Strammere krav og korte deadlines
Om blot halvanden måned – den 1. juli 2025 – træder den nye NIS2-lov i kraft i Danmark. Det betyder, at alle kommuner formelt bliver omfattet af EU’s opdaterede cybersikkerhedsregler.
NIS2 stiller en række skærpede krav til kommunernes informationssikkerhed og ledelsesansvar. Særligt ét punkt har fået kommunerne op af stolene:
Alle medarbejdere skal på dokumenteret cybersikkerhedstræning.
Med andre ord skal kommunen kunne bevise, at personalet – såvel IT-folk som de almindelige medarbejdere – har gennemført awarenesstræning i cybersikkerhed.
Samtidig tikker uret: Loven gælder fra 1. juli, og de omfattede enheder skal registrere sig hos myndighederne senest 1. oktober 2025. Det giver kommunerne ekstremt kort tid til at få styr på deres sikkerhedsinitiativer.
På årets V2 Security-konference i maj erkendte myndighederne presset.
“Virksomheder og kommuner har skreget om hjælp til vejledninger i NIS2-loven i månedsvis. Nu er der blevet lyttet og gjort noget ved sagen”, skrev Version2 fra konferencen.
Minister på banen - NIS2 for kommuner
Beredskabsminister Torsten Schack Pedersen lancerede her de første NIS2-vejledninger fra officiel side – blandt andet en “NIS2-tjek”-guide, der skal hjælpe organisationer med at vurdere om de er omfattet, samt forklare de nye krav til ledelsen.
Allerede nu kan vi opridse nogle af de centrale NIS2-krav, som kommunerne skal leve op til fra juli:
-
Grundlæggende sikkerhedsforanstaltninger:
Kommunen skal kunne dokumentere, at man arbejder med 10 centrale cybersikkerhedsområder. Det omfatter alt fra risikovurderinger, hændelseshåndtering og backup til kryptering og forsyningskædesikkerhed. Listen er lang og teknisk – men signalet er klart: sikkerheden skal op på et ensartet højt niveau. -
Awareness-træning af medarbejdere:
Et af punkterne blinker rødt: Medarbejderne skal oplæres i cybersikkerhed og gode vaner, og denne træning skal gentages løbende og dokumenteres. Personalet skal for eksempel kunne genkende phishing-forsøg, håndtere mistænkelig adfærd og generelt “tænke sig om før de klikker”. -
Hændelsesrapportering: Kommunerne bliver forpligtet til at indberette cyberhændelser inden for stramme tidsfrister, typisk inden 24 timer for en første melding. Det kræver klare interne procedurer for, hvornår og hvordan cyberangreb eller databrud eskaleres og meldes videre til myndighederne.
-
Ledelsesansvar og tilsyn: Kommunens topledelse, både direktionen og politikerne, får nu et direkte ansvar for cybersikkerheden. Direktører og chefer skal kende NIS2-kravene og sikre, at cyberrisici identificeres og håndteres. Manglende efterlevelse kan i yderste fald medføre store bøder (op til 10 millioner euro) og personligt ledelsesansvar for direktionen. Myndighederne får også ret til at føre tilsyn og kræve dokumentation for kommunens sikkerhedstiltag.
Med så strenge krav og korte deadlines kan det virke uoverskueligt. Heldigvis lægger myndighederne op til en periode med hjælp og dialog frem for hårde straffe fra dag ét.
“Det vil være naturligt, at tilsynsmyndighederne ikke hiver bødeblokken frem som det første, men i stedet har fokus på vejledning,” forsikrer Torsten Schack Pedersen.
Kommunerne kan altså forvente en vis pusterum i starten – men kravene skal stadig indfries hurtigst muligt. Nedenfor dykker vi ned i de tre vigtigste områder, hvor NIS2 får konsekvenser i kommunalt regi, og hvilke barrierer der lige nu gør arbejdet svært.
IT-driften: Skærpede krav presser de tekniske ressourcer
For kommunernes IT-afdelinger betyder NIS2 en helt ny virkelighed. Hidtil har meget af cybersikkerheden været “good practice” – nu bliver det lovkrav med dokumentationspligt.
IT-driften skal kunne vise, at man for eksempel har opdaterede sikkerhedspolitikker, stærk adgangskontrol, backup-procedurer, nødberedskab og patch-management på plads. Alle de tekniske basis-ting kommer under lup.
Et konkret eksempel er kravet om forsyningskædesikkerhed: Kommunen skal have styr på sine IT-leverandører og sikre, at de også lever op til sikkerhedskravene. Det rammer kommunernes mange systemer fra ESDH og økonomistyring til borgerportaler – ofte leveret af eksterne firmaer.
Barriererne: Den måske største udfordring på IT-driftsområdet er ressourcemangel. Mange kommuner kæmper allerede med at rekruttere nok IT-sikkerhedsfolk, og de eksisterende teams løber stærkt. Nu skal de oveni dokumentere alting og implementere nye procedurer i en fart. Det kræver tid og penge, som kan være svære at finde i en travl drift.
Et andet problem er de mange legacy-systemer ude i kommunerne – ældre IT-løsninger, som ikke umiddelbart lever op til moderne sikkerhedskrav. At opgradere eller udskifte disse systemer til NIS2-niveau kan være både dyrt og teknisk komplekst.
Endelig nævner flere kommuner usikkerhed om de konkrete krav: Man afventer stadig endelige bekendtgørelser og sektorspecifikke detaljer for kommunal sektor. Uvisheden gør det svært at handle proaktivt – ingen ønsker at bruge millioner på forkerte tiltag. Resultatet er en vis tøven, selvom deadline nærmer sig.
Borgernær velfærd: Cybersikkerhed i hjemmeplejen og på skolerne
NIS2 omfatter alle kommunale opgaver og velfærdsområder, da kommunerne nu kategoriseres som “væsentlige enheder” i kritisk infrastruktur. Det betyder, at cybersikkerhed ikke kun er noget, der foregår på rådhuset og i serverrummet – det skal helt ud på gulvet i hjemmeplejen, på folkeskolerne, biblioteket, genbrugspladsen og alle de andre borgernære tilbud.
Hvad betyder det konkret? For hjemmeplejen kan det betyde strengere krav til de tablets og telefoner, som personalet bruger til borgerjournaler og vagtplaner: de skal være opdaterede, krypterede og låst forsvarligt. For skolerne kan det indebære skarpere adgangsstyring til elevdata og øget fokus på at lære både lærere og elever om god “cyberhygiejne”. Generelt skal alle kommunalt ansatte – pædagoger, sagsbehandlere, sosu-assistenter, lærere, med flere – være med i sikkerhedskulturen. Phishing-mails går jo lige så ofte efter skole-sekretæren eller hjemmeplejen som efter IT-chefen.
Barriererne: Udfordringerne her er primært kulturelle og praktiske. I hjemmeplejen og på velfærdsområdet har man fokus på borgernes velfærd hver dag – IT-sikkerhed kan føles som endnu en “bureaukratisk” opgave oveni en i forvejen travl hverdag. At få SOSU-medarbejdere eller lærere igennem e-læringskurser og phishing-tests kan kræve overtalelse og tid, som der ikke er meget af. En anden barriere er mangel på lokal IT-support i disse sektorer.
Mange skoler og institutioner har måske én IT-kyndig tilknyttet på deltid – nu får de pludselig ansvar for at implementere sikkerhedspolitikker, de færreste af dem har erfaring med. Desuden er der tekniske udfordringer: en folkeskole har masser af elevdevices og måske IoT-udstyr som 3D-printere, smartboards og så videre, som kan udgøre nye angrebsflader. At få overblik og styr på sikkerheden her kræver både kompetencer og prioritering, som ikke alle steder er på plads endnu.
Det politiske og administrative niveau: Ikke længere “kun et IT-problem”
Den måske største forandring med NIS2 er den kulturændring, der kræves på topleder-gangen. Cybersikkerhed har traditionelt været betragtet som et teknisk IT-anliggende, som “dem nede i IT-afdelingen” tog sig af. Det ændrer sig nu – lovkravene peger direkte på kommunaldirektøren, forvaltningernes chefer og de lokalpolitiske udvalg.
Ansvaret for kommunens cyberrisici er placeret helt i toppen, og NIS2 gør det klart, at ledelsen både skal prioritere og kunne dokumentere indsatsen.
KL’s kontorchef for digitalisering, Pia Færch, advarer om omfanget: “Implementeringen i kommunerne bliver en omfattende opgave, der kræver stort fokus – ikke mindst i ledelsen”.
Med andre ord: kommunalbestyrelse, borgmester og direktion skal interessere sig for firewall-konfigurationer og phishing-awareness på en helt ny måde.
Barriererne: Her er den primære udfordring netop opmærksomhed og prioritering. Hos nogle kommuner er budskabet sunket ind, men andre steder hænger man stadig fast i “det sørger IT for”-mentaliteten. Risikoen er, at topledelsen først reagerer for alvor, når det brænder på – altså efter et alvorligt hackerangreb eller et påbud fra tilsynsmyndigheden. Men NIS2 kræver proaktiv indsats og løbende ledelsesoverblik.
