Behov for ensartet og central implementering af cybersikkerhed

Kære Forsvarsminister Jakob Ellemann-Jensen, Minister for Digitalisering og Ligestilling Marie Bjerre og Udvalget for Digitalisering og It

Danmark er et gennemdigitaliseret samfund og derfor dybt afhængig af en velfungerende og stabil digital infrastruktur. Med digitaliseringen følger øgede trusler fra kriminelle eller fjendtlige aktører, som angriber den digitale infrastruktur eller de systemer, som understøtter leverancen af de samfundsvigtige tjenester. NIS 2 (Net og informationssikkerhedsdirektiv) stiller fælles europæiske krav til implementering af cybersikkerhedsforanstaltninger til gavn for det indre marked. Direktivet skal nu implementeres i Danmark - og vi skal i gang med det samme. Med dette brev kommer vi med forslag til en række konkrete tiltag.

Sektoransvarsprincippet betyder, at hvert ministerområde har ansvaret for egen sektor, fx. ift. beredskab og cybersikkerhed. Erfaringerne fra implementeringen af NIS1-direktivet fra 2018 viser, at der kunne have været en bedre koordinering mellem ressortministerierne. Fx fungerer tilsynet forskelligt på tværs af de omfattede sektorer, og mængden af ressourcer myndighederne har til opgaverne varierer meget. Når NIS2 skal implementeres i dansk ret, opfordrer vi til, at der sker koordination mellem ressortområderne, så tiltag er sammenlignelige, afspejler interdependensen mellem sektorerne og kan rapporteres på en fælles form. Det er vigtigt, at der findes en enighed om harmonisering på tværs af EU. Når nu vi står med et direktiv og ikke forordning, er det desto mere vigtigt, at der sker en harmonisering af den måde NIS2 implementeres på i de forskellige lande. Energikrisen i Europa som følge af krigen i Ukraine har vist, hvor sammenbundet Europa er f.eks. i forhold til el og gas.

Det er vigtigt med harmoniseringen, så vi kan have tillid hinandens kritiske infrastruktur og således man letter byrderne for de aktører, der opererer i mere end et EU-land. Der er behov for en fælles tilgang til lovgivningen, så der ikke skabes unødvendige forskelle mellem sektorerne eller EU-landene. Derfor anbefaler vi følgende:

• Fælles ramme for lovgivningen, som sikrer respekt for sektoransvarsprincippet, men også er operationel og sørger for, at sektorernes tiltag er sammenlignelige, passer til risici, afspejler sektorernes interdependens og kan rapporteres på en fælles form – herunder afklare om der er flere sektorer, der kan operere under samme myndighed.
• Fælles tilsynskoncept, som sikrer at sektorerne kan sammenlignes, og at der automatisk kan opsamles data på tværs af sektorerne til en samlet national vurdering af risici og compliance.
• Sikre koordination og harmonisering på europæisk plan, så de virksomheder, der er aktive i andre EU-lande, ikke rammes af forskellige krav, men kan bruge samme tilgang på tværs af alle landene.
• Sikre samspil med andre reguleringstiltag inden for sikkerhedsområdet, som enten er vedtaget eller undervejs, så de samme foranstaltninger kan understøtte flere lovgivninger.
• En offentlig kortlægning af foranstaltninger og ISO-standarder, så harmonisering af implementering understøttes, og så begrebsapparatet, der anvendes, er ensartet for alle omfattede enheder.
• Der er behov for en praktisk vejledning af, hvorledes NIS2 krav efterleves og implementeres. Der skal gives fælles rammer for multiforsyningsselskaber.
• Når der etableres CSIRTer skal det ske i samråd med berørte brancher og med mulighed for finansieringsbidrag. Der skal være en kompetent tilsynsmyndighed. Vi ser frem til samarbejde og tæt dialog om implementeringen af NIS 2 direktivet.

Underskriverne af denne henvendelse er naturligvis til rådighed for spørgsmål og samarbejde. Med venlig hilsen DANVA, Dansk Erhverv, Dansk Fjernvarme, Dansk Industri, Dansk IT, Ingeniørforeningen, IT-Branchen, Rådet for Digital Sikkerhed og PROSA