Cybersikkerheden skærpes fra juli – Mariagerfjord Kommune følger med
NIS2 er på dagsordenen når Økonomiudvalget i Mariagerfjord Kommune holder møde den 21. maj 2025.
NIS2-lovgivningen blev besluttet af den danske regering d. 29. april 2025 og træder i kraft d. 1. juli 2025. Lovgivningen stiller skærpede krav til cybersikkerheden i offentlige myndigheder, herunder kommuner og medfører en række nye forpligtelser, som kommunerne skal imødekomme. Det forventes, at der i forbindelse med de kommende budgetforhandlinger og Økonomiaftalen med regeringen vil komme yderligere afklaringer om, hvordan implementeringen skal finansieres og administreres i kommunerne.
Der vil løbende komme vejledninger til implementeringen af NIS2, men de forventes ikke at være så konkrete, at de kan benyttes som handlingsanvisninger. Af denne årsag vælger MFK at lægge sig op ad rammeværket CIS18, ligesom det er tilfældet i de resterende kommuner.
Indstilling: Kommunaldirektøren indstiller til Økonomiudvalget: At orienteringen tages til efterretning
Sagsfremstilling
NIS2-forordningen (Network and Information Security Directive 2) har til formål at styrke cybersikkerheden i EU og stiller skærpede krav til offentlige myndigheder, herunder kommuner. Forordningen omfatter blandt andet krav til risikostyring, hændelseshåndtering og rapportering, og den stiller større krav til ledelsesansvar på cybersikkerhedsområdet.
Selvom den endelige nationale implementering i form af vejledninger endnu ikke er fuldt afklaret, vil følgende centrale tiltag ramme kommunerne:
- Forhøjede krav til risikostyring: Kommunerne skal identificere og håndtere cybersikkerhedsrisici systematisk med løbende risikovurderinger og fokus på teknisk udvikling. Fx best practice inden for styring og beskyttelse af netværk, så vi oppebærer et tilstrækkeligt sikkerhedsniveau for at beskytte borgernes data bedst muligt og sikre, at vi som kommune kan fastholde leverancerne af livskritiske ydelser til borgerne.
- Krav om hændelsesrapportering: Kommuner bliver forpligtet til at rapportere alvorlige sikkerhedshændelser til de relevante myndigheder inden for 24 timer. Fx indberette hackerangreb, så landets øvrige kommuner kan advares i tide.
- Øget ledelsesansvar: Kommunens ledelse vil få et direkte ansvar for at sikre overholdelse af cybersikkerhedskravene, herunder risiko for sanktioner ved manglende efterlevelse.
- Styrkede krav til leverandørstyring: Kommunen vil skulle stille højere sikkerhedskrav til eksterne leverandører, som leverer kritiske IT-systemer og -tjenester.
- Minimumskrav til sikkerhedstiltag: Der vil være øgede krav om implementering af konkrete sikkerhedstiltag såsom adgangskontrol, sikkerhedsovervågning og beredskabsplaner.
Det forventes, at der i forbindelse med budgetforhandlingerne og Økonomiaftalen med regeringen vil komme yderligere afklaringer om de økonomiske konsekvenser af NIS2-implementeringen for kommunerne, herunder om der tilføres midler til området. Mariagerfjord Kommune følger udviklingen tæt og vil være nødsaget til at tilpasse sin cybersikkerhedsindsats i takt med nye retningslinjer og krav.
Økonomi
De økonomiske konsekvenser af NIS2-forordningen for kommunen er endnu ikke fuldt afklaret. Det forventes dog, at der vil være øgede udgifter forbundet med implementeringen, herunder til:
- Styrkelse af interne cybersikkerhedsressourcer
- Øget overvågning og rapportering
- Indkøb af nye sikkerhedsløsninger
- Eventuelle eksterne rådgivere og leverandørkrav
Det afventes, om der vil blive tilført midler til kommunerne gennem Økonomiaftalen, og det vil indgå som en del af budgetforhandlingen for budget 2026-2029.
