Kommuner bør forberede sig på nye krav til cybersikkerhed, mener eksperter.

Store Bededag blev EU's Ministerråd og EU-Parlamentet enige om en politisk aftale om det såkaldte NIS2-direktiv, som EU-Kommissionen foreslog i december 2020 med henblik på at øge cybersikkerheden på tværs af EU.

Den endelige lovtekst bliver formentlig først klar om et par måneder, og det endnu er uvist, om kommunerne bliver omfattet af de nye krav, men i mellemtiden behøver de ikke at nøjes med at sidde på hænderne.

For uanset om det bliver besluttet, at kommunerne som enheder ikke skal være omfattet, kan visse af deres aktiviteter være det i kraft af den sektor, de opererer i.

Blandt de omfattede sektorer er nemlig energi, transport, sundhed, drikkevand, spildevand, digital infrastruktur og offentlig forvaltning.

Opfordring: Kom i gang med forarbejdet

Belært af erfaringerne fra implementeringen af GDPR forudser erhvervsjurist og partner hos Poul Schmidt/Kammeradvokaten Emil Bisgaard, at det kan blive en udfordring at nå at implementere de nye krav inden for fristen. Derfor bør kommunerne allerede nu lave forarbejdet.

- De kan starte med at kigge på, hvor meget affald, sundhed og forsyning de laver, og hvor sammenblandet aktiviteterne er, siger han.

Overraskende mange organisationer har ikke et overblik over deres digitale infrastruktur, er Jan Lemnitzers erfaring. Han er assisterende professor på CBS og forsker i cybersikkerhed.

Essentiel infrastruktur

Ifølge ham gør kommunerne klogt i at få skabt et overblik over, hvilke funktioner de selv udfører, som tydeligvis er essentiel infrastruktur, og som ikke kan fungere, hvis systemerne sættes ud af spil.

- Lav en opgørelse over, hvilke systemer I bruger, og hvilke der vender mod internettet, hvilke folk I har, og hvilken software, I har. Lav en opgørelse, gentager han.

Når direktivet 20 dage efter offentliggørelse i Den Europæiske Unions Tidende træder i kraft, er det op til Folketinget at beslutte, om de kommunale forvaltninger skal være omfattet. Senest 21 måneder efter direktivets ikrafttræden skal det være implementeret i dansk lovgivning.

Abonnenter på Kommunen.dk kan læse hele artiklen her.

Eksperter: Kortlæg jeres cyberberedskab nu