Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
I netop disse dage og uger mødes de politiske partier for at forhandle om Danmarks kommende nationale strategi for cyber- og informationssikkerhed (NCIS).
En strategi der forhåbentlig også vil indeholde nogle ambitioner om at hæve cybersikkerheden i de kritiske, offentlige it-systemer.
For det er ikke ligefrem en hemmelighed, at det står skidt til, hvad angår vores statslige myndigheders cybersikkerhedsniveau.
12 ud af 13 offentlige myndigheder og institutioner, som Rigsrevisionen undersøgte i efteråret havde store problemer med it-sikkerheden.
Og ikke mindre end 80 procent af de samfundskritiske it-systemer, der blev undersøgt i 2022 og 2023, havde utilstrækkelige planer for håndtere nedbrud.
Det er også tydeligt for enhver, at vi har et problem, når vi efter flere års indsats fortsat ser mange eksempler på statslige myndigheder, der ikke lever op til de (ufravigelige) tekniske minimumskrav, de skal implementere, og når mange af myndighederne ikke har styr på eksempelvis beredskabsplaner.
7. januar skrev Computerworld om den britiske regering, der har indset, at det ikke længere holder at decentralisere den offentlige cybersikkerhed. I stedet skal cybersikkerheden centraliseres og en ny Government Cyber Unit etableres.
Lyspunkter i Danmark
Det står dog ikke helt så grelt til i det danske land, som på den anden side af Nordsøen.
For med den danske regerings nyligt annoncerede 24/7-situationscenter i tilknytning til den Nationale Operative Stab (NOST) vil man styrke det operative samarbejde og myndighedernes tværgående koordinations- og reaktionsevne på hybride angreb.
I regi af centret etableres også et cybermonitoreringsnetværk og et cyberoperationscenter.
Det er et godt skridt på vejen, og vil styrke myndighedernes forebyggende cybersikkerhedsindsats og -beredskab.
Og med implementeringen af NIS2 og de skærpede cybersikkerhedskrav, der medfølger – også for de statslige myndigheder – kan vi forvente et større ledelsesansvar og et styrket fokus på for eksempel forsyningskædesikkerhed, hvilket også er nogle af de identificerede områder i den britiske indsats.
Her er Storbritannien dårligere stillet, da de ikke er omfattet af NIS2 som ikke-EU-land.
Derfor skal de selv "opfinde" lignende incitaments- og styringsmekanismer til at sætte fokus på disse udfordringer.
Det er Styrelsen for Samfundssikkerhed (Samsik), der er NIS2-sektoransvarlig myndighed for kommuner og statslige myndigheder (offentlige forvaltningsenheder under den centrale forvaltning).
Det er altså Samsik, der svarer til den Government Cyber Unit, man vil etablere i Storbritannien.
Der skal slås hårdt ned på utilstrækkelig sikkerhed
I Danmark har vi altså – i modsætning til Storbritannien – heldigvis en klar ansvarsfordeling med en central myndighed, der skal føre tilsyn med de statslige myndigheders cybersikkerhed. Det skal vi udnytte.
Derfor indstiller vi også til, at Samsik nu tager sit mandat på sig, og slår hårdt ned på den utilstrækkelige cybersikkerhed i staten.
Vi kan ikke længere se lempeligt på de statslige myndigheders misligholdelse af de ufravigelige, tekniske minimumskrav og de nye NIS2-krav. Misligholdelse skal have klare konsekvenser. Ligesom det vil få det for de private virksomheder.
Som vi har set over de senere år, så har flere statslige myndigheder stadig ikke rettet ind efter Statsrevisorernes hævede øjenbryn og venlige påtaler i forhold til manglende efterlevelse af de tekniske minimumskrav, så mere må tydeligvis til.
Det er helt afgørende, at vi styrker cybersikkerheden i de offentlige it-systemer, der håndterer store mængder af følsomme borger- og samfundsdata, som kan kompromitteres og misbruges.
Samtidig udgør de statslige myndigheder en central del af vores kritiske, digitale infrastruktur, hvor cyberangreb kan true både den demokratiske tillid, den offentlige service og den nationale sikkerhed.
Som IT-Branchen skriver i sit indspil til den kommende nationale strategi for cyber- og informationssikkerhed (NCIS), så er der "behov for at øge og håndhæve forpligtelsen til at opretholde et højt, ensartet cybersikkerhedsniveau på tværs af stat, regioner og kommuner".
Og så er der derudover – ligesom i Storbritannien – behov for at øge investeringsniveauet, der skal afhjælpe den tekniske gæld og dermed højne cybersikkerhedsniveauet i de kritiske, offentlige it-systemer.
Et øget investeringsniveau kan med fordel hjælpes på vej af en analyse af, hvilke systemer der er mest kritiske og nødstedte, og en efterfølgende plan for hurtig og effektiv udbedring og udskiftelse.
Men først og fremmest er der behov for, at Samsik får klare beføjelser til mere end at give voksenskældud til de ansvarlige ressortministre, hvis myndigheder ikke lever op til deres obligariske cyberkrav.
Sektoransvarsprincippet har tjent os godt, men der er behov en centraliseret og respekteret myndighed, der kan sikre, at der bliver taget hurtig og effektiv hånd om den utilstrækkelige cybersikkerhed i staten.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
