Ny lovgivning skal løfte Danmarks cybersikkerhed, men kommunerne udelades – hvem tager ansvaret?
Snart skal mange samfundskritiske organisationer overholde strengere EU-krav til deres cybersikkerhed (NIS2). Men ikke kommunerne, selvom de gemmer masser af følsomme borgerdata. Hvem tager ansvaret?
Dette er et debatindlæg: Indlægget er udtryk for skribentens holdning. Alle holdninger, som kan udtrykkes inden for straffelovens og presseetikkens rammer, er velkomne, og du kan også sende os din mening her.
Den 5. juli sendte Forsvarsministeriet et nyt lovforslag i høring. Det sker som et led i at implementere EU’s skrappe NIS2-direktiv om cybersikkerhed i dansk lovgivning. Men direktivet har en kattelem: Medlemslandene må selv bestemme, om local government skal leve op til direktivets krav eller ej.
Det benytter Forsvarsministeriet sig af, da lovforslaget lægger op til, at kommunerne ikke skal omfattes af den kommende NIS2-lovgivning. Det vil sige, at beskyttelsen af kommunale borgerdata stadig er op til hver enkelt kommune. Til trods for at det er et område, hvor mange kommuner efter eget udsagn kæmper en håbløs, underfinansieret kamp mod cybertrusler i rivende udvikling – se f.eks. denne aktuelle historie fra TV2 Fyn.
Rygraden i enhver fornuftig cybersikkerhedsstrategi er at foretage en skarp risikovurdering. Hvilke risici kan vi leve med, og hvilke kan vi ikke leve med? Nogle risici er uacceptable og skal derfor reduceres eller helt fjernes. Andre kan nedprioriteres af ressourcemæssige hensyn – og hvem der tager ansvaret for de beslutninger, bør stå lysende klart.
Udeladelsen af kommunerne i dansk NIS2-lovgivning repræsenterer således en markant risikovurdering: Vi kan godt leve med, at følsomme borgerdata i kommunerne ikke beskyttes på NIS2-niveau.
Fra Dansk IT’s side vil vi derfor rejse spørgsmålet: Er der nogen, der tager ansvar for den beslutning? Eller triller den bare rundt som endnu et stridens æble i de evige økonomiske tovtrækkerier mellem staten og kommunerne? Hvis ja, så svarer det til at lade borgerne i stikken, mens cyberangrebene brager løs omkring dem.
Sidste år udgav KL et udspil til ét samlet cyberforsvar med opsummering i disse fem punkter:
1. Kommunerne skal indgå som en del af det danske cyberforsvar. Det offentlige er bundet sammen digitalt, og det svageste led kan hurtigt blive bagdøren ind.
2. Folketinget skal sikre de nødvendige økonomiske og politiske prioriteringer, så landets samlede cyberforsvar bliver styrket.
3. Kommunerne skal efterleve minimumskrav for cybertrusler, der er med til at sikre høj sikkerhed i et digitalt tæt koblet Danmark.
4. Kommunerne skal håndtere cyberindsatsen i fællesskab – også med stat, regionerne og private aktører.
5. Der skal sikres de nødvendige kompetencer til den kommunale opgaveløsning med cyber- og informationssikkerhed.
Kritikere vil måske hævde, at det blot er en ny måde at bede staten om flere penge på. Og hvordan harmonerer dette i øvrigt med kommunalt selvstyre? Og kan kommunerne så ikke bare lave en fælleskommunal cybersikkerhedsløsning i stedet for at løbe staten på dørene?
Vores pointe her er ikke at tage et standpunkt i den diskussion. Vores pointe er, at den aktuelle udeladelse af kommunerne i dansk NIS2-lovgivning kan få alvorlige konsekvenser for mange danske borgere.
NIS2-direktivet blev sat i verden for at give medlemslandenes mest samfundskritiske organisationer en stol for døren. Det skal tvinge dem til at løfte deres cybersikkerhed til et langt højere niveau på langt kortere tid, end de ellers ville have gjort.
Ved at udelade kommunerne kan diskussionen af ressourcer og hvem-skal-nu-betale fortsætte på ubestemt tid, mens risikoen for, at følsomme borgerdata bliver stjålet eller ødelagt, bare vokser og vokser.
Hvem tager ansvaret, hvis (læs når) det går galt? Ingen, så vidt vi kan se.