Danmark er sårbart overfor cyberangreb: ikke klar til nye EU-regler

Danmark er et af Europas mest digitaliserede samfund. Næsten alle dele af hverdagen, fra sundhedsvæsen til transport, drives af digitale systemer. Fra MitID til Rejsekort. Men høj digitalisering betyder ikke nødvendigvis høj sikkerhed.

”Vi står over for den største cybertrussel nogensinde, men vi er ikke klar. Truslerne kommer både fra kriminelle ransomware-grupper, der afpresser virksomheder, og fra fjendtlige statsaktører,” siger Jan Lemnitzer, adjunkt ved Copenhagen Business School, hvor han forsker i europæisk cybersikkerhedspolitik og blandt andet rådgiver om implementeringen af EU’s NIS2-direktiv.

Ifølge Jan Lemnitzer er Danmarks kritiske infrastruktur, herunder kommuner og mellemstore virksomheder, dårligt forberedt på kravene i NIS2-direktivet, der skal styrke cybersikkerheden i Europa.

Dermed risikerer Danmark at holde døren åben for cyberangreb, ifølge Jan Lemnitzer.

”Nogle virksomheder gambler allerede med, at tilsynsmyndighederne ikke er klar. De overholder ikke reglerne,” siger han.

Kommuner er inkluderet, men ikke forberedt

NIS2 udvider definitionen af kritisk infrastruktur. Det er ikke længere kun store banker og energiselskaber, der skal kunne dokumentere, at de håndterer cyberrisici.

Nu er også kommuner, busselskaber, spildevandsanlæg og mange mellemstore virksomheder med over 50 ansatte omfattet af direktivet.

At kommunerne er med giver god mening, vurderer Jan Lemnitzer. De ligger inde med enorme mængder persondata og leverer vitale ydelser i et digitaliseret samfund. Men de er samtidig blandt de dårligst forberedte på at forsvare sig.

”Kommunerne er nu klassificeret som kritisk infrastruktur, og det giver mening, fordi de rummer så mange følsomme data og driver essentielle tjenester. Men deres cyberforsvar er svagt. De har hverken ekspertisen eller budgetterne. De kan ikke tiltrække topeksperter, og politisk ville det være meget upopulært at tage penge fra børnehaver for at betale for DDoS-beskyttelse,” siger han.

Delt ansvar forsinker implementering

EU-landene skulle have omsat NIS2 til national lovgivning senest i oktober 2024. Danmark har dog først udskudt implementeringen til sommeren 2025, og håndhævelsen kan risikere at komme til at vente på sig i mange måneder endnu, advarer Jan Lemnitzer.

Ministeriet for Samfundssikkerhed og Beredskab har hovedansvaret, men håndhævelsen af NIS2-direktivet bliver fordelt på ti forskellige myndigheder indenfor ti forskellige sektorer – såsom Transportstyrelsen og Fødevarestyrelsen.

Tanken er, at hver myndighed skal kontrollere, om organisationer i deres sektor håndterer cyberrisici korrekt. Men i praksis mangler de fleste kompetencerne til det, vurderer Jan Lemnitzer.

”Hvem i Fødevarestyrelsen kan sige til Arla, at de ikke har styr på cybersikkerheden? De har ikke medarbejdere, der realistisk kan vurdere, om Arlas cybersikkerhedsstyring er på plads. Så Fødevarestyrelsen og andre myndigheder vil ende med at hyre Deloitte eller PwC til at gøre det for dem,” siger han.

Denne opdeling og mangel på ekspertise betyder, at håndhævelsen sandsynligvis bliver langsom og inkonsekvent. Og så længe reglerne ikke håndhæves, vil mange virksomheder og kommuner udskyde investeringer i overholdelse, vurderer Jan Lemnitzer.

Ikke kun data: Angreb kan lamme vand og transport

Jo længere tid, der går, før NIS2 bliver håndhævet, jo længere tid er det danske samfund sårbart over for cyberangreb. Danmarks høje digitalisering betyder samtidig, at ét svagt led kan få store konsekvenser.

I 2022 blev DSB tvunget til at indstille al togdrift i en dag på grund af en leverandørs IT-nedbrud.

I december 2024 medførte et prorussisk cyberangreb mod et mindre vandværk ved Køge, at 50 husstande stod uden vand i flere timer, efter hackere manipulerede trykket i systemet.

”Selvom det kan virke som et lille angreb, ændrede det faktisk den nationale risikovurdering for cyberangreb, da det viste, at russiske hackere aktivt angreb dansk infrastruktur,” siger Jan Lemnitzer.

Og regeringens opfordring til husholdninger om at opbevare mad og vand til tre dage bygger på scenarier med cyberangreb mod elnettet.

”Det handler ikke kun om data. Et vellykket angreb kan betyde ingen vand, ingen tog, intet mobilsignal. Vi står over for den største cybertrussel nogensinde, men vi er ikke klar. Reglerne findes, men så længe de ikke håndhæves konsekvent, vil virksomheder og kommuner udskyde at leve op til dem. Og det gør os sårbare,” siger Jan Lemnitzer.

CBS lancerer SUCCESS-værktøjet

En del af udfordringen med NIS2 er, at mange små og mellemstore virksomheder og kommuner mangler de interne kompetencer til at opfylde kravene. Konsulenter er dyre, og kvalificeret arbejdskraft er en mangelvare.

For at afhjælpe situationen arbejder Jan Lemnitzer og hans team på CBS lige nu på at lancere et nyt værktøj til SMV’er i begyndelsen af oktober – under Cybersecurity Awareness Week.

SUCCESS-værktøjet er designet til at hjælpe organisationer uden cybersikkerhedsafdelinger med at gennemføre de risikovurderinger, som NIS2 kræver.

”De fleste SMV’er har hverken ekspertise eller budget til at hyre konsulenter. SUCCESS er et Excel-baseret værktøj, hvor man blot udfylder en formular. Det kræver ingen specialuddannelse men hjælper virksomhederne med at udføre og dokumentere de risikovurderinger, NIS2 kræver,” forklarer Jan Lemnitzer.

Ved at omsætte forskning til praksis håber Jan Lemnitzer at hjælpe mindre organisationer med at efterleve EU’s regler og styrke Danmarks samlede modstandsdygtighed.

”Hvis SMV’er kan hæve deres cybersikkerhedsstandarder, gør det en forskel – ikke kun for Danmark, men for hele Europa,” siger Jan Lemnitzer.

//

Kontakt: 

Jan Lemnitzer, adjunkt på Institut for Digitalisering, Copenhagen Business School.

Telefon: +45 41852173 (Bemærk: Engelsktalende)

Mail: jl.digi@cbs.dk

Faktaboks:

Ransomware er en type malware (skadelig software), der låser dine filer og systemer eller krypterer dem for at forhindre adgang. Derefter opkræves en løsesum for at give adgangen tilbage.

DDoS - Distributed Denial of Service - er et cyberangreb, hvor angriberen oversvømmer et netværk eller en hjemmeside med så meget falsk trafik, at den bliver overbelastet og utilgængelig for legitime brugere.

Om forskeren:

Jan Martin Lemnitzer er adjunkt ved Institut for Digitalisering på Copenhagen Business School. Han har en kandidatgrad fra Heidelberg University og en ph.d. fra London School of Economics and Political Science.

Med en baggrund i international politik og historie undersøger hans forskning cybernormer og cybersikkerhed i international politik. På det seneste har han især fokuseret på cybersikkerhed i virksomheder, cyberforsikring og regulering af cybersikkerhed (særligt implementeringen heraf).