Endnu er ingen dansk kommune blevet lagt ned af hackere. Men vi skal ikke længere væk end til Norge eller den private sektor i Danmark for at finde bekymrende eksempler. EU er på vej med lovgivning på flere områder, men vores opfordring lyder: styrk arbejdet med cyber- og informationssikkerhed nu!

I kommunerne er vi siden 2016 i stigende grad blevet bekendt med GDPR, der regulerer enkeltpersoners, virksomheders og organisationers behandling af personoplysninger om enkeltpersoner i EU. Enkelte vil måske endda mene, at vi er blevet stopfodret.

GDPR-direktivet har medført ny viden, nye redskaber og ny praksis for vores omgang med data, og udviklingen er fortsat i gang.

Nu er tiden kommet til øget fokus på implementering af NIS2-direktivet (Net og Informationssikkerhed version 2). Direktivet skærper omfanget og kravene til NIS-direktivet fra 2016, og det er fortsat uafklaret, om og i hvilken grad de danske kommuner omfattes. Formålet med direktivet er at sikre et højt og fælles cyber- og informationssikkerhedsniveau på tværs af sektorer, der har kritisk betydning for samfundet. En række områder er med sikkerhed omfattet af direktivet, blandt andre sundheds-, drikkevands- og spildevandssektorerne.

I udgangspunktet gælder direktivet primært det statslige og regionale niveau. Det er op til de enkelte medlemslande i EU at afgøre, om og i hvilken grad lokale forvaltningsenheder, eksempelvis kommunerne, skal omfattes af direktivet. 

I en dansk kontekst er det Forsvarsministeriet, der skal afklare ”fordelingen af roller og ansvar mellem myndigheder inden for rammen af direktivet”. På den baggrund er det op til regeringen i dialog med blandt andre KL at afklare, om kommunerne omfattes. Mens vi venter på det, har KL forberedt et projekt i forhold til økonomi, teknologi og kompetencemæssige konsekvenser, en mulig implementering af NIS2 vil få for kommunerne.

KL’s udspil til ét samlet cyberforsvar

I juni 2023 annoncerede KL et udspil til ét samlet cyberforsvar i Danmark. Udspillet tager afsæt i den fortsatte uafklarethed, men sender også et markant signal med kommunerne som en central del af det nationale cyberforsvar. Cyberstrategien har disse fem anbefalinger:

• Kommunerne skal indgå som en del af det danske cyberforsvar
• Der er brug for at opprioritere cyberforsvaret
• Kommunerne skal efterleve minimumskrav for cybertrusler
• Kommunerne skal håndtere cyberindsatsen i fællesskab
• Der skal sikres nok kompetencer og fastholdelse i kommunerne

Sidstnævnte handler om at styrke samspil og sammenhænge i indsatserne. Men også om at have blik for, at de kompetencer, vi over tid ønsker at styrke, løbende vil forandre sig som følge af ændringer i risikobilledet. For kommunerne handler den konkrete indsats om med baggrund i risikobilledet at kunne opdage og iværksætte de nødvendige handlinger. 

Risikobaseret indsats – mens vi venter

Mens vi afventer en stillingtagen til, om og i hvilken grad kommunerne omfattes af NIS2, arbejder kommunerne med en risikobaseret indsats. Der er etableret en række samarbejder, netværk og materialer til at understøtte kommunernes risikobaserede indsats vedrørende cyber- og informationssikkerhed. Fx databehandleraftaler, redskaber til risikovurdering samt dokumentationskrav tilknyttet databeskyttelsesforordningen.

Som en case på hvordan man som kommune kan arbejde med området, har Haderslev Kommune sammen med Komponent og KL arbejdet med kommunens cyber- og informationssikkerhed. Det er sket igennem analyse af kommunens ambitioner og kapacitet vedrørende digital transformation.

I processen blev der blandt andet sat fokus på vigtigheden af kompetenceudvikling og en styrket governance vedrørende cyber- og informationssikkerhed.

