Den aktuelle høring omhandler den generelle lovgivning, som skal uddybes gennem sektorspecifikke bekendtgørelser. Danske Regioner har indhentet bidrag fra regionerne vedrørende denne generelle lovgivning, og på baggrund heraf udarbejdet et samlet høringssvar på vegne af regionerne med overordnede bemærkninger til lovforslaget. Det samlede høringssvar er godkendt af Danske Regioners bestyrelse d. 22. august 2024.
Bedre rammer for regionernes arbejde med cybersikkerhed
Danske Regioner finder det overordnet positivt, at der med lovforslaget præciseres fælles rammer for de tekniske, operationelle og organisatoriske tiltag, der skal implementeres for at sikre vores centrale og samfundskritiske funktioner, herunder sundheds- og transportsektoren.
Den danske sundhedssektor er yderst digitaliseret og er en central samfundskritisk sektor, og cyberangreb mod sektoren kan få afgørende betydning for hospitalsdriften og dermed patientsikkerheden samt borgernes tillid til sundhedsvæsenet. Danske Regioner har derfor i de seneste Økonomiforhandlinger forsøgt at sikre at sundhedsvæsnets parter i fællesskab prioriterer sikring af sundhedssektoren mod cybertrusler, så der opnås et tilfredsstillende sikkerhedsniveau.
Danske Regioner mener at rammerne og retningen i lovforslaget grundlæggende set er et skridt i den rigtige retning for en fælles sikring og forpligtelse af vores centrale samfundsfunktioner.
Danske Regioner bakker derfor grundlæggende op om lovforslaget.
Bemærkninger til rammer for implementeringen
Selvom Danske Regioner overordnet finder lovforslaget positivt, har Danske Regioner en række bemærkninger til rammerne for implementeringen, der kan sikre at det fælles formål vedr. øgede foranstaltninger til sikring af et højt cybersikkerhedsniveau understøttes bedst muligt.
Sektorspecifikke bekendtgørelser
Danske Regioner anerkender at sektorspecifikke bekendtgørelser er nødvendige for at adressere de unikke udfordringer og behov inden for hver af de sektorer, der underlægges NIS2. Den nuværende lovtekst, på grund af den manglende specificitet, gør det dog vanskeligt for regionerne at forberede sig tilstrækkeligt på de kommende krav, som hver sektor vil blive underlagt. Denne usikkerhed kan føre til udfordringer i planlægningen og allokeringen af nødvendige ressourcer.
Danske Regioner opfordrer derfor til, at der så hurtigt som muligt udarbejdes sektorspecifikke bekendtgørelser, så regionerne kan få den nødvendige klarhed og forberedelsestid. Disse bekendtgørelser samt eventuel rammebekendtgørelse forventer Danske Regioner selvfølgelig i rettidig høring.
Minimum implementering
Danske Regioner ønsker at understrege vigtigheden af at fastholde lovforslagets og regeringens principper, der sikrer minimumsimplementering på tværs af alle sektorer, herunder sundhedsvæsenet. Dette indebærer, at kravene skal være realistiske og gennemførlige uden at skabe unødvendige byrder for de involverede aktører. Det er vigtigt, at minimumsimplementeringens principper følges hele vejen igennem lovgivningsprocessen for at sikre, at ressourcerne bruges effektivt, og at de krav, der stilles, er proportionale i forhold til den faktiske risiko og trussel.
Risikobaseret tilgang
Danske Regioner vil fremhæve behovet for at fastholde en risikobaseret tilgang til cybersikkerhed gennem hele implementeringen af NIS2. Det er afgørende, at indsatsen fokuserer på at håndtere de største risici først og tilpasses efter de konkrete trusler som hver sektor står over for. Dette sikrer, at ressourcerne anvendes mest effektivt, og at de mest kritiske samfundsfunktioner beskyttes bedst muligt. En risikostyret tilgang vil også give regionerne mulighed for at tilpasse deres sikkerhedsstrategier til deres specifikke behov og udfordringer.
Økonomiske rammer for implementering
Danske Regioner er grundlæggende enig i, at det nuværende lovforslag ikke kan fastlægge de økonomiske konsekvenser ved implementering af NIS2 med sikkerhed. Ifølge EU’s egne beregninger, som også fremgår af lovforslaget, vil en NIS1-compliant organisation opleve en stigning på 12-15 % i it-sikkerhedsbudgettet, hvilket der i lovforslaget bliver estimeret til at koste regionerne mellem 60 og 100 mio. kr. årligt. Danske Regioner mener, at dette beløb er undervurderet, og set i lyset af, at kommende bekendtgørelser kan indeholde yderligere præciseringer, der vil øge omkostningerne yderligere, vil Danske Regioner forholde sig endeligt til økonomien når de specifikke bekendtgørelser foreligger.
Danske Regioner vil her særlig påpege Operational Technology -området, bl.a. CT-scannere, laboratoriesystemer og medicinfremstilling, og IOT-området, bl.a. glukosemålere, insulinpumper og andre typer af sensorer med netværksadgang. Det er uklart, hvorvidt, og i hvilket omfang, OT- og IOT-områder inkluderes i lovgivningen og begge er områder, der vil medføre betydelige ekstra omkostninger for regionerne. Vi opfordrer derfor til en præcisering på dette område i den sektorspecifikke bekendtgørelse, så det står klart, hvilke krav der vil gælde.
