Hvorfor er NIS2-compliance vigtig for kommuner? Kommuner håndterer kritiske tjenester for borgere og virksomheder. Et cyberangreb kan påvirke alt fra sociale ydelser og sundhedsdata til skole- og borgerservices. Derfor er NIS2 ikke blot et lovkrav. Det er en nødvendig del af kommunernes digitale sikkerhedsstrategi.

Foranstaltninger for kommuner: Kommunerne betragtes som væsentlige enheder jævnfør ”Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau (NIS 2-loven)”. Det vil sige at de skal overholde og implementere følgende foranstaltninger:

Desuden skal den øverste administrative ledelse i kommunen sikre, at de sikkerhedsforanstaltninger der implementeres bliver godkendt og tilsynsføres. Derudover skal ledelsen deltage i relevante kurser angående cybersikkerhedsstyring og tilskynde at andre ansatte tilbydes relevante kurser.

Underretningspligt: Kommuner skal på lige fod med andre underlagte enheder, indrapportere væsentlige hændelser til den relevante kompetente myndighed, samt Computer Security Incident Response Team (CSIRT). En hændelse vurderes som væsentlig hvis følgende gør sig gældende:

1) Hændelsen har forårsaget eller er i stand til at forårsage alvorlige driftsforstyrrelser af tjenesterne eller økonomiske tab for den berørte enhed.

2) Hændelsen har påvirket eller er i stand til at påvirke andre fysiske eller juridiske personer ved at forårsage betydelig fysisk eller ikkefysisk skade.

Desuden skal en underretning bestå af følgende:

1) En tidlig varsling indenfor 24 timer efter en hændelse som er forsaget af ulovlige eller ondsindede handlinger opdages.

2) En hændelsesunderretning skal afsendes indenfor 72 timer. Denne skal indeholde oplysningerne fra den tidlige varsling som skal give en indledende vurdering af den væsentlige hændelse, herunder dens alvor og indvirkning samt kompromitteringsindikatorer.

3) En endelig rapport skal fremsendes senest 1 måned efter fremsendelsen af den hændelsesunderretning, der er fremsendt 72 timer efter hændelsens. Rapporten skal indeholde følgende:

 a) En detaljeret beskrivelse af hændelsen, herunder dens alvor og indvirkning.

 b) Den type trussel eller grundlæggende årsag, der sandsynligvis har udløst hændelsen.

 c) Anvendte og igangværende afbødende foranstaltninger.

 d) De eventuelle grænseoverskridende virkninger af hændelsen.

Med denne tilgang kan kommuner skabe stabil drift, effektiv beskyttelse af borgerdata og et dokumenterbart grundlag for NIS2-overholdelse.

Det anbefales at anvende Nesp.One, da vi kan rådgive og hjælpe kommuner med følgende:

1) Afholdelse af NIS2 ledelseskurser tilpasset jeres kommune.



2) Afholdelse af Awareness kurser for kommunes medarbejdere.



3) Udarbejdelse af GAP-analyse for kommunen.



4) Rådgivning/udarbejdelse af kommunens politikker og processer.



5) Rådgivning/udarbejdelse af oversigt over informationsaktiver.



6)  Rådgivning/udarbejdelse af kommunens risikovurdering.

Fra ambition til ansvarlig implementering: Danmark er et af verdens mest digitaliserede samfund. Med en stærk digital økonomi og en højt digitaliseret offentlig sektor er potentialet for at anvende kunstig intelligens (AI) i kommunerne betydeligt. AI kan bidrage til øget effektivitet, bedre beslutningsgrundlag og mere sammenhængende service til borgerne.

Samtidig følger der et stort ansvar med. Kommunerne skal sikre, at implementeringen af AI ikke underminerer den høje tillid, som borgerne har til de offentlige institutioner. Derfor bør fokus ikke blot være på at tage AI i brug, men på at implementere troværdig AI.

Rejsen mod troværdig AI begynder længe før, der indkøbes eller udvikles et AI-system. Det første skridt er at skabe klarhed over, hvorfor AI er relevant, og hvilke konkrete opgaver teknologien kan løse på en meningsfuld måde.

Ikke alle udfordringer kræver en AI-løsning. AI kan påvirke borgernes rettigheder, adgang til ydelser og generelle trivsel, og derfor er det afgørende tidligt at identificere potentielle risici. At en teknologi kan anvendes, betyder ikke nødvendigvis, at den bør anvendes. Særligt hvis centrale værdier som fairness, gennemsigtighed eller ansvarlighed kan bringes i spil.

Denne indledende afklaring er også afgørende for beslutningen om, hvorvidt en AI-løsning skal købes hos en leverandør eller udvikles specifikt til kommunens behov. Begge valg medfører forskellige forpligtelser og roller i forhold til EU’s AI Act.

Juridiske, etiske og tekniske krav hænger uløseligt sammen: Kommunerne arbejder dagligt med personoplysninger og følsomme data. Derfor er det helt centralt, at AI-løsninger overholder gældende lovgivning om databeskyttelse og er designet til at minimere risikoen for bias og diskrimination.

Men lovlighed alene er ikke tilstrækkeligt. AI i den offentlige sektor skal også være etisk forsvarlig og afspejle samfundets værdier. Det indebærer blandt andet gennemsigtighed, respekt for borgernes rettigheder og en klar ansvarsplacering. Samtidig skal teknologien være robust, stabil og sikker – også i uforudsete situationer.

For mange kommuner er det en kompleks opgave at balancere disse juridiske, etiske og tekniske krav uden specialiseret støtte.

Når kommuner implementerer AI, har de et særligt ansvar for at beskytte borgernes værdighed og trivsel. Det betyder blandt andet, at der skal være reel menneskelig kontrol og tilsyn, at AI-systemer er sikre og modstandsdygtige over for angreb, og at resultaterne er pålidelige og kan genskabes.

Data må aldrig anvendes ulovligt eller på måder, der kan føre til diskrimination. Samtidig skal AI-baserede løsninger være tilgængelige for alle borgere, og der skal træffes aktive foranstaltninger for at undgå uretfærdig skævhed.

Implementering af troværdig AI er krævende, men også en mulighed. Med den rette tilgang kan kommuner udnytte AI’s potentiale og samtidig styrke borgernes tillid til den offentlige sektor.

Her gør målrettet AI-rådgivning en reel forskel: ved at hjælpe kommuner med at omsætte ambitioner til ansvarlige, compliant og værdibårne AI-løsninger – hele vejen fra strategi til implementering.