Konkret har Haderslev Kommune valgt at samle arbejdet med digital transformation under samme styregruppe, der også agerer som Informationssikkerhedsudvalg. Det skal medvirke til at sikre at udvikling og sikkerhed går hånd i hånd og ikke behandles i adskilte administrative forløb. Styregruppen for Digital Fremtid er direktionsforankret og rummer blandt andet de enkelte forvaltningers sekretariatsledere, der sammen med konsulenter på digitaliseringsområdet sikrer en tværgående vidensdeling i organisationen.

Fra et vanskeligt udgangspunkt til et godt afsæt

En del af indsatsen har været en styrkelse af den risikobaserede indsats med kursus i informationssikkerhed – herunder en mulighed for certificering i samarbejde med Komponent. Ambitionen har blandt andet været at styrke det fælles sprog lokalt og at give de udvalgte medarbejdere et kompetent afsæt for at arbejde med informationssikkerhed. Kompetencerne blev styrket hos de decentrale nøglemedarbejdere, som løfter opgaverne omkring informationssikkerhed i hverdagen – herunder et styrket tværgående vidensniveau.

Charlotte Bay Greisen, IT og digitaliseringschef i Haderslev Kommune siger:

”Med Digital Fremtid har vi styrket vores sammenhængende og ledelsesmæssige indsats vedrørende digitalisering, transformation og i forhold til cyber- og informationssikkerhed. Arbejdet med digital transformation er kommet tættere på udviklingen af vores drift. Med en risikobaseret tilgang – og med den enkelte forvaltnings udgangspunkt - har vi udviklet vores koncept for kompetenceudvikling. Og vi har med indsatsen styrket vores fælles sprog og samarbejder på områder som indkøb, HR mv.”

I arbejdet med informationssikkerhed balancerer Haderslev Kommune en styrket governance med nærhed i forhold til den konkrete opgaveløsning. Det betyder, at indsatsen på og mellem områder tager sig noget forskellig ud – men at der opretholdes og udvikles et fortsat styrket og fælles afsæt. 

Ambitionen er, at Haderslev Kommune lykkes med et sikkert grundlag omkring cyber- og informationssikkerhed, og at grundlaget også understøtter de konkrete og lokale opgaveløsninger i at lykkes. Charlotte Bay Greisen peger blandt andet på at:

”Der opleves forskelle mellem områder og forvaltninger i forhold til hvor mange forretningskritiske data og systemer den enkelte forvaltning eller det konkrete område ejer. Gennem en struktureret tiltag, har vi fået skabt et overblik over og kortlagt de forskellige tiltag og den nødvendige rækkefølge vi ønsker at løfte opgaverne i.”

Behovet spænder vidt

Behovet for kompetenceudvikling i forhold til informationssikkerhed og cybersikkerhed spænder vidt. Der peges på ledelsens rolle – politisk som administrativt - i forhold til at øge deres vidensniveau og styrke grundlaget for om nødvendigt at kunne justere i de eksisterende prioriteringer. 

Komponent har i samarbejde med blandt andre AAU ved professor i cybersikkerhed Jens Myrup Pedersen sat fokus på kompetenceudvikling af de kommunale ledelser i cyber- og informationssikkerhed. Konkret udvikles der tilbud til top- og forvaltningsledelser, der styrker deres kompetencer med afsæt i kommunernes særlige opgave- og ansvarsområder. Jesper Myrup Pedersen siger blandt andet:

”Det er vigtigt med en indsats i forhold til topledelsen for at sikre bred forankring i organisationen. Informationssikkerhed og dermed cybertruslen gælder for alle”

Komponent ser ind i en styrkelse af kommunernes indsats på digitaliseringsområdet aktualiseret af KL’s cyberstrategi. Indsatsen vil blandt andet pege på forløb omkring kompetenceudvikling målrettet ledelser og medarbejdere, en styrket risikobaseret indsats tæt på den faglige opgaveløsning og governance, afdækning af digitale modenhedsniveauer mv.

For Komponent er det afgørende at indsatserne vedrørende cyber og informationssikkerhed forankres tæt på de udfordringer kommunerne oplever at stå med i forhold til udviklingen af deres opgaver.