Blandet modtagelse af EU-forslag om it-sikkerhed

Af Claus Djørup
EU-kommissionens forslag til en forordning om frivillig cyberberedskabssolidaritet får en blandet modtagelse både i landekredsen og på Christiansborg.

Med afsæt i Dansk Industris kritiske høringssvar stillede EU-ordfører Karin Liltorp (M) et hørupsk spørgsmål, da forsvarsminister Troels Lund Poulsen (V) fremlagde sin forhandlingsposition for europaudvalget fredag 13. oktober:

– Vi skal uden tvivl tage cybersikkerhed alvorligt, men er der overhovedet brug for dette tiltag?

– Fuldstændig enig, indskød EU-ordfører og udvalgsformand Niels Fl. Hansen (K).

– Det er et ekstra lag på NIS2-direktivet, som først træder i kraft i oktober 2024, istemte EU- og it-ordfører Alexander Ryle (LA).

SF: Tillid kræver klare definitioner og aftaler
EU-ordfører Marianne Bigum (S) ser frem til forsvarsministerens lovforslag om gennemførelsen af NIS2-direktivet (cybersikkerhed i net- og informationssystemer), hvilket vil levere klare definitioner på kritisk infrastruktur og krav til energisektoren.

– Balancen i medlemsstaternes samarbejde er meget vigtig. Udfordringen vil ofte være grænseoverskridende handlinger – som f.eks. kriminalitet og angreb – og tilliden til, at sårbare informationer om organisationer og virksomheder ikke bliver givet videre, uden at det er analyseret eller er relevant i forhold til den enkelte hændelse.

– Det nødvendiggør, at der fra start af bliver defineret og aftalt, hvilke typer informationer man er forpligtet til at udveksle og i hvilket format, pointerede Marianne Bigum.

Regeringen hælder til tilslutning
Danmark vælger selv ved aktivt tilvalg, om der skal ske en dansk tilslutning til initiativet, understregede Troels Lund Poulsen.

Han mener umiddelbart, at det vil give god mening at deltage i det foreslåede cyberskjold ikke mindst i forhold til deling af viden og erfaringer med cyberhændelser, men det vil først blive vurderet, når man kender omfanget af NIS2 (cybersikkerhed i net- og informationssystemer).

– Vi ser ind i en verden, hvor vi bliver nødt til at ofre meget større opmærksomhed på hybride trusler, hybrid krigsførelse, hvad enten det er data og telekommunikation eller kritisk infrastruktur. Udviklingen foregår så hurtigt, at det bliver et meget stort tema de kommende år. Derfor giver dette giver meget mening, men det er klart, at man ikke skal duplikere ting, sagde Troels Lund Poulsen.

Det andet, beslægtede direktivforslag handler om cybersikkerhed i net- og informationssystemer (NIS2-direktivet).

Hemmeligheder deles ikke med EU-kommissionen
Hovedpunkterne i forslaget til ”forordning om foranstaltninger til styrkelse af solidariteten og kapaciteten i unionen til at opdage, forberede sig og reagere på cybersikkerhedstrusler og -hændelser” er:
1) infrastruktur for sikkerhedscentre – det europæiske cyberskjold – for at styrke det fælles situationskendskab og kapaciteten til at detektere hændelser,
2) en cyberberedskabsmekanisme til styrkelse af EU-landenes beredskabs- og reaktionskapacitet og sikre hurtig genopretning cybersikkerhedshændelser, og
3) evaluering og læring af væsentlige eller omfattende hændelser,
4) en budgetmæssig cyberreserve til dækning af europæiske cybersikkerhedsfirmaers indsats ved hændelser.

Ingen voterede imod mandatet, som lægger stor vægt på afgrænsning af kommissionens beføjelser til at udstede retsakter for samarbejde mellem nationale sikkerhedscentre.

Den danske forsvarsminister lægger også stor vægt på, at rammerne for datadeling aftales internt mellem de nationale centre for at beskytte klassificerede eller følsomme oplysninger.

Afvent NIS2-erfaringer
Der eksisterer allerede forskellige former for videndeling mellem cybersikkerhedsenheder på tværs af EU og ikke mindst på tværs af vores allierede, der også omfatter lande uden for EU, påpeger Dansk Industri i sit høringssvar.

”DI finder derfor, at der ikke er brug for nye lignende tiltag, før man har fået erfaringer fra NIS2-implementeringen og analyseret, hvad der konkret er brug for i forhold til f.eks. videndeling,” hedder det.

Norge bedst til forsvar
IT-Branchen benytter lejligheden til at oplyse, at det er muligt at lave en national – læs dansk – ”null routning” ved et overbelastningsangreb, dvs. omdirigere e-post fra en DDoS-angribers (Distributed Denial of Service – “ude-af-drift”-angreb) ud i et sort hul.

I Danmark tager det sted imellem et par timer og flere dage, mens Norge etablerer blokeringen på fem minutter. Derfor anbefaler brancheforeningen at indføre og teste det i alle lande, således at man i en krise kan lukke ned for visse IP´er/URL´er eller landes trafik.

To lovforslag i februar om digitalt forsvar – NIS2 og CER
Ifølge lovprogrammet fremsætter forsvarsministeren – ikke it- og digitaliseringsministeren – to sammenhørende lovforslag om gennemførelse af cyberdirektiver

Det første er NIS2-direktivet om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele EU. NIS står for Network and Information Security. Dette direktiv etablerede CSIRT-kapaciteter (Computer Security Incident Response Team). Den hjemlige it-sikkerhedsmyndighed er Center for Cybersikkerhed (CFCS).

Det andet er CER-direktivet (Resilience of Critical Entities) om kritiske enheders modstandsdygtighed.

For to år siden fik daværende forsvarsminister Trine Bramsen (S) mandat den 18. november 2021. Ved den lejlighed var Alex Ahrendtsen (DF) ene om at votere nej i bekymring dels for de øgede byrder for erhvervslivet, dels regeringens alt for positive holdning til en sag, som er en national prioritet.

– Sikkerhed kommer til at koste noget for alle. Alle bliver nødt til at investere og være med til at løfte ansvaret for sikkerhed. Erhvervsorganisationerne tager generelt positivt imod forslaget og kan se store fordele i at styrke modstandsdygtighed og mere ensartede minimumsregler på tværs af EU, sagde Trine Bramsen om NIS2 og CER. (Dj/291023)

© Ophavsretsklausul: Fagpressebureauets artikler og billeder må kun anvendes, distribueres eller publiceres efter aftale. Dette gælder også de i artiklerne nævnte personer, institutioner og virksomheder.