Som indkøber og forvalter af en række samfundskritiske it-løsninger indenfor den kommunale forvaltning på bl.a. social-, sundheds- og beskæftigelsesområdet, er cybersikkerhed et kerneområde i KOMBITs strategi og aktiviteter. Derfor har KOMBIT med stor interesse gennemgået NIS2-lovforslaget og udarbejdet et høringssvar til Forsvarsministeriet med tre konkrete forslag til forbedringer.
Kommunerne rammes af forskelligartede krav til cybersikkerhed
KOMBIT hilser generelt NIS2-lovforslaget velkommen, men er bekymret over, at kommunerne rammes af forskelligartede krav til cybersikkerhed. Det skyldes, at i det bagvedliggende NIS2-direktiv har man fravalgt muligheden for, at kommunerne i sin helhed kan være omfattet.
KOMBIT mener således ikke, at cybersikkerheden i kommunerne er tilstrækkeligt varetaget i NIS2-lovforslaget. Det afspejler ikke den kommunale struktur i Danmark, hvor hver enkelt kommune er bemyndiget til, som én juridisk enhed, at løse opgaver på tværs af sektorer. Desuden tager lovforslaget heller ikke i tilstrækkelig grad højde for, at den kommunale digitalisering er bygget op omkring netværk og infrastruktur, der er sammenhængende og effektiv på tværs af sektorer.
Forslag fra KOMBIT
Forsvarsministeriet har i lovforslaget fremhævet, at det på nuværende tidspunkt ikke er intentionen at fastsætte regler om, at kommunerne som helhed omfattes af loven. Det mener KOMBIT er problematisk og har i sit høringssvar beskrevet en række forhold, som vi mener ministeriet bør indtænke i det kommende arbejde med loven.
Vi har konkret foreslået Forsvarsministeriet:
- at drøfte med KL og KOMBIT, hvordan NIS2-lovforslaget vil kunne beriges, så det kan understøtte en sammenhængende, ensartet og effektiv cybersikkerhed i de danske kommuner,
- at præcisere i lovforslaget, så det også beskriver de afledte konsekvenser med dertilhørende realistiske estimat af udgifter, som NIS2-lovforsalget vil indebære for kommunerne, hvis den nuværende sektorspecifikke tilgang bibeholdes, og
- under alle omstændigheder medtager i NIS2-lovforslaget, at der skal ske en evaluering af, om den vedtagne lov virker hensigtsmæssigt til sikring af et højt niveau af cybersikkerheden i det danske samfund, herunder i kommunerne senest tre år fra lovens ikrafttræden.
Læs KOMBITs høringssvar til Forsvarsministeriet