Ny lov om cybersikkerhed:
NIS2 kræver ressourcer, der ikke hænger på træerne
Der gik et lettelsens suk gennem samtlige kommunale it-afdelinger, da regeringen 6. februar meddelte, at den alligevel havde valgt at omfatte kommunerne af de nye it-sikkerhedsregler fra EU - bedre kendt som NIS2.
Tidligere havde det ellers lydt, at kommunerne kun skulle omfattes delvist. Men efter en kovending blæste der altså andre teknologiske vinde i ministeriet for samfundssikkerhed og beredskab - til stor begejstring for blandt andet KL, der ad flere omgange har kritiseret, at kommunerne ikke var indtænkt i det samlede cyberforsvar.
Og det er da også særdeles godt nyt for kommunerne, lyder det fra en af landets førende forskere indenfor cybersikkerhed, professor Jens Myrup Pedersen fra Aalborg Universitet, som DK Nyt har talt med for at komme det nye direktiv for net- og informationssikkerhed og dets betydning for kommunerne nærmere.
- Faktisk er det godt nyt for os alle sammen, siger Jens Myrup Pedersen til DK Nyt og uddyber:
- At kommunerne bliver løftet i forbindelse med cybersikkerhed betyder nemlig, at de bliver bedre til at beskytte vores alle sammens data, og det er ikke mindst vigtigt for hele tilliden til vores digitale samfund. Det betyder med andre ord, at vi er godt beskyttet mod cyberangreb og selv bestemmer over vores IT-systemer. Det er ikke folk fra andre lande, der kan skrue op og ned for vandtrykket.
Et udfordret kommunalt landskab
Formentlig er det ikke tilfældigt, at det er netop vandsektoren, professoren hiver frem som eksempel. Tilbage i januar udkom Center for Cybersikkerhed nemlig med en ny trusselsvurdering for vandsektoren: Truslen for cyberkriminalitet mod vandværker er vurderet som meget høj, lød den.
Og vandsektoren er ikke den eneste, der er udfordret. I en Momentum-undersøgelse fra december svarer 97 procent af landets kommunale it-chefer, at cybertruslen er større end kommunernes ressourcer.
Men med den nye lov ser kommunen ind i en ny virkelighed med et højnet sikkerhedsniveau - og det kan komme til at have en afgørende betydning for kommunernes cybersikkerhed, vurderer professoren.
- Nu er cybersikkerhed ikke længere en prioritering, som man gerne vil lave i kommunerne, men en prioritering, man skal lave, siger Jens Myrup Pedersen.
Han håber, at kommunerne vil have særligt to ting for øje undervejs i implementeringsprocessen.
- Først og fremmest håber jeg, at kommunerne sørger for at være i dialog med brugeren af systemet, så det ikke bliver en kamp mellem brugervenlighed og brugersikkerhed. Vi skal hjælpe hinanden med at finde de rigtige balancer, siger Jens Myrup Pedersen og fortsætter:
- Dernæst håber jeg, at man - selvom det formentlig bliver lidt mere besværligt - husker på, at vi gør det for at beskytte vores alle sammens data.
NIS2
- NIS2 er den almindelige betegnelse for EU-direktiv (EU) 2022/2555, som fastlægger foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i EU.
- NIS2-direktivet bygger ovenpå og ophæver tidligere EU-direktivet om sikkerhed i net- og informationssystemer (NIS1-direktivet).
- Formålet med NIS2-direktivet er at yderligere styrke og ensarte cybersikkerheden og modstandsdygtigheden overfor cybertrusler på tværs af EU for virksomheder inden for en lang række sektorer og for offentlige myndigheder, som anses for at være kritiske for økonomien og samfundet.
- Med NIS2 indføres en række nye krav til omfattede virksomheder og myndigheder. NIS2 stiller bl.a. krav om gennemførelse af cybersikkerhedsforanstaltninger, hændelsesrapportering samt giver styrkede tilsyns- og håndhævelsesbeføjelser.
Kilde: Center for Cybersikkerhed
NIS2 - en stor mundfuld
Men da den nye lovgivning allerede træder i kraft 1. juli, kommer kommunerne nok næppe til at overholde alle krav inden deadline, lyder vurderingen.
- Juli er lige om hjørnet. Det bliver en proces i kommunerne og i det private at blive klar til at overholde NIS2-direktivet, og min vurdering er, at det kræver mere tid, siger Jens Myrup Pedersen.
Formentlig er det heller ikke en opgave, som kommunerne kan løse alene - og helt gratis bliver det heller ikke. Af lovforslaget til den nye cybersikkerhedslovgivning fremgår det, at beredskabsministeriet “med betydelig usikkerhed” estimerer, at det årligt vil koste kommunerne 95-280 mio. kr. at leve op til de nye krav.
Jens Myrup Pedersen vil nødig spå om fremtiden og medgiver, at det kan være svært at danne sig et overblik over udgifterne uden et centralt overblik.
- NIS2 er en meget stor opgave, og jeg er sikker på, at kommunerne kommer til at have brug for flere ressourcer, end de har i dag. Og det er ikke ligefrem nogle mennesker, der hænger på træerne, siger han.
Men det kan - håber professoren - komme til at betyde, at kommunerne også prioriterer at opkvalificere nogle deres it-ansatte og på den måde bidrager til at løse en anden aktuel problemstilling i samfundet.
Tekst, grafik, billeder, lyd og andet indhold på dette website er beskyttet efter lov om ophavsret. DK Medier forbeholder sig alle rettigheder til indholdet, herunder retten til at udnytte indholdet med henblik på tekst- og datamining, jf. ophavsretslovens § 11 b og DSM-direktivets artikel 4.
Kunder med IP-aftale/Storkundeaftaler må kun dele DK Indkøbs artikler internt til brug for behandling af konkrete sager. Ved deling af konkrete sager forstås journalisering, arkivering eller lignende.
Kunder med personligt abonnement/login må ikke dele DK Indkøbs artikler med personer, der ikke selv har et personligt abonnement på DK Indkøb.
Afvigelse af ovenstående kræver skriftlig tilsagn fra det pågældende medie.
