Eksperten råber hurra: EU svinger cybersikkerhedens kost!Og så skulle man ellers tro, at det var løgn: En ekspert jubler over EU-regler. Ikke bare nikker men hopper nærmest i stolen. Ken Bonefeld, rådgiver i cybersikkerhed, nærer en stille glæde over NIS2-direktivet, som skal gøre Europa til et sandt Fort Knox i farlige digitale tider. Endelig, udbryder han, mens han trommer ivrigt i bordpladen, endelig noget fra Bruxelles, der ikke bare er papirer og paragraffer, men fornuftig lovgivning, der kan mærkes derude, hvor dataledningerne gnistrer og kommunikationssystemerne summer.Bekymringen har ellers været hans tro følgesvend. Han ser ind i Danmark et hyper-digitalt vidunderland og ryster ængsteligt på hovedet: Vi er åbne som et sommerhusvindue i ferieperioden, sukker han. For hvad hvis vand, varme og telefon forsvinder, fordi nogen på den anden side af kloden har klikket? Hvis alt det, der får dagligdagen til at klappe, bliver som sunket i jorden?Alt er jo koblet på netværk. Kommunal drift, hospitaler, energianlæg og nu også fødevarer og affald. Danmark er et let bytte, hvis de forkerte får fat i den digitale nøgle.Direktør på gyngende grundI gamle dage var det kun bankrøvere, der blev jaget nu risikerer selv direktøren for et rigteligt lovlydigt kontorfællesskab med en svag firewall at blive hevet i retten. NIS2 stiller sig på tæer og peger direkte på toppen: “Du er ansvarlig!” Nu kan det altså ende med både bøder og ballade, hvis det ikke er i orden med sikringen for bare en enkelt slap underleverandør kan trække hele læsset ned.Og det betyder, at dem, der før havde held med et lynhurtigt Excel-ark og en håndfuld undskyldninger, nu skal oppe sig. Man kan ikke længere bare krydse af, at der findes en katastrofeplan: Den skal også kunne overleve et massivt cyberhug fra sortbørshackere med ondt i sinde.Samsik og kapløbet med tidenI det tidligere Center for Cybersikkerhed nu den håbefulde Styrelse for Samfundssikkerhed nikker direktør Laila Reenberg forsøgsvis roligt. Hun sammenligner situationen med et snedigt våbenkapløb, hvor kriminelle konstant får skrappere redskaber mellem fingrene. De stopper ikke, bare fordi kalenderen melder industriferie eller Far med Fadøl, og hun har ikke meget til overs for, at nogen smyger sig uden om forpligtelserne. Vi har et papirnusseri, siger Bonefeld, nogen får styr på det hele, nogen gør det kun på overfladen, og så er der dem, der skyder skylden på heldet. Men held bider ikke fra sig, når serverne først lægger sig.Skal vi bruge pisken eller bare en pegepind?Med EU i ryggen kan myndighederne nu svinge både gulerod og kæp. Men i første omgang vælger Laila Reenberg et dialogbaseret tilsyn “Vi starter med samtalen. Ondt i sjælen, før bødehæftet,” siger hun. Men hun ved, det kan blive nødvendigt at svinge tasken, hvis snakken ikke hjælper.For hackerne? De sover ikke. De holder hverken påske eller højsommer. De respekterer intet. Derfor er Bonefeld utålmodig: Nu skal det løftes, det digitale sikkerhedstæppe. Der er ikke tid til at vente og håbe, at uvejret går uden om døren.Så jyder, sjællændere, vendelboer og bornholmere lad nu ikke snusfornuften ende i nøleriets mørke. For en dag kan strømmen gå. Ikke fordi en dåse makrel er åbnet i den gale ende, men fordi nogen fandt vejen ind gennem en kommunal printer på vagtens nattevagt.Og så hjælper det ikke bare at håbe på det bedste eller skjule sig bag skinnende styringspapirer. Så skal der styr på cybersikkerheden ellers jubler ingen.
En ny alvor: Når cybersikkerhed bliver alles ansvar.En sjælden glæde blandt eksperter har meldt sig i de danske korridorer, hvor computerkablerne snoer sig i skyggen af offentlige kontorer og virksomheders serverrum. For en gangs skyld mødes nye EU-regler om cybersikkerhed ikke med det sedvanlige suk eller en reserveret skepsis. Én af dem, som ikke lægger skjul på sin tilfredshed, er sikkerhedseksperten Ken Bonefeld, der længe har betragtet sikkerheden om vores samfunds digitale puls med en mildt sagt bekymret mine.”Det er en fornøjelse at se, hvordan EU faktisk har lavet noget lovgivning, der giver rigtig god mening i praksis,” lyder det fra rådgiveren, der nu omend kortvarigt lader frygten vige for et gran af fortrøstning. For NIS2-direktivets indtog er et tegn på en ny alvor; en erkendelse af, at vi aldrig har været så digitalt forbundne og dermed udsatte som i disse år.Skyggerne vokser omkring den kritiske infrastruktur: energi, vand, sundhed, transport. At én af disse knækker, mærkes ikke blot i systemet; det mærkes i mennesket. Vi, der hidtil har befundet os trygt i civilisationens kredsløb, kan brat finde os stående i mørket, bogstaveligt og billedligt, hvis angrebet rammer det usynlige nervesystem, der bærer hverdagen. Skulle posthusets vogn lade være at ankomme, tåles det; men hvis hospitalets overvågning, skolens adgangssystem eller byens vandforsyning lammes, ruppes masken af normalitetens ansigt.Herfor kræver det ikke kun regler, men vilje og ansvar. Med NIS2 overskrides en grænse, idet ansvaret nu også omfatter de underleverandører, der forsyner systemerne og samfundet med