Et andet aspekt er de økonomiske prioriteringer: Cybersikkerhed koster penge, og kommunale budgetter er i forvejen pressede. Nye systemer, flere medarbejdere, træningsprogrammer – det skal findes på bundlinjen et sted. KL arbejder derfor på at sikre statslig finansiering eller kompensation, men intet er garanteret. Regeringen er dog klar over bekymringen.
“Jeg er i løbende dialog med KL om de nærmere rammer for kommunernes overholdelse af de nye regler. Samtidig er vi i tæt dialog med KL om de økonomiske konsekvenser ved implementering,” har beredskabsminister Torsten Schack Pedersen udtalt. Dette tyder på, at der muligvis kan komme hjælp eller vejledning om finansiering – men indtil da må hver kommune selv finde midler til at løfte sikkerhedsniveauet.
Hjælp på vej: Sådan kommer kommunerne i gang
Den gode nyhed er, at kommunerne ikke står alene med opgaven. Der findes allerede flere løsninger og tilbud, som kan hjælpe med at opfylde NIS2-kravene – og gøre det på en måde, så det passer ind i den travle kommunale hverdag. Her er nogle konkrete skridt og hjælpemidler:
-
E-læring og awareness-kampagner: En effektiv måde at få alle medarbejdere med er gennem korte, praktiske e-læringskurser i IT-sikkerhed. For eksempel tilbyder Humor mod hacking skræddersyede cybersikkerhedskurser med et glimt i øjet. Erfaringen viser, at humor og hverdagseksempler får budskaberne til at hænge bedre ved. Ved at rulle sådan nogle kurser ud til alle ansatte – fra SOSU’er til skolelærere – kan kommunen hurtigt opfylde kravet om dokumenteret træning.
Husk at vælge en løsning, hvor I kan trække rapporter og beviser for gennemført kursus, så I står med dokumentationen i orden. -
Phishing-tests og træning i praksis: Teknisk træning bør kombineres med løbende øvelser. Her kommer phishing-tests ind i billedet. Det går ud på, at man periodisk sender simulerede phishing-e-mails til medarbejderne for at se, hvem der klikker. Bagefter får de, der bed i krogen, forklaring og læring ud af det. Disse øvelser skaber en sund paranoia og bevidsthed, som er guld værd – og resultaterne kan bruges til at dokumentere forbedringer over tid.
-
Guides, værktøjer og rådgivning: Staten har udgivet de første NIS2-vejledninger, som kan findes på for eksempel CFCS’ hjemmeside og sikkerdigital.dk. Her får I forklaret begreberne og kan følge tjeklister for compliance.
KL har også åbnet et videnscenter om NIS2 (se “Sådan kommer NIS2 til kommunerne” på kl.dk), hvor kommuner kan finde værktøjer, skabeloner og gode råd. Eksempelvis findes der skabeloner til risikovurderinger, beredskabsplaner og et årshjul for sikkerhedsarbejdet. Det kan spare jer for en masse benarbejde at genbruge disse fælles løsninger frem for at opfinde alting selv. -
Dokumentationsværktøjer: Overvej at anskaffe et simpelt dokumentations- og compliance-værktøj til NIS2. Det kan være et modul i jeres eksisterende GRC-system eller et nyt system, der hjælper med at holde styr på politikker, træningslogs og hændelsesrapporter. Pointen er, at I med et par klik skal kunne fremvise: Hvem er sidst trænet? Hvornår er passwordpolitikken sidst opdateret? Hvor er vores risikovurdering for Børnehave-it-systemet? – uden at skulle rode fire ringbind igennem.
Der findes flere leverandører på markedet, men vælg en løsning der er enkel og gerne målrettet offentlige organisationer.
Så ja, NIS2 er omfattende. Og ja, tiden er knap. Men det behøver ikke at være en sur pligt. Som Humor mod hacking har påpeget, kan de nye krav også ses som en mulighed for at løfte sikkerhedsniveauet og skabe en bedre sikkerhedskultur i kommunerne.
Ved at gribe opgaven offensivt – investere i medarbejdernes viden, involvere ledelsen aktivt og bruge de hjælpemidler, der findes – kan kommunerne ikke bare klare NIS2-eksamenen, men komme styrket ud på den anden side.
God arbejdslyst – og husk at få dokumentationen i orden!
Klar til at komme i gang?
NIS2 er ikke en trussel. Det er en chance for at få styr på det, vi alligevel burde have gjort for længe siden: skabe en stærk, tillidsfuld og sikker digital kultur i hele organisationen. Blandt alle medarbejderne og ledelsen med.
Lad os hjælpe jer godt i gang med awareness træningen – og meget gerne før myndighederne banker på os jer.
→ Læs mere om vores kommunale e-kurser her
→ Book en gratis online-demo - eller blot en kort samtale