Der er ikke noget, der er så skidt, at det ikke er godt for noget. Et noget uskønt, ukoordineret forløb fra Digitaliseringsstyrelsen om MitID Erhverv, har udskudt tidsfristen med fire måneder. Det er selvfølgelig skidt. Det er omvendt godt, at det åbner et rum for fire måneders ekstra tid til teknisk og organisatorisk implementering af NSIS, da MitID Erhverv er en forudsætning for at kunne tage NSIS i brug. Men et uskønt forløb, som kommunerne i samarbejde med KL og
Digitaliseringsstyrelsen er nødt til at tage ved lære af fremover.
I Magasinet KITA bliver der rejst solid og konstruktiv kritik af det meget høje interne ressourceforbrug til NSIS, som i nogen grad skyldes at opgaven fra start, ikke var klart defineret af Digitaliseringsstyrelsen med en tydelig og præcis kravliste. Usikkerheden om opgavens størrelse og opgavens indhold har kostet kommunerne voldsomt meget tid i internt timeforbrug og har givet revisionsfirmaer et lukrativt marked for revisionserklæringer af NSIS, som fremover er en årligt tilbagevendende begivenhed.
Men op til magasinets deadline kom Digitaliseringsstyrelsens udmelding om udskydelse af lukningen af NemID medarbejdersignatur, som er den nuværende løsning, når de kommunale ansatte kobler sig på en fællesoffenlig løsning for at få adgang til data. KL skrev straks efter udmeldingen, at “alle opfordres til at fastholde fokus på hurtigst muligt at gennemføre den tekniske implementering af MitId Erhverv”, så man ikke tager de fire måneders udskydelse som en opbremsning. Jeg kan kun stemme i. Det er afgørende vigtigt at kommunerne holder kadencen. En ting er den tekniske implementering med revisionsgodkendelse og efterfølgende godkendelse hos Digst. Men den organisato-
riske opgave kan nemt vise sig at være endnu større. Vi skal have mange tusinde kommunale it-brugere til at gøre noget andet end de plejer. Det tager tid og kræver meget kommunikation.
Det er helt afgørende, at vi lærer af forløbet, så vi bliver bedre til at håndtere den næste tvungne sikkerhedsopgave. Vi ved med ret stor sikkerhed, at der kommer flere lovgivninger fra EU om cybersikkerhed som NIS2. Både håndteringen af NIS2, som ikke er besluttet endnu, og samarbejdet med DCIS Sund, som vi tidligere har skrevet om, indeholder usikkerhedsfaktorer om finansiering.
Hvis kommunerne og regionerne bliver pålagt selv at finde midlerne til at finansiere cybersikkerheden, kan vi nemt risikere, at det skal tages fra velfærdsområderne eller fra den digitale sikkerhed i håndteringen af data. Der er ingen tvivl om, det koster en hel del penge at beskytte sig mod hackerne, som udgør en stadigt større trussel.
Jeg håber på, at regeringen indser vigtigheden af et ensartet og højere niveau for cybersikkerheden i kommunerne, og at der afsættes midler til området fra staten, f.eks. i de kommende forhandlinger om kommunernes økonomi i 2024. Det kan give god mening, da kommunerne er dem, der står forrest, når det offentlige leverer service og velfærd til borgerne.
Det bliver nogle ret spændende måneder.