NIS2 skal løfte EU & Danmarks cybersikkerhed, men hvad med kommunerne?
Snart skal mange samfundskritiske organisationer overholde strengere EU-krav til deres cybersikkerhed. Trods at kommunerne besidder følsomme borgerdata er der ikke krav til, at de skal leve op til NIS2 kravene, hvilket kan have store konsekvenser.
D. 11 September havde Dansk IT's udvalg for cybersikkerhed et debatindlæg i Jyllands-Posten, som du kan læse linket her. Herunder er et sammendrag af pointerne fra Tine Tuxen Løvstrand, Sarah Aalborg & Thomas Kristmar.
Medlemslandene må selv bestemme, om "local government" skal leve op til direktivets krav eller ej. I Danmark lagde Forsvarsministeriets lovforslag d. 5. juli op til, at kommunerne ikke skal omfattes af den kommende NIS2-lovgivning, og derfor ikke behøver at leve op til kravene.
Beskyttelsen af kommunale borgerdata er dermed stadig op til hver enkelt kommune. Det er ikke utænkeligt at mange kommuner derfor ikke kommer til at leve op til NIS2 kravene, eftersom mange kommuner efter eget udsagn allerede kæmper en håbløs, underfinansieret kamp mod cybertrusler i rivende udvikling.
1. Kommunerne skal indgå som en del af det danske cyberforsvar
2. Folketinget skal sikre de nødvendige økonomiske og politiske prioriteringer, så landets samlede cyberforsvar bliver styrket.
3. Kommunerne skal efterleve minimumskrav for cybertrusler, der er med til at sikre høj sikkerhed i et digitalt tæt koblet Danmark.
4. Kommunerne skal håndtere cyberindsatsen i fællesskab – også med stat, regionerne og private aktører.
5. Der skal sikres de nødvendige kompetencer til den kommunale opgaveløsning med cyber- og informationssikkerhed.
Det er svært at afgøre, hvem der har ansvaret for beslutningen. Er det staten, da de valgte ikke at omfatte komunnerne i NIS2? Eller er det de enkelte kommuner der ikke lever op til kravene - måske fordi de ikke har ressourcerne?
Ved at udelade kommunerne kan diskussionen af ressourcer og hvem-skal-nu-betale fortsætte på ubestemt tid, mens risikoen for, at følsomme borgerdata bliver stjålet eller ødelagt, vokser og vokser.
NIS2 bedre cybersikkerhed med en kattelem
EU's NIS2-direktiv skal løfte medlemslandenes cybersikkerhed til et langt højere niveau på langt kortere tid, end de ellers ville have gjort. Et positivt tiltag, der fremmer vigtigheden af cybersecurity. Der er bare et lille problem.Medlemslandene må selv bestemme, om "local government" skal leve op til direktivets krav eller ej. I Danmark lagde Forsvarsministeriets lovforslag d. 5. juli op til, at kommunerne ikke skal omfattes af den kommende NIS2-lovgivning, og derfor ikke behøver at leve op til kravene.
Beskyttelsen af kommunale borgerdata er dermed stadig op til hver enkelt kommune. Det er ikke utænkeligt at mange kommuner derfor ikke kommer til at leve op til NIS2 kravene, eftersom mange kommuner efter eget udsagn allerede kæmper en håbløs, underfinansieret kamp mod cybertrusler i rivende udvikling.
KL's anbefalinger
Beslutningen kan have store konsekvenser ikke kun for kommunerne og déts borgere, der risikere at få data stjålet eller ødelagt, men også for det bredere danske cyberforsvar; det offentlige er bundet sammen digitalt, og det svageste led kan nemlig hurtigt blive bagdøren ind. Derfor anbefalede KL sidste år at:1. Kommunerne skal indgå som en del af det danske cyberforsvar
2. Folketinget skal sikre de nødvendige økonomiske og politiske prioriteringer, så landets samlede cyberforsvar bliver styrket.
3. Kommunerne skal efterleve minimumskrav for cybertrusler, der er med til at sikre høj sikkerhed i et digitalt tæt koblet Danmark.
4. Kommunerne skal håndtere cyberindsatsen i fællesskab – også med stat, regionerne og private aktører.
5. Der skal sikres de nødvendige kompetencer til den kommunale opgaveløsning med cyber- og informationssikkerhed.
Hvem tager ansvar?
Udeladelsen af kommunerne i dansk NIS2-lovgivning repræsenterer en markant risikovurdering: Vi kan godt leve med, at følsomme borgerdata i kommunerne ikke beskyttes på NIS2-niveau. Enten fordi risikoen for- eller konsekvenserne af et cyberangreb på kommunerne vurderes som lille versus omkostningerne af at udrulle NIS2 på kommunalplan.Det er svært at afgøre, hvem der har ansvaret for beslutningen. Er det staten, da de valgte ikke at omfatte komunnerne i NIS2? Eller er det de enkelte kommuner der ikke lever op til kravene - måske fordi de ikke har ressourcerne?
Ved at udelade kommunerne kan diskussionen af ressourcer og hvem-skal-nu-betale fortsætte på ubestemt tid, mens risikoen for, at følsomme borgerdata bliver stjålet eller ødelagt, vokser og vokser.