.jpeg)
Kommunerne bliver alligevel fuldt omfattet af NIS2. Sådan lød det den 6. Februar 2025, da Ministeriet for Samfundssikkerhed og Beredskab fremsatte deres lovforslag for udmøntningen af cybersikkerheds direktivet NIS2 i Danmark.
“Det er Ministeriet for Samfundssikkerhed og Beredskabs vurdering, at virksomheder og myndigheder vil være omfattet af NIS 2-reglerne i sin helhed, hvis bare nogle af deres aktiviteter er omfattet af en kritisk sektor. Det vil derfor også gælde for kommunerne, fordi de løser opgaver inden for kritiske sektorer såsom sundhed,” fortæller Ministeriet til Version 2.
Indtil da har der ellers været lagt op til, at kommunerne kun skulle være delvist omfattet med deres aktiviteter inden for eksempelvis sundheds- og vandsektoren. Det har dog vakt kritik hos kommunerne, som ikke mener, at man har taget deres it-sikkerhed, og dermed borgerne, alvorligt.
Kommunernes it-infrastruktur er nemlig så integreret, at det i praksis ikke giver mening kun at løfte sikkerheden for dele af det. Derfor er man i KOMBIT også begejstret for, at kommunerne nu er blevet fuldt omfattet. Som Kristian Vengsgaard, adm. direktør understreger i en artikel på deres hjemmeside:
"Hvis kommunerne bliver ramt af et cyberangreb, er det vores velfærd, der er under angreb, og dermed tilliden til hele vores samfundsmodel, der kan blive udfordret".
Også hos Kommunernes Landsforening (KL) vækker det glæde, at man alligevel kommer med i puljen på linje med andet kritisk infrastruktur.
“Vi er glade for, at beredskabsministeren har besluttet, at kommunerne skal omfattes fuldt af NIS2. Det er et stort skridt, og jeg ser frem til at gå i dialog med ministeren om den konkrete udmøntning af lovforslaget,” siger Steen Christiansen (S), formand for KL’s arbejdsmarkeds- og borgerserviceudvalg til Danske Kommuner.
En større opgave står foran kommunerne
Beslutningen kommer dog ikke uden nye udfordringer for kommunerne, hvis man spørger Emil Bisgaard, partner og advokat hos Kammeradvokaten.
“Hvis man har 100 it-systemer, så er det måske kun 50 af dem, der er nødvendige for NIS2-aktiviteten, og så bruger man de 50 andre systemer til mere interne forhold såsom løn, e-mails og booking firmabiler eller mødelokaler. Med lovforslaget fra februar får vi den forståelse, at alle systemer er omfattet. Men hvis man har planlagt sit NIS2-arbejdet efter at kun en delmængde systemer er omfattet, så er opgaven nu blevet større. Det kan give et behov for replanlægning af arbejdet frem mod, at NIS2-reglerne træder i kraft 1. juli 2025,” som han siger til Version 2.
Ressourcer til cybersikkerhedsarbejdet er dog ikke det der er mest af rundt om i de danske kommuner. Ihvertfald ikke hvis man kigger til en rundspørge foretaget blandt 75 kommunale it-chefer i december 2024. Her svarer 97%, at cybertruslen er langt større end kommunens ressourcer.
“Når vi skal beskytte os mod angreb, så kræver det både andre it-systemer og flere hænder til at overvåge vores systemer, så vi kan se, hvor angrebet rettes mod. Men vi har den samme bemanding i dag, som vi havde for fem år siden,” fortæller it- og digitaliseringschef Poul Venø fra Herning Kommune i forbindelse med undersøgelsen.
Et større arbejde står foran landets kommuner, men borgerne kan se frem til, at deres sikkerhed er blevet prioriteret af de nationalt gældende rammer.
Vi følger udviklingen i NIS2 tæt og holder løbende webinarer om emnet.
Kommune compliance
Wired Relations er skabt til at imødekomme danske kommuners behov for databeskyttelse og informationssikkerhed.
