Ministerium afviser kritik af NIS2-planer for kommunerne
Det er af hensyn til danske virksomheders konkurrencedygtighed, at regeringen lægger op til ikke at omfatte kommunerne i det såkaldte NIS2-direktiv om cybersikkerhed, lyder det fra Ministeriet for Samfundssikkerhed og Beredskab. Helt ubegribeligt, siger KL-udvalgsformand.
Foto: Colourbox
Det har mødt massiv kritik, at regeringen har lagt op til en minimumsimplementering af det såkaldte NIS2-direktiv om cybersikkerhed fra EU. Det betyder nemlig, at kommunerne ikke tænkes ind i det samlede cyberforsvar, men at der i stedet er lagt op til en sektoropdelt implementering, hvor nogle af kommunernes opgaver kan blive omfattet af kravene i direktivet.
Men minimumsimplementeringen sker af andre hensyn, oplyser Ministeriet for Samfundssikkerhed og Beredskab i et svar til Danske Kommuner.
– Danmark er et af de mest digitaliserede lande i verden, og det er vigtigt at have fokus på cybersikkerhed. I Danmark har vi besluttet at minimumsimplementere NIS 2-direktivet blandt andet af hensyn til danske virksomheders konkurrencedygtighed, skriver ministeriet i et skriftligt svar og fortsætter:
– Det betyder, at kommunerne vil være omfattet af direktivet, hvis de varetager opgaver inden for en af de sektorer, som er omfattet af direktivets anvendelsesområde. Der er dog ikke noget til hinder for, at kommunerne frivilligt lever op til NIS 2-direktivet på hele det kommunale opgaveområde.
Danske Kommuner har stillet disse spørgsmål til Ministeriet for Samfundssikkerhed og Beredskab:
1. Regeringen har lagt op til, at kommunerne ikke som myndigheder skal omfattes af NIS2-direktivet. Hvad skyldes det? Hvorfor lægger regeringen op til en sektoropdelt implementering?
2. KL har kritiseret, at kommunerne ikke bliver en del af et fælles nationalt cyberforsvar. De frygter, at kommunerne bliver bagdøren ind til det offentlige. Hvad mener ministeren om den kritik?
3. KL mener desuden, at der lægges op til en minimumsimplementering og kritiserer, at man ikke fra nationalt hold har vurderet, hvilket niveau af cybersikkerhed der er nødvendigt, og hvordan det sikres inden for direktivet. Hvorfor har man ikke lavet en sådan vurdering?
4. Får kommunerne i dag tilstrækkelig hjælp og vejledning til, hvordan de bedst sikrer sig mod cyberangreb?
5. Center for Cybersikkerhed har hævet trusselsniveauet og i sin årlige vurdering, som netop er udkommet, talt for, at det er nu, den basale cybersikkerhed skal på plads. Anerkender ministeren, at kommunerne er mere udsatte end tidligere i forhold til cyberangreb på grund af den udenrigspolitiske situation? Hvordan skal kommunerne forholde sig til det?
Efterlader åbne flanker
NIS2-direktivet skal sikre et højt fælles cybersikkerhedsniveau i hele EU, men det er op til de enkelte medlemslande at tilrettelægge gennemførelsen af direktivet.
I et høringssvar har KL tidligere hældt regeringens cybersikkerhedsplaner ned ad brættet og argumenteret for, hvorfor kommunerne bør omfattes på lige fod med øvrige myndigheder. Og formand for KL’s arbejdsmarkeds- og borgerserviceudvalg Peter Rahbæk Juel (S) er ikke imponeret over ministeriets argumentation.
– Ministeriet siger det jo selv: Danmark er et af de mest digitalisererede lande i verden, og det er vigtigt at have fokus på cybersikkerhed. Derfor er det mig ubegribeligt, at man ikke fra regeringens side er villig til netop at gøre dét. For med den minimumsimplementering, der er lagt op til fra regeringens side, opnår vi ikke en højere cybersikkerhed. Tværtimod efterlader vi store, åbne flanker i en tid, hvor opgaverne tæt på borgerne står til at blive mål for en hybridkrig, fordi kommunerne bliver bagindgangen for hackere, siger Peter Rahbæk Juel og fortsætter:
– I kommunerne løser vi jo opgaverne på tværs af alle mulige lovgivende sektorer – fordi man som borger jo ikke kun hører til ét sted i kommunen. Hvis cybersikkerheden skal håndteres i hver enkelt sektor, kommer vi til at skulle navigere i et uoverskueligt landskab af forskellige standarder og forskellige tilsynsmyndigheder. Og alle de opgaver, der er under kommunerne, vil ikke blive dækket.
Samfundssikkerhed på spil
I slutningen af september offentliggjorde Center for Cybersikkerhed sin årlige trusselsvurdering. Centret vurderer, at truslen fra cyberspionage, cyberkriminalitet og cyberaktivisme er meget høj. I juni hævede Center for Cybersikkerhed trusselsniveauet fra destruktive cyberangreb fra lav til middel, og derfor bør Danmark også have et nationalt cyberforsvar, påpeger Peter Rahbæk Juel.
– Regeringen er nødt til at træde i karakter og sikre en ordentligt sikkerhed – ikke kun i forhold til krudt og kugler, men også i forhold til cyber, som jo er dér, hvor den reelle trussel er lige nu. Det er ikke, om Rusland vælter ind over grænsen. Det er, at de lægger vores digitale infrastruktur ned – vores elnet, vandforsyning og dermed vores skoler, plejehjem, vores hverdag. Lige som man jo næppe vil overlade det til hver enkelt kommune at forsvare sine egne grænser, hvis vi bliver invaderet, så skal vi jo heller ikke have 98 forskellige cyberforsvar. Der ér derfor ingen tvivl om, at vi har brug for et nationalt cyberforsvar, som også inkluderer kommunerne. Og jeg forstår ikke, at regeringen gør så lidt for dét, siger han.
Nyheder fra Danske Kommuner
Få de bedste historier fra det kommunale Danmark direkte i din indbakke.
Ministeriet oplyser, at ”det er afgørende, at der sikres en så god proces som muligt for det videre arbejde med implementering af NIS2-direktivet.
– Derfor etablerer Ministeriet for Samfundssikkerhed og Beredskab en NIS2-taskforce, der blandt andet får til opgave at sikre en bred inddragelse af myndigheder, virksomheder og brancheorganisationer og tillige påser udarbejdelse af relevante vejledninger parallelt med færdiggørelse og behandling af lovforslaget. Taskforcen vil gå i dialog med blandt andre KL om det videre arbejde, lyder det.
KL håber dog på, at dialog kan få regeringen til helt at genoverveje implementeringen.
– Vi vil rigtig gerne i reel dialog med regeringen om indholdet og de konsekvenser, vi ser denne minimumsimplementering. Jeg håber, at regeringen vil genoverveje dens første udmeldinger i lyset af, at der nu er skabt et ministerium med ansvar for samfundssikkerhed – det burde også afspejle sig i denne sag, hvor vores samlede samfundssikkerhed er alvorligt på spil, siger Peter Rahbæk Juel.
