersikkerhed og kritisk infrastruktur eftersom kommunerne ikke har indgået i de første to nationale strategier for cyber- og informationssikkerhed. 

Det er så også kommet frem, at det bliver Beredskabsministeriet, der skal føre tilsyn med kommunerne om de overholder NIS2. Jeg åbnede en af de bedre flasker den aften i starten af februar. Men blot for at vågne med (virtuelt) ondt i hovedet dagen efter; nu står vi med en stor implementeringsopgave! Men det giver mening at kommunerne er helt omfattet af NIS2-loven.

Det betyder, at vi som enkelte kommuner eller kommuner i et fællesskab ikke længere kan ”undslå” os og sige at vi hellere vil bruge pengene på børn og ældre og sundhed. Med NIS2 bliver vi mødt med lovkrav om at opfylde cybersikkerhed. Ligesom vi gjorde med GDPR i 2018 inden for beskyttelse af personlige data og omgangen med dem. Det kommer til at koste penge. Vi ved på nuværende tidspunkt ikke præcist hvor mange eller hvor mange vi får til opgaven.    

Investering i NIS2 og cybersikkerhed er både et fælleskommunalt anliggende og en lokal opgave. Og det er på ingen måde en spareøvelse. Trusselsniveauet mod danske kommuner stiger og stiger. Det giver slet ikke mening, at kommunerne står med den opgave hver for sig. Derfor er det vigtigt for den enkelte kommune og ikke mindst kommunerne i fællesskab at afklare, hvilke services inden for cybersikkerhed der med fordel kan løses i et fælleskommunalt regi og hvilke der løses bedre lokalt. 

Jeg støtter etableringen af en fælleskommunal cyberenhed – som kan tilvejebringe et overordnet trusselsoverblik, etablere visse SOC-services (Security Operations Center) og rykke ud i forbindelse med et angreb m.m. En KommuneCERT i KOMBIT regi. Det gør jeg, fordi vi vil få mere cybersikkerhed for skatteydernes penge i et fællesskab end ved at gøre det separat. Og fordi et fælles situationsoverblik i den kommunale sektor er vigtigt og ikke skal ligge flere forskellige steder. 

Men som tidligere nævnt. Det er ikke alt der kan og skal gøres i et fællesskab. Ligesom med GDPR er NIS2 en lov, hvor kommuner er nødt til at lave vores egen risikovurdering og formulere en beredskabsplan, der tager hånd om en nødsituation, måske endda et beredskab med analoge arbejdsgange. Det kan lyde forkert i manges øren i digitaliseringens tidsalder. Men det er ikke desto mindre sandsynligt at det vil kunne forekomme.    

Mens vi står ved kanten til NIS2, udkom der også en rapport fra PA-consulting om fælles IT-drift i kommunerne. Rapporten blev bestilt sidste år af Finansministeriet og KL. Det er vigtigt for mig at påpege, at rapportens fokus er administrative besparelser ved at udføre visse opgaver sammen, fx it-drift. KL har kommenteret rapportens konklusioner med at sige, at der ikke er ”blotlagt nævneværdige administrative besparelser”. Og at rapporten peger på, at der ikke findes én model, der passer til alle 98 kommuner.

Et tema, der også fylder i dette magasin, er digital uafhængighed af techgiganterne i USA. To kommuner fortæller om deres positive oplevelser ved i enkeltprojekter at skifte en amerikansk leverandør ud med en europæisk. Dansk kommunal digitalisering, der træder ind i en geopolitisk dagsorden og spiller en lokal trumf ud. Det virker som om der er gang i den. I ønsket om en god sommer til alle.