Nu er kampen om, hvordan det fremtidige danske cyberforsvar skal organiseres for alvor gået i gang.
Midt i sommerferien gav Forsvarsministeriet interessenter en kort frist til at komme med deres besyv med den kommende implementering af NIS2-direktivet fra EU.
Computerworld har fået mulighed for at se, hvordan private it-virksomheder gennem IT-Branchens policy board ideelt set ser rigets cybersikkerhed skal organiseres.
Interesseorganisationen ønsker hurtigst mulig klarhed over, hvilke virksomheder, der er omfattet af lovgivningen.
Ifølge IT-Branchens egen undersøgelse ved to ud af tre virksomheder stadig ikke, hvorvidt selskaberne bliver omfattet af loven på trods af kun få måneder inden den træder i kraft.
Derfor er det organisationens ønske, at tilsynsmyndighederne kommer til at være afventende med den store bødehammer, og i stedet kører en mere “dialog-baseret” tilgang i starten.
“Dette gør sig blandt andet gældende på et digitale område, hvor definitionen af omfattede områder er meget brede og ukonkrete. Så der er et enormt behov for hurtigst muligt at give konkret hjælp og vejledning til virksomhederne. Og her kommer det nuværende lovudkast ikke med svar,” udtaler Jacob Herbst, formand for brancheorganisationens policy board.
Kan spiontjenesten overhovedet magte opgaven?
Mere interessant er det, at Jacob Herbst stiller åbenlyst spørgsmål ved, hvorvidt Center for Cybersikkerhed overhovedet er gearet til den voksende arbejdsbyrde.
Ifølge høringssvaret fra organisationen kommer mængden af “enheder” fra lovpakke-forløberen NIS til to’eren til at stige fra blot 130 til over 2000 enheder.
Frygten er, at den hastigt voksende arbejdsbyrde for spiontjenesten kommer til at skabe kapacitetsproblemer for dets computer security incident response team, CSIRT. Der kort fortalt er centrets cyberbrandmænd, der moniterer, detekterer og forhindrer cyberangreb mod kritisk infrastruktur.
Center for Cybersikkerhed er i gang med at opruste på medarbejderfronten, som skal ses i netop det lys, som tidligere beskrevet af Computerworld.
Selv hvis cyberregimentet under Forsvarets Efterretningstjeneste kan løfte opgaven, så frygter Jacob Herbst og IT-Branchen, at centret kommer til at skævvride konkurrencen for de private virksomheder, der udfører incident response - som blandt andet Dubex, hvor han selv er medstifter og teknologisk direktør.
Kommunernes tvetydige indlemmelse i NIS2 skader rigets sikkerhed
Hvorvidt kommunerne er omfattet af NIS2 er en lidt svær størrelse. Officielt er kommunerne undtaget de skrappere krav for landets cybersikkerhed, da det er op til medlemslandene i EU selv at bestemme, hvorvidt lokale myndigheder er omfattet - modsat regionale og statslige.
Men kommunale virksomheder, som udfører opgaver indenfor sundhed og vand vil være omfattet, da de to sektorer anses som samfundskritiske.
En regulatorisk ørken, som ifølge Jacob Herbst i sidste ende kan betyde, at kommunerne bliver det svageste led i det danske cyberforsvar, som åbenbarer muligheder for angrebsflader.
“Kommunerne kan ende med at være omfattet af NIS2 indenfor visse områder, men ikke omfattet inden for andre. Dette åbner op for kreative fortolkning af reglerne, og dermed forskellig tilgang til cybersikkerhed i kommunerne. Det kan få vidtrækkende sikkerhedskonsekvenser, hvis kommunerne kan begynde at undslå sig at være omfattet," udtaler Jacob Herbst.
"Det går ikke. Der bør være et ensartet sikkerhedsniveau på tværs af hele den offentlige sektor, altså stat, regioner og kommuner."
NIS2-direktivet er blevet forsinket af to omgange, men det er forventningen fra regeringens side, at lovgivningen er på plads senest 1. marts 2025 - lidt over fire måneder efter den officielle deadline fra EU.