Et fravalg er også et valg.
Der er taget et valg om at kommunerne ikke er omfattet af NIS2
Sammen med Sarah Aalbprg og Thomas Kristmar fra Dansk ITs udvalg for cybersikkerhed har jeg skrevet et debatindlæg i JP.
I indlægget skriver vi bl.a.:
Rygraden i enhver fornuftig cybersikkerhedsstrategi er at foretage en skarp risikovurdering.
Hvilke risici kan vi leve med, og hvilke kan vi ikke leve med?
Nogle risici er uacceptable og skal derfor reduceres eller helt fjernes.
Andre kan nedprioriteres af ressourcemæssige hensyn – og hvem der tager ansvaret for de beslutninger, bør stå lysende klart.
Udeladelsen af kommunerne i dansk NIS2-lovgivning repræsenterer således en markant risikovurdering:
”Vi kan godt leve med, at følsomme borgerdata i kommunerne ikke beskyttes på NIS2-niveau”
I udvalget ønsker vi ikke at tage standpunkt hverken for eller imod at kommunerne er omfattet af NIS2 og vi ønsker heller ikke at gå ind i en diskussion om hvorvidt kommunerne skal have flere penge eller ej.
Vi ønsker alene en debat om den risikovurdering, der er ved at vælge ikke at lade kommunerne være omfattet af NIS2.
Ved at udelade kommunerne kan diskussionen af ressourcer og hvem-skal-nu-betale fortsætte på ubestemt tid, mens risikoen for, at følsomme borgerdata bliver stjålet eller ødelagt, bare vokser og vokser.
Og vigtigst at alt:
Hvem tager ansvaret, hvis (læs når) det går galt?
Ingen, så vidt vi kan se!
Debatindlægget kan læses her: