Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Hvis jeg skal koge kommunernes grundlæggende NIS2-udfordring helt ind til benet, så må det være, at man ikke kan beskytte, hvad man ikke ved, man har.
Og man kan heller ikke rapportere om angreb, som man ikke har kendskab til.
Fuld NIS2-compliance kræver, at man er i stand til at opdage og verificere sikkerhedshændelser inden for 24 timer, og at man kan rapportere om dem inden for 72 timer.
Det lyder logisk og rimeligt, men bag kravet lurer en gigantisk arbejdsopgave.
Især fordi evnen til at opdage og rapportere med så kort varsel forudsætter et overblik og en transparens, som stort ingen kommuner har i dag.
Lad os sige, at fuld NIS2-compliance svarer til niveau 5. Så vil min vurdering være, at meget få af vores kommuner er over niveau 2.
Start kortlægning hurtigst muligt
Mit vigtigste råd er at gå i gang med en grundig kortlægning af alle netværk, processer og brugerrettigheder så tidligt som muligt.
Brug alle relevante hjælpemidler, fpr eksempel software-løsninger beregnet til at skanne store netværk og samarbejde med en professionel partner, der kan effektivisere processen.
Jeg vil også foreslå at finde den partner hurtigt, for lige om lidt vil det marked være helt støvsuget for gode konsulenter.
Fuldt overblik og høj transparens er selve fundamentet under NIS2-compliance: Hvad har vi kørende i egne netværk? Hvilke applikationer bruger vi i skyen? Hvad udveksler data med hvad og hvorfor? Hvor flyder vores data hen både internt og eksternt? Hvem har adgang til hvad? Og så videre.
Før man kan svare på de spørgsmål, er der ikke noget solidt at bygge compliance på.
Gevinsten er enorm
Ja, opgaven er særdeles omfattende – tænk på, hvor stort et efterslæb vi nu skal til livs på næsten ingen tid.
De infrastrukturer, der skal kortlægges, er bygget op over årtier med masser af knopskydning for at følge med digitaliseringen, og meget af det er ikke dokumenteret.
Men for de organisationer, som gennem hårdt arbejde omsider bliver herrer i egen infrastruktur, vil gevinsten være enorm.
Det vil gøre deres reaktionstid på alvorlige sikkerhedsangreb langt kortere, og det har stor betydning for at begrænse skaderne.
På den korte bane vil NIS2-compliance naturligvis kræve investeringer, og lige nu har mange sikkert blikket stift rettet mod at blive NIS2-compliant, simpelthen fordi det er et krav.
Sagens kerne er naturligvis øget sikkerhed, men NIS2 er også nøglen til større udbytte af fremtidige sikkerhedsinvesteringer.
Et større overblik åbner op for bedre prioritering af de sikkerhedsressourcer, der er til rådighed.
For eksempel ved hjælp af ledelsesstyrede risikoprofiler, som mere strategisk og nuanceret kan dirigere de økonomiske, tekniske og menneskelige ressourcer hen, hvor de gavner mest.
Der, hvor risikoen er størst, bør panseret være tykkest, og da ingen har ubegrænsede ressourcer, er skelnen mellem høj og lav risiko særdeles vigtig.
Her medfører NIS2 også et kæmpe skridt fremad.
Bottom line
Nej, kommunerne når med stor sandsynlighed ikke i mål til tiden.
Det tyder dog på, at regeringen er parat til at udvise rimelig forståelse.
Kunsten må være at balancere rigtigt mellem denne forståelse og behovet om at komme hurtigt i mål.
Eller sagt med andre ord: Forståelsen må ikke blive en sovepude.
Lad os gå efter høje, realistiske krav. Hvis vi gør det, tror jeg, at NIS2 inden for overskuelig fremtid bliver det bedste, der nogensinde er sket for dansk cybersikkerhed.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.