Jeg er ikke blevet ret meget klogere på kravene til kommunerne i det nye lovforslag om NIS2. Lovforslaget, som er en hovedlov, er kortfattet og meget direktivnært. Loven skal suppleres af en lang række ”sektorvise bekendtgørelser”, og det bliver formentlig gennem disse bekendtgørelser, at vi kan se, hvordan og i hvilket omfang kommunerne bliver omfattet.
Der er altså fortsat stor usikkerhed om, hvilken rolle kommunerne kommer til at spille i NIS2, når loven bliver vedtaget. Som formand for en forening af Kommunale IT- og digitaliseringsansvarlige er det meget ærgerligt, at kommunerne skal holdes hen i uvished. Vi er en væsentlig del af det offentlige fællesskab og det offentliges forpost med hensyn til at levere services til borgere, hvad enten det er forsyning, skolegang, hjælp til at finde et job eller behov for hjemmepleje. Kommunerne ligger inde med millioner/milliarder af personfølsomme data om borgerne. Hvis det ikke er en del af den kritiske infrastruktur i et digitalt velfærdssamfund, så forstår jeg ikke helt betydningen af at være dataansvarlig.
For mig er det meget væsentligt, at kommunerne samarbejder maksimalt om at implementere NIS2 og at beskytte borgernes data. Sådan får vi den bedste beskyttelse for de færreste penge. Hvis vi ikke gør det, kan det nemt ske, at de kommuner, der har færrest penge, måske slet ikke investerer i databeskyttelse eller beskyttelse af kritisk infrastruktur. Dermed risikerer de mindst bemidlede kommuner at kunne bruges som bagdør til angreb på andre kommuner og resten af det offentlige.
I maj 2023 blev 18 danske energiselskaber hacket. I den tidsplan, som Green Power fortalte om på en høring på Christiansborg i maj måned 2024, fremgik det, at hackerne konsekvent angreb det dårligst beskyttede energiselskab, og brugte angrebet som en slags ”trojansk hest” til at bryde ind i det næste. Så det var ikke 18 energiselskaber, der blev angrebet på en gang. Det var en fortløbende proces - dag for dag – over tre uger – i alt 18 selskaber.
Vil det kunne ske i vores kommunale landskab? Ja, det vil det. Hvad er så planen? Vi skal arbejde sammen om NIS2 – på tværs af kommunerne. NIS2 er perfekt sted at samarbejde. PwC direktør
Mads Nørgaard siger i artiklen om kommunernes rolle i NIS2 (side 6), at det er et godt værktøj, fordi det er operationelt. Og giver samtidig udtryk for, at vi har brug for at hæve sikkerheden i et digitaliseret samfund, og at der skal flyde penge ind, der sikrer, at investeringerne bliver gjort. Kommunerne må ikke blive det svage led i cyberkrigen.
Sektoransvarsprincippet går igennem som en rød tråd i forsvarsminister Troels Lund Poulsens (V) lovforslag. For kommunerne er det uhensigtsmæssigt med sektoransvarsprincippet, altså at gøre hver sektor ansvarlig for cybersikkerhed/NIS2. Det vil sige, hvis kommunerne bliver omfattet af NIS2, at initiativerne bliver spredt ud på flere fagområder – vandforsyning, varme, energi, skrald, sundhed, veje, administration – i stedet for en generel implementering af NIS2 i et samarbejde med andre kommuner. Ved at dele området ud på sektorer, der ikke har særskilt infrastruktur, vil der ikke være ret store besparelser ved at lade enkelte dele/fagområder være omfattet af kravene i NIS2.
Temaet i dette magasin er om de kommunale fællesskaber, som KL og Finansministeriet er enige om skal analyseres for at kortlægge potentialet for administrative besparelser.
Det glæder mig at se, at de kommunale fællesskaber alle har sat samarbejdet om NIS2 højt på deres dagsorden, fordi det giver god mening at samarbejde om.
Med hensyn til den stramme tidsplan for NIS2, der arbejder med en deadline den 1. marts 2025. Jeg ved ikke helt, hvad det er, vi skal leve op til. Det er en ordentlig mundfuld at skulle implementere, når vi ikke kender indholdet.