Sådan implementerer kommunerne NIS2: Her er drejebogen for kommunernes cyber-forsvar

Med de daglige voldsomme digitale angreb på tværs af Danmarks kritiske infrastruktur og digitale løsninger er også kommunerne udsatte. Kommunerne er da også fuldt omfattet af den danske NIS2-lov, der gennemfører EU’s NIS2-direktiv om øget cybersikkerhed. Kommunerne får et markant større ansvar for cybersikkerhed. KL har nu lanceret en NIS2-drejebog, som kommunerne kan finde anbefalinger og redskaber i, fortæller Marianne Just Mortensen, chefkonsulent i KL.

Af Peder Bjerge
Mand i tshirt

Forestil dig, at et cyberangreb gør det umuligt at se, hvilken medicin de ældre på kommunens plejehjem skal have. Eller at hjemmesygeplejersken ikke kan få sin plan for, hvilke ældre hun skal besøge. Den slags er ikke umuligt, hvis de it-kriminelle eller andre med onde hensigter får held med et angreb.
”Det danske samfund står over for alvorlige cybertrusler. Nedbrud og cyberangreb på den kritiske infrastruktur kan have store samfundsmæssige konsekvenser og påvirke os alle sammen.”

EU: endnu flere trusler

Så kort og kontant lyder de første linjer i den sidste nye analyse af den digitale sikkerhed i Danmark fra Styrelsen for Samfundssikkerhed. Truslerne fra både it-kriminelle og digitale spioner er ”meget høj.” Hver eneste dag, døgnet rundt, rammer angrebene, viser andre analyser. 
”I EU har landene konkluderet, at tiderne blev endnu mere usikre: Der var endnu flere trusler, så vi havde brug for at løfte sikkerhedsniveauet på udvalgte sektorer, der var samfundskritiske,” siger Marianne Just Mortensen, chefkonsulent i KL.
En del af EU’s svar er det såkaldte NIS2-direktiv, Net- og Informationssikkerhedsdirektivet 2, der trådte i kraft i 2023 i EU. Og i KL har Marianne J. Mortensen sammen med sine kolleger siden den danske lov om dette blev vedtaget i juli 2025 og de nationale vejledninger blev lanceret arbejdet med at levere en drejebog til, hvor kommunerne konkret kan løfte ansvaret med at sikre sig tilstrækkeligt digitalt. Nu er den klar, og kommunerne kan finde den og de mange redskaber her: drejebog
”I selve EU-direktivet står der ikke direkte, at kommunerne er omfattet, men vi i KL har fra start af sagt, at det er supervigtigt, at kommunerne blev omfattet, og at kommunerne bliver rustet til at klare opgaverne. Cyberangreb er en del af vores virkelighed, som vi er nødt til at være klar til at håndtere,” siger hun.

Vi havde brug for at løfte sikkerhedsniveauet på udvalgte sektorer, der var samfundskritiske.

Marianne Just Mortensen, KL

Travlt på den gode måde

Allan Eriksen, it-sikkerhedskonsulent i Lollands Kommune, var med i arbejdet med den del af drejebogen, der vedrører risikovurdering af f.eks. driften. Han beskriver forløbet som meget kort, men struktureret.
”Vi havde travlt, men vi kom rigtig godt rundt, hvor vi fik diskuteret forskellige tilgange til at håndtere risikovurdering. Og vi kom frem til en række praktiske værktøjer, som vores kolleger i kommunerne kan bruge i deres hverdag,” siger han.
Grundlæggende handler det om at definere de samfundskritiske arbejdsgange, og ud fra det kortlægge, hvilke it-systemer der blev anvendt til det formål. Her er det en fordel, understreger Allan Eriksen, at kommunerne i forvejen har stor erfaring med den type risikovurderinger.
”Så det er ikke fordi, vi begynder med en blank side. Nu bliver der bare lagt lidt mere oven på,” siger han. Marianne J. Mortensen understreger, at cyberangreb i værste fald kan have meget alvorlige konsekvenser for kommunerne og de helt almindelige mennesker, der bor der.
”Samtidig skal vi have blik for, at angrebene kan sprede sig på tværs af systemer,” siger hun.
Selv om kommunerne ikke er forpligtet til at anvende drejebogen fra KL eller NIS2-vejledningerne fra Styrelsen for Samfundssikkerhed, håber hun, at mange vil gøre brug af det.
”Udarbejdelsen af NIS2-drejebogen til kommunerne er en opgave KL har gennemført som indsats under kommunernes fælles digitaliseringsprogram. Vi kunne se, at det var en betydelig opgave for den enkelte kommune at overskue, så kommunerne efterspurgte fælles redskaber,” fortæller hun.
Det betyder, at du ikke nødvendigvis kan direkte læse af reglerne, at du skal gøre præcist sådan her, og hvordan man konkret gør det i sin egen organisation og hverdag,” siger hun. Men det kan den enkelte kommune til gengæld får hjælp til ved at bruge drejebogen fra KL, lyder hendes budskab.

Håber mange vil bruge drejebogen

Ifølge Marianne J. Mortensen er formålet netop at give kommunerne et overblik og metoder til at løse opgaverne, som NIS2-reglerne pålægger dem.
”Det er vigtigt at gøre sig klart, at NIS2 er risikobaseret. Det betyder, at mange af NIS2’s krav skal udføres på det, som bliver betegnet som et passende niveau i forhold til et bestemt risikoniveau. Som kommune kræver det, at man har det fornødne overblik over bestemte risici. Samtidig skal du kunne bruge det overblik til at sikre, at dine leverandører også har styr på deres risikoprofil,” siger Marianne J. Mortensen.
Henrik Brix, formand for KITA, er meget tilfreds med resultatet: ”Det er nogle meget brugbare vejledninger der nu ligger klar. De er meget konkrete og handlingsvisende. Der er meget vi bare kan tage ned og bruge. Jeg håber at rigtig mange kommuner vil benytte sig af muligheden. Det vil også gøre kommunerne lettere vil kunne samarbejde.”

NIS2-drejebogen meget kort fortalt

Drejebogen er opdelt i fire dele med anbefalinger og konkrete redskaber med eksempler:

  • Ledelsesansvar: topledelsen bl.a. ansvarlig for at NIS2 efterleves og indsatserne gennemføres på passende niveau.
  • Risikovurdering: I NIS2 er risikovurdering ift. samfundskritikalitet og driftsstabilitet et bærende element.
  • Forsyningssikkerhed: kommuner er ansvarlige for at sikre, at deres direkte leverandører og tjenester og it-systemer lever op til det sikkerhedsniveau enheden fastlægger.
  • Hændelsesorientering: I NIS2 er det centralt, at omfattede enheder effektivt indberetter kritiske hændelser samt håndterer hændelserne på passende vis.

Du kan læse meget mere om emnet her.

Læs også

kvinde i blaser

KOMBIT: massivt DDOS-angreb afværget med open source

KOMBIT’s brug af open source platformen MatterMost var afgørende i forsvaret mod et omfattende russisk DDoS-angreb på danske kommuner op til kommunevalget sidste år. Over platformen blev tidskritiske informationer pushet ud til kommunerne, så de var klar, når angrebene ramte. MatterMost betød, at kommunerne og deres leverandører hurtigt og effektivt kunne lukke for angrebene, fortæller KOMBIT-direktør Johanne Strabo Svendsen. Selv om MatterMost i dag er standarden for krisekommunikation, er DKCERT dog i færd med at afklare sine behov i forhold til en fremtidig kommunikationsplatform.

Hvad laver den kommunale IT-chef, når jobbet stopper?

Jobbet som kommunal IT-chef kan være en stor, næsten altopslugende del af livet. Man går til jobbet med passion og intentioner om at gøre en forskel for medarbejdere og kommunen. Det er der, man har sit netværk, og der er stærke relationer på tværs af kommunegrænser. Det er en del af ens identitet.
Men hvad sker der så den dag man stopper? Det er vi nogle eks-IT-chefer og tidligere KITA-medlemmer, som underholder hinanden med et par gange om året.

Download