Danske Regioner vil pointere, at det er afgørende, at der sikres tilstrækkelige midler til at håndtere disse øgede omkostninger, både anlægs- og varige driftsmidler, så implementeringen af NIS2 ikke får negative implementeringskonsekvenser for de primære og samfundskritiske funktioner i sundhedsvæsenet.
Danske Regioner vil derfor, når de sektorspecifikke bekendtgørelser foreligger, løfte kompensation via DUT-forhandlingerne.
Implementeringsperiode
Givet de betydelige ændringer som NIS2-direktivet vil medføre, anbefaler Danske Regioner, at der gives tilstrækkelig tid og fleksibilitet i implementeringsperioden efter ikrafttrædelsesdatoen d. 1. marts 2025. Dette vil sikre, at regionerne kan foretage de nødvendige investeringer og organisatoriske ændringer uden at kompromittere den daglige drift, især inden for kritiske områder som sundhedsvæsenet. En realistisk og gradvis implementering vil også give mulighed for at justere og tilpasse indsatserne baseret på løbende erfaringer.
Tilsyn og Regulatorisk Sammenhæng
Danske Regioner anerkender behovet for at udmøntningen sker i sektorspecifikke bekendtgørelser, der sikrer de enkelte sektorers behov. Danske Regioner er dog bekymrede over, at forskellige sektorer vil være underlagt forskellige tilsynsmyndigheder med potentielt forskellige tilgange og krav. For regionerne, der opererer på tværs af sektorer, kan dette medføre en fragmenteret og uensartet regulering, hvilket kan føre til administrative meromkostninger, uensartet implementering og deraf begrænset effekt af lovforslaget.
Danske Regioner anbefaler en koordineret tilgang mellem forsvarsministeriet og de pågældende ressortministerier, der skal sikre sammenhæng og ensartede krav på tværs af sektorer.
Administrative byrder
Implementeringen af NIS2-direktivet vil kræve betydelige ressourcer til at opbygge og vedligeholde de nødvendige strukturer og processer år efter år. Danske Regioner er bekymret over, at de administrative byrder vil være betydelige, og der opfordres til, at der tages hensyn til dette i den endelige implementering af direktivet.
Ressource- og kompetencemangel
Danske Regioner er bekymrede for, at det vil blive vanskeligt at rekruttere tilstrækkeligt med kvalificeret arbejdskraft, da både den offentlige og private sektor vil skulle opfylde de samme krav i henhold til NIS2. Dette kan skabe en flaskehals i forhold til at få ansat de nødvendige it-specialister.
Koordinering med eksisterende nationale strategier
Danske Regioner anbefaler, at implementeringen af NIS2-direktivet koordineres tæt med eksisterende nationale strategier for cybersikkerhed og digitalisering, herunder den nationale strategi for cyber- og informationssikkerhed. Det er vigtigt, at de nye krav fra NIS2 harmoniseres med de initiativer og strukturer, der allerede er på plads, for at undgå overlap og dobbeltarbejde. Dette vil også bidrage til en mere effektiv udnyttelse af ressourcer og sikre en sammenhængende tilgang til cybersikkerhed på tværs af sektorer.
Kollektiv trafik
Inden for kollektiv transport deler vi de overordnede forbehold og bekymringer vedr. økonomi, implementering mv. og har enkelte særskilte opmærksomheds-punkter.
Med NIS2 vil flere transportaktører blive omfattet. Det fremgår af lovforslaget, at bl.a. jernbanevirksomheder og ”vejmyndigheder… der er ansvarlige for trafikledelse, med undtagelse af offentlige enheder, for hvilke trafikledelse eller drift af intelligente transportsystemer er en ikkevæsentlig del af deres generelle aktivitet” samt ”operatører af intelligente transportsystemer” er omfattet.
På Baggrund af ovenstående er det uafklaret om, hvor store dele af de regionale trafikselskabers virksomhed, der skal leve op til NIS2 og kravene til foranstaltninger til styring af cybersikkerhedsrisici. Det formodes, at en kommende sektorbekendtgørelse på transportområdet vil tydeliggøre om ud over de regionale baner også de regionale trafikselskabers buskørsel er omfattet, om den koordinerede kørsel i flextrafikken gør, at de her vil blive opfattet som operatører af intelligente transportsystemer samt om aktiviteterne i regi af Rejsekort og Rejseplan er omfattede. Der opfordres til, at den kommende sektorbekendtgørelse forholder sig til konsekvenserne af, at organiseringen af bl.a. de regionale baner adskiller sig – hvor kørslen nogle steder er udbudt til private aktører, så varetager andre lokalbaneselskaber selv driften.
I afsnit 4.1. ’Økonomiske konsekvenser og implementeringskonsekvenser for det offentlige’ fremgår, at ”Der vurderes desuden at være negative implementeringskonsekvenser”, hvilket i lovforslaget ikke er søgt kvantificeret. Det bemærkes, at implementeringskonsekvenserne alt andet lige må være højere for transportaktører, der ikke tidligere har været omfattet af kravene i NIS, end tilfældet er for andre aktører, der pt. lever op til kravene i NIS.
Også her er formodningen, at den kommende sektorbekendtgørelse på transportområdet vil være opklarende i forhold til de forventede økonomiske konsekvenser ved implementering og efterfølgende løbende opfyldelse.
Afslutningsvis vil Danske Regioner gerne udtrykke vores vilje til at samarbejde med relevante myndigheder for at sikre en effektiv og sammenhængende implementering af NIS2-direktivet.
Læs hele Danske Regioners høringssvar i pdf-format herunder: