Af Lili Marleen Moser

I Danmark hviler den offentlige digitalisering på en høj grad af tillid. Med NIS2-direktivet som ramme og loven som dansk virkelighed står arbejdet med NIS2 i kommunerne nu over for nye krav til cybersikkerhed, hændelsesrapportering og ledelsesansvar.

Tillid skal i stigende grad understøttes af en stærkere og ensartet sikkerhedskapacitet på tværs af de danske kommuner.

Implementeringen af NIS2 i kommunerne introducerer dog en række dilemmaer, som kræver mere end blot tekniske justeringer.

24-timers rapporteringskrav

En af de største praktiske udfordringer er den stramme tidslinje for hændelsesrapportering. Under NIS2 skal en indledende ‘tidlig advarsel’ indsendes senest 24 timer efter, at man er blevet bekendt med en væsentlig hændelse, en markant stramning i forhold til de 72 timer, man kender fra GDPR.

For en kommunal organisation rejser det et helt grundlæggende spørgsmål om beredskab uden for normal arbejdstid. Hvordan håndteres hændelser i weekender eller på helligdage?

Kravet kalder på en reel stillingtagen til døgnbemandet overvågning – enten internt eller via eksterne partnere – og dermed en væsentlig ressourcemæssig omstilling for organisationer, der traditionelt opererer inden for en standard arbejdsuge.

 

Forskelle i modenhed og implementering

Der er forskel på, hvor langt de enkelte kommuner er nået i deres arbejde med NIS2, hvilket skyldes deres udgangspunkt, før det blev endeligt fastslået, at den kommunale sektor var omfattet af NIS2-direktivet.

Mens nogle kommuner allerede havde arbejdet med lignende rammeværk, står andre over for en mere omfattende opgave med at lukke gabet mellem nuværende praksis og de nye lovkrav.

 

Prioritering af ressourcer: Sikkerhed over for kernevelfærd

En af de største udfordringer ved NIS2 er den politiske prioritering. I en kommunal kontekst med stramme budgetter skal investeringer i it-sikkerhed ofte holdes op imod borgerrettede indsatser som skolegang eller ældrepleje.

Det kan være vanskeligt at argumentere for øgede ressourcer til et ‘usynligt’ forsvar, hvor succeskriteriet er, at intet sker.

Ikke desto mindre er cybersikkerhed i dag en forudsætning for, at de borgerrettede tjenester overhovedet kan fungere. Det handler ikke kun om it, men om at sikre, at borgernes data behandles med en omhu, der afspejler den særlige forpligtelse, det offentlige har som dataansvarlig.

 

Skalering af det digitale forsvar gennem fælles drift

For at imødekomme de omfattende krav i NIS2 er der opstået et øget fokus på at skabe den nødvendige operative styrke og volumen i det digitale forsvar.

Som beskrevet i KL’s udspil om fremtidens it-organisering[1], peger udviklingen mod etableringen af større, fælleskommunale driftsenheder. Tanken er, at den enkelte kommune sjældent har ressourcerne til at mønstre den specialisering, som det moderne trusselsbillede kræver, på egen hånd.

Skiftet handler derfor ikke kun om teknisk optimering, men om en erkendelse af, at resilience i dag kræver en volumen, der bedst opnås gennem forpligtende samarbejde.

Ved at konsolidere driften kan kommunerne i større omfang flytte fokus fra den daglige vedligeholdelse til den strategiske opgave med at beskytte borgernes data og samfundets kritiske infrastruktur.

 

Silostrukturens kompleksitet

Kommunernes it-landskab er præget af en kompleks silostruktur. En kommune dækker alt fra teknisk forvaltning til sundhedsområdet, og det betyder et væld af forskellige fagsystemer, der ofte fungerer uafhængigt af hinanden.

NIS2 kræver imidlertid et mere holistisk overblik, hvilket udfordrer denne fragmentering.

Opgaven består i at skabe sammenhæng mellem de mange systemer uden nødvendigvis at udskifte allerede velfungerende løsninger. En mulig vej frem er teknologisk orkestrering, hvor man etablerer et samlet overvågningslag oven på de eksisterende siloer for at skabe ét fælles overblik.

 

Ledelsesansvar og organisatorisk forankring

Endelig indebærer NIS2 en vigtig forskydning af ansvaret. Ledelsesansvaret er nu eksplicit placeret hos den kommunale direktion.

Det betyder, at cybersikkerhed er rykket fra maskinrummet til beslutningsbordet. Opgaven er ikke længere kun teknisk, men i høj grad organisatorisk. Den kræver nye processer, løbende risikovurderinger og en kultur, hvor sikkerhed tænkes ind i alle dele af forvaltningen.

Målet med NIS2 er i sidste ende at professionalisere det digitale forsvar, så den høje tillid til den offentlige sektor også fremover er funderet i en dokumenteret og modstandsdygtig virkelighed.

[1] https://www.kl.dk/nyheder/digitalisering-og-teknologi/2025/foerste-skridt-paa-vej-mod-faelles-it-driftsenheder