KL ser lovforslaget om implementering af EU’s cybersikkerhedsregler - NIS2-direktivet - som et vigtigt skridt for landets cybersikkerhed, da kommunerne bliver fuldt omfattet af loven. Lovforslaget er under behandling i Folketinget, og der er ved at blive lavet bekendtgørelser og vejledninger. KL følger processen og vil bidrage til at understøtte implementeringen i kommunerne.
NIS2-direktivet har til formål at sikre et højt og ensartet cybersikkerhedsniveau på tværs af EU’s medlemslande ved at stille krav til samfundskritiske it-understøttede funktioner. Direktivet stiller bl.a. krav til sikkerhed i forsyningskæder, sikkerhedsforanstaltninger, hændelsesrapportering samt styrket tilsyn og håndhævelse. Direktivet er vedtaget i EU og afventer nu endelig udmøntning i dansk lovgivning og en omfattende implementering.
KL bidrager til arbejdet i Ministeriet for Samfundssikkerhed og Beredskab (MSSB) og inddrages løbende i arbejdet med vejledninger. KL har fokus på at indgå i dialog med ministeriet om de økonomiske konsekvenser, loven vil få for kommunerne. Målet er at skabe de bedst mulige rammer for, at kommunerne kan løfte deres cybersikkerhed:
”Det er vigtigt at sikre finansiering, så lovgivningen kan få den ønskede effekt og hæve cybersikkerhedsniveauet i Danmark. Implementeringen i kommunerne bliver en omfattende opgave, der kræver stort fokus – ikke mindst i ledelsen,” siger Pia Færch, kontorchef i Digitalisering og Teknologi, KL.
KL vil understøtte kommunernes implementering og afklaringer ift. NIS2. Det vil blandt andet ske ved webinarer, nyhedsmails og lignende. Der oprettes en NIS2-side på KL’s Videnscenter, hvor der løbende vil blive lagt information, vejledning mv. ud.
KL har i længere tid presset på for at kommunerne indgår som en del af ét samlet dansk cyberforsvar:
”Sammen med kommunerne har vi arbejdet for, at få kommunerne med i NIS2 og skabe ét samlet dansk cyberforsvar. Vi er derfor meget tilfredse med, at kommunerne nu bliver fuldt omfattet af loven. Det er en anerkendelse af, at de kommunale opgaver er samfundskritiske og tæt forbundne, og at cybersikkerheden bør prioriteres og reguleres, så der sikres et passende sikkerhedsniveau,” understreger Pia Færch.
Lovforslaget er fortsat i behandling i Folketinget og de tilhørende bekendtgørelser og vejledninger er ved at blive udarbejdet. Det betyder, at der stadig er en række ubesvarede spørgsmål.
Udgangspunktet i lovforslaget er, at alle kommunernes opgaver og it-understøttelse omfattes, og kommunerne indgår som væsentlige enheder. Implementeringen skal ske på baggrund af en risikobaseret tilgang, så foranstaltningerne tilpasses proportionelt med risikoen. Opgavernes kritikalitet og graden af sammenhæng til andre systemer vil få betydning for, hvordan og i hvor høj grad forskellige fagområder og it-systemer skal leve op til kravene.
Det er KL’s forventning, at de kommende bekendtgørelser og vejledninger vil skabe en bedre forståelse af lovgivningen og understøtte vurderingerne. Udgangspunktet er dog, at de opgaver der i loven er defineret som væsentlige og vigtige vil være omfattet og dermed bør prioriteres i implementeringen.
De konkrete vejledninger og bekendtgørelser forventes at være på plads inden lovens ikrafttrædelse d. 1. juli 2025. Det er først her, KL og kommunerne kan se, hvor linjen bliver lagt, og hvad der er rettesnor for det fremtidige tilsyn.
De ti foranstaltninger i NIS2, som kommunerne skal efterleve, er endnu ikke uddybet. KL vurderer, at kommunerne som forberedelse på efterlevelse af loven kan læne sig op ad ISO27001-standarden, sørge for at leve op til de kommunale tekniske minimumskrav og forholde sig til de seneste resultater af baselineanalysen. Det er et godt fundament for den videre indsats.
Forslag til lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau (NIS2-loven), blev fremsat den 6. februar 2025 af minister for samfundssikkerhed og beredskab Torsten Schack Pedersen.
