Sidste års angreb mod Mærsk viser, hvad transportbranchen er oppe imod, hvis nogen vil ødelægge en virksomhed med et angreb på dens IT-systemer. Derfor er en ny lov på vej, som skal tvinge de vigtigste transportselskaber og havne til et særligt højt niveau for net- og informationssikkerhed.

Lovforslaget er sat til vedtagelse den 19. april og træder i kraft den 10. maj. Det bygger på et EU-direktiv, som skal være omsat i dansk lovgivning senest den 25. maj - det såkaldte NIS-direktiv (The directive on security of Network and Information Systems).

De nye krav handler om styring af risici for hændelser, der vil forstyrre de mest samfundsvigtige transporttjenester. Selv fremhæver transportminister Ole Birk Olesen (LA) tjenester som Københavns Lufthavn, DSB, Banedanmark og Naviair; men listen over selskaber, som er kritiske for Danmark, vil også omfatte flere private selskaber.

- Både private virksomheder og myndigheder skal indberette sikkerhedshændelser via portalen Virk.dk. Myndighederne skal have ret til at fortælle offentligheden, hvad der er foregået, mener ministeren. Oplysninger om konkrete hændelser kan i nogle tilfælde være meget værdifulde for den brede offentlighed og for andre virksomheder med net- og informationssystemer.

Skal investere i en certificering
Den umiddelbare konsekvens er en certificering, som skønnes at koste den enkelte virksomhed omkring 200.000 kroner. Dertil kommer vedligeholdelse af certifikatet.

Ole Birk Olesen fremhæver dog, at de fleste transporttjenester allerede befinder sig på NIS-direktivets niveau. Det gælder eksempelvis Danske Havne, som erklærer, at de eksisterende obligatoriske sikkerhedsforanstaltninger opfylder NIS-lovgivningens krav til indberetninger og kontrol.

Skal købe kompetencen
Det fremgår såmænd af lovforslaget, at styrelsen enten skal rekruttere medarbejdere med særlig kompetence til at håndtere meget specialiserede IT-sikkerhedsopgaver eller købe denne kompetence hos eksterne konsulenter.

Tilsynet skal klares inden for de eksisterende bevillinger, og der kan eventuelt opkræves brugerbetaling.

Det forventes ikke, at tilsynsopgaven vil være særlig omfattende. Det vil hovedsageligt bestå i en gennemgang af de certificerende organer og en efterfølgende vurdering af, om operatørerne lever op til betingelserne for at opretholde certifikatet.

- Opgaven kan varetages som et led i de tilsynsopgaver, som styrelsen allerede har på transportområdet, pointerer Ole Birk Olesen.

Kritik af efterretningstjenesten
Dansk Institut for Menneskerettigheder og IT-Politisk Forening kritiserer, at Center for Cybersikkerhed varetager rollen som CSIRT og dermed modtager underretninger om hændelser. Kritikken skyldes, at Forsvarets Efterretningstjeneste er undtaget fra offentlighedsloven og centrale dele af forvaltningsloven.

Den kritik deler Enhedslisten, Alternativet, Det Radikale Venstre og SF.

Ole Birk Olesen forsikrer, at lovgivningen for databeskyttelse, der træder i kraft den 25. maj, vil blive anvendt ved behandling af personoplysninger.