Henrik Brix • 29 februar 2024

Revisionsbyrden og cyberværn ruller ind over it-afdelinger

Digitaliseringen er med til at løse opgaver lettere og smartere for ansatte i kommuner og regioner. Flere og flere rutineopgaver løses automatiseret. Om få dage sidder folk i kø digitalt for at afklare om de skal have penge tilbage i Skat eller om det er omvendt. Vi går i banken ved hjælp af MitID, får pas og kørekort i kommunen og søger om hjælp fra det offentlige til langt det meste. Vi er et af verdens mest digitaliserede samfund. Så langt så godt.


Men som en afledt effekt af digitaliseringen vælter administrative opgaver og sikkerhedsmæssige opgaver ind udefra. Vores IT-afdelinger bruger stadig mere tid på at leve op til krav fra eksterne IT-revisioner, der i dramatisk grad er taget til i omfang. Meget af det materiale revisionerne kræver, burde kunne genbruges og revisionerne burde koordineres bedre, siger en række IT-chefer, der opfordrer KL og Digitaliseringsstyrelsen til at starte en forenklingsproces af NSIS-revision. I alt er der fire større IT-revisioner. Mere kommer til fremover, som i bund og grund er en konsekvens af digital udvikling og beskyttelse af identiteter og data.
Selv om det er helt klart, at der skal være orden i det kommunale hus, og at vi skal revideres efter internationale revisionsstandarder, er vi også nået til et punkt, hvor vi spørger, hvornår er nok nok? Vi slår alarm. Det er vigtigt, at reglerne ikke overimplementeres eller overgøres. Tidsforbruget i de kommunale IT-afdelinger til revision er gået over gevind. Er øget revision virkelig den bedste måde at øge sikkerheden på? Kunne nogle af ressourcerne være bedre brugt på mere operationel sikkerhed?
KL mener, i lighed med KITA, “At NSIS-revisionen, der sker årligt, er unødvendig. “En årsberetning hvert andet år på NSIS burde være nok” siger KL.
KL og Digitaliseringsstyrelsen siger begge, at de vil i dialog om NSIS- revisionen med henblik på at evaluere forløbet i kommunerne. Et af kritikpunkterne fra de kommunale IT-chefer går på, at opgaven om NSIS-revision varierer alt efter, hvilket revisionsfirma, der løser opgaven for kommunen.
To større revisionsfirmaer er blevet tilbudt interview i dette magasin, for at give deres version på NSIS-revision og IT-revision i al almindelighed. Men har begge takket nej.  


Cyberværnet
Et andet tema i denne udgave er cyberværnet. KL og en lang række kommuner foreslår, at alle 98 kommuner går sammen om et fælleskommunalt cyberværn, og at KOMBIT kommer ind og får en væsentlig rolle på cyber- og sikkerhedsområdet. Det bakker jeg helt op om på foreningens vegne. Dels mener jeg, det er oplagt at kommunerne samarbejder så meget som muligt på cybersikkerhedsområdet, for at få så meget sikkerhed for pengene som muligt. Dels kan jeg ikke se et bedre sted at lægge opgaven. KOMBIT har stor og god erfaring med at facilitere og levere it-ydelser til alle 98 kommuner. Det skal afklares, hvordan snitfladen mellem kommunerne, KOMBIT og andre aktører så skal være.

Og tæt på deadline har Folketinget set sig nødsaget til at udskyde lovgrundlaget for NIS2 til næste Folketingssamling, som starter i oktober 2024. Det betyder, at såvel høring som implementering bliver udskudt. Det vides ikke i skrivende stund til hvornår.