Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Der er tidspunkter, hvor man som lovgiver bør stoppe op og spørge sig selv:
Bygger vi brandsikre mure, eller sætter vi pæne klistermærker på papvægge?
Med den danske NIS2-lov (L 141, Folketinget, 2025) kan man fristes til at tro det sidste.
I al venskabelig respekt og med det bedste for Danmark og vores digitale samfund for øje må vi stille spørgsmålet:
Har vi i iveren efter at overholde direktivets ord glemt direktivets ånd?
Rapportering med skyklapper
Når Danmark kopierer NIS2’s rapporteringskrav – 24 timer, 72 timer og 30 dage (L 141, §13) – uden at adressere hvordan, hvem og hvorfor rapporteringen skal skabe reel værdi, ender vi i en situation, hvor virksomhedernes incitament bliver at opfylde minimumskrav – ikke at bidrage til samfundets fælles cybersikkerhed.
I EU's forarbejder (Europa-Parlamentet & Rådet, 2022, betragtning 86) beskrives 24-timers rapporten eksplicit som en tidlig advarsel, hvor formålet er at aktivere koordinerede, grænseoverskridende reaktioner.
I Danmark reduceres denne til en administrativ pligt – en formular, der skal udfyldes, men som ikke forklares i en større operativ sammenhæng.
Dermed risikerer vi at stå med en rapporteringskæde, som ingen rigtigt ved, hvad skal føre til.
Det er ikke bare en administrativ brist – det er en sikkerhedsrisiko, som ifølge ENISA (2024) underminerer hele rapporteringssystemets integritet.
Når undtagelser bliver til huller i brandsikringen
Danmarks brug af undtagelser (§1 stk. 2-5) og muligheden for at regeringen frit kan undtage aktører (§1 stk. 5, 7) skaber yderligere huller i den fælles beskyttelsesvæg.
Selv kritiske leverandører kan undtages, fordi man vælger at overlade reguleringen til anden lovgivning, som i praksis slet ikke adresserer de cybersikkerhedsmæssige aspekter.
Det er som at bygge en fæstning – men tillade, at nøgleleverandøren til porten ikke skal følge de samme regler som resten af slottet.
Dermed risikerer vi, at især små og mellemstore aktører – som ofte driver vitale dele af infrastrukturen – undslipper NIS2’s krav, fordi de falder uden for kategorierne. Konsekvensen?
En leverandør i forsyningskæden kan udgøre samme eller større risiko som de store spillere, men uden samme krav, samme tilsyn, og samme rapporteringsforpligtelser.
EU-retten er ikke et menukort
Det, der bør give os alle en panderynke, er dog især den underliggende præmis i den danske lovgivning:
At nationale undtagelser, andre sektorlove eller sikkerhedsmæssige hensyn kan bruges som argument for at reducere direktivets krav.
Det er, med respekt, en fejltolkning.
EU-retten – også NIS2 – er sekundær lovgivning, ja. Men dens forrang over nationale regler er ikke til diskussion (Europa-Parlamentet & Rådet, 2022, artikel 3; EU-Domstolen, sag 6/64 Costa mod ENEL).
At tolke, som om nationale interesser kan overtrumfe direktivets krav om høj, fælles cybersikkerhedsstandard, er at lege med juridisk dynamit.
Hvis vi accepterer denne fortolkning, svækker vi ikke bare NIS2 – vi risikerer at undergrave Danmarks internationale tillid og ansvar i det digitale fællesskab.
Afslutning – fra formalitet til substans
Danmark har været hurtig til at implementere NIS2 – det skal anerkendes. Men hastighed og korrekthed i form kan aldrig stå alene.
Cybersikkerhed er ikke en papirøvelse. Det er samfundsbeskyttelse. Det er systemisk risikostyring.
Derfor må vi turde sige det højt: Vores NIS2-lov er på overfladen korrekt – men i praksis en sikkerhedsrisiko i sig selv. Og det er ikke bare uheldigt, det er alvorligt.
Vi kan stadig rette op.
Vi kan stadig sørge for, at rapporteringen bliver meningsfuld, at undtagelser bliver undtagelser og ikke hovedregler, og at EU-retten behandles som det, den er – fundamentet, ikke tilbehøret.
Vi skylder vores virksomheder, vores borgere og vores fællesskab mere end blanketter og undskyldninger.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.