”Samarbejde på tværs af kommuner om cybersikkerhed, er vejen frem”. Det siger forperson for det nationale Cybersikkerhedsråd Jacob Herbst, der er CTO i sikkerhedsvirksomheden Dubex og medlem af udvalget for offentlig digitalisering i Dansk IT.
Danmark er et af verdens førende lande inden for digitalisering, men cybersikkerheden har mange steder ikke fulgt med i forbindelse med digitaliseringen. Der er ifølge Jacob Herbst opstået en teknisk og organisatorisk sikkerhedsgæld i mange af landets kommuner, fordi cybersikkerhed ikke har været prioriteret som del af digitaliseringen.
”Derfor er det meget væsentligt, at kommunerne nu er blevet en del af NIS2 implementeringen – beskyttelsen af den kritiske infrastruktur – fordi vi får krav om et konsistent niveau af cybersikkerhed og beredskab. Uden NIS2 ville særligt de mindste kommuner med færrest ressourcer ofte mangle tilstrækkeligt fokus på cybersikkerhed,” siger Jacob Herbst.
Kommunernes aktiviteter inden for samfundskritiske services er ikke længere undtaget fra NIS2-lovgivningen. Det betyder, at de services, der leveres til borgere, skal leve op til de krav om beskyttelse, som NIS2 direktivet fra EU påbyder.
”Det er positivt at kommunerne er kommet med i NIS2. Ved at samarbejde på tværs kan kommunerne udnytte deres ressourcer bedre, så de mindste kommuner får bedre muligheder for ar leve op til kravene i EU-direktivet, og dermed passe bedre på deres systemer og data. Det er svært at sige noget generelt om ressourcer i kommunerne, da kommunerne løser deres opgaver forskelligt. Men det hjælper ikke så meget, hvis en mindre kommune ansætter to sikkerhedsfolk, og den bliver ramt af et fjendtligt hackerangreb på fagsystemer eller strømmen bliver afbrudt,” siger Jacob Herbst.
KOMBIT er ved at opbygge en fælleskommunal cyberenhed – en CERT – som er en landsdækkende operationel enhed for kommunerne.
NIS2
Det er den risikobaserede tilgang, der er udgangspunktet i NIS2. Det vil i princippet sige samme krav til alle kommuner, som også betyder, at de små kommuner ikke kan gemme sig under paraplyen og håbe på, at de store kommuner sikrer tørvejr.
”Hver kommune er nødt til at vurdere sin egen risiko. Hvad er det værste der kan ske her hos os, og hvor stor er sandsynligheden? Og hvordan laver vi et beredskab for det? Hvis strømmen går, hvilken plan har vi så for at få den tilbage. Hvis fagsystemet for medicin udbringning til ældre medborgere som får besøg af den kommunale hjemmepleje, går ned, skal kommunen have et beredskab for at løse opgaven. Det er afgørende at hver kommune laver sin egen risikovurdering og ved, hvordan den håndterer en nødsituation,” siger Jacob Herbst.
Ifølge Jacob Herbst har kommunerne digitaliseret i mange år uden, at cybersikkerheden har fyldt nok.
”For mig er cybersikkerhed ikke en ekstra omkostning. Det er en del af udgiften ved at gennemføre digitale aktiviteter, men noget der desværre ofte overses. Det betyder at der er et efterslæb, som er en stor og vanskelig opgave at indhente. Kommunernes direktioner og byråd er nødt til at interessere sig for dette for at sikre det rette beskyttelsesniveau,” siger Jacob Herbst.
Kommunerne skal også organiseres, så de kan arbejde sammen med andre kommuner på cyberområdet.
NIS2 direktivet træder i kraft 1. juli 2025.