de nødvendige dele af deres digitale eksoskelet. Og ingen kan længere gemme sig bag titler eller paragraffer: direktøren holdes ansvarlig, skødesløsheden kan koste både ry, virksomhed og måske endnu mere. En ledelse, der har svigtet sikkerheden, må ikke længere regne med et mildt pusterum. Loven er blevet alvor.Men i denne alvor ligger også en insisteren på det dialogiske; myndighederne begynder ikke med løftede pegefingre, men med udstrakt hånd. Rådgivning, vejledning, opfordring. Først senere, hvis det skulle være nødvendigt, bringes sanktionens hammer i spil: bøder, påbud, og måske endda den sidste og hårdeste konsekvens.Men bølgegangen mellem dialog og disciplin skjuler ikke den fundamentale nødvendighed: at det ikke længere alene handler om paragraffernes tvang, men om indtrængende realiteter udenfor. Kriminaliteten og fjenden står ikke stille, venter ikke på, at mails besvares eller strategier færdiggøres. Våbenkapløbet mod den usynlige fjende er evigt, for hver gang en sårbarhed lappes, leder nogen andre efter den næste. Den digitale trussel kender intet kompromis træthed lader sig ikke indføje i dens kalender.Virksomheder og myndigheder må derfor ikke kun tænke i papirer og godkendelser, men i levende praksis, hvor beredskabet ikke er et arkiv, men en nervesans i systemet. ”Vi er nødt til at løfte niveauet og barren for dem, der hænger i bremsen,” lyder det fra Ken Bonefeld med både alvor og appel. For det handler ikke kun om regler, men om at forstå og indse, at det digitale samfunds sårbarhed er alles ansvar og at der ingen bagdør er, hvor truslen kan lukkes ude, hvis man én gang vælger at overse den.Var det ikke netop i civilitetens ånd, at vi forpligtede os til hinanden? At trygheden mellem borger og samfund ikke blot var givet, men noget, der skulle opretholdes ved fælles indsats en gensidig etisk fordring? I cybersikkerhedens landskab må vi nu vende os mod denne gamle indsigt, og lade den blive teknologisk praksis midt i samtiden.For truslen venter ikke, og ingen ferie eller grænse bremser nødvendighedens krav.---Af [journalistens navn]
EU slår tonen an cybersikkerhed får tænder.Der var engang, hvor danske kommuner kunne svælge i selvtilfredshed over digitale løsninger og lunkne risikoanalyser. Hvor direktørernes blikke gled drømmende hen over regnearkene, mens ledningerne glimtede trygt i kabelrenderne. Men så begyndte det at lugte brændt i kulissen og denne gang er det ikke bare den gamle server, der smelter. Det er hele forestillingen om Danmarks digitale usårlighed.En ny melodi runger nu gennem Europa: NIS2-direktivet. Ikke bare et døgnflue-udspil fra EU’s lyse kontorer, men et skarpt indgreb og en forandring af spillets regler. For første gang sidder en ekspert med armene oppe og ser reelle tænder i politikernes velmenende lovgivning. Han taler skarpt og uden forbehold: “Endelig styr på sagerne. Sikkerhed uden undvigelser, uden papirnusseri. Et eksempel på fornuft i en politisk verden, hvor spin og symbolpolitik ellers går hånd i hånd.”Bekymringen er nemlig til at tage og føle på. Et Danmark, der praler med digitalisering, er også et Danmark, der balancerer på cybertruslernes knivsæg uanset om det er et elektricitetsværk i Esbjerg eller tres tusind sjæle, der venter på rent drikkevand i et kommunalt netværk. Én nølende chef, én slap kommune, én overset leverandør det er alt, hvad det kræver. Hvilket samfund ønsker vi, når de første hackere smider grus i maskineriet?Her sætter NIS2 ind med tættekam og dobbeltlaget sikringsnet. Ikke alene skal virksomheder og myndigheder arbejde sig igennem sikkerhedskrav, de bliver også på det personlige plan ansvarlige. Direktører kan ikke længere gemme sig bag procedurer, for et klik på den forkerte mail kan fremover ende i retten. Ingen slipper, heller ikke hvis fejlen ligger hos underleverandørens underleverandør.Men lyder det som håndslag og jernnæver, er der stadig tyngde i skæret fra det gamle Danmark. Tilsynet er stadig præget af opdragelse og dialog. Der vejledes, nikkes og klappes på skulderen. Men hvor længe holder den bløde kurs, før hammeren må falde? For cybertroldene venter ikke til embedsmændene har fået kaffe og rundstykker. Hackerne arbejder altid, i skygger uden ferie, uden grænser.Ifølge ekspertens analyse er tiden løbet fra dialog og fortrøstning. De virksomheder og myndigheder, der stadig sætter deres lid til heldet, spiller hazard med samfundets blodkar. At leve op til kravene er ikke længere flot, men selvfølgelig. Tingene skal have rod i virkeligheden, i rutiner og i ledelsens ansvar ikke i pæne rapporter, der samler støv på direktørens skrivebord.Hvad end det er et spørgsmål om politiske vinde, tekniske fremskridt eller den benhårde logik, der hersker i cyberspace, er konklusionen uafviselig: Vi skulle have gjort det i går. Nu gør vi det i dag, for i morgen ja, i morgen kan vi kun gætte på, hvad der skal forsvares.Samfundets nerver er digitale. Og de cyberkriminelle får aldrig sommertid mens regneark, paragraffer og direktiv-titler bøjer sig for virkelighedens enkle sandhed: Enten flytter du dig, eller også vælter du.