Dansk Erhverv: Forslag til ny cyberstrategi er en tynd kop te

Det længe ventede udspil til en ny national cyber- og informationssikkerhedsstrategi blev præsenteret i sidste uge 15. december.

Hvis vi tager de positive briller på, så er det jo sådan set god timing. Med lidt andre briller, og måske mere negative briller, så er det i allersidste øjeblik, og lige inden klokken ringede ud for den gamle strategi.

Den noget sene lancering kan desværre få utilsigtede konsekvenser for en række af de gode initiativer fra den første strategi. For eksempel Sikkerdigital.dk der nu står uden finansiering fra årsskiftet, hvis der ikke forinden laves en politisk aftale om regeringens udspil. Dermed har regeringen spillet en helt unødvendig presbold til sine støttepartier og reelt fjernet muligheden for egentlige forhandlinger om strategiens indhold. 

Barren bør sættes højere
90 millioner kroner har regeringen sat af på finansloven for 2022 til at sikre det digitale Danmark. Det kan umiddelbart lyde som mange penge, men fra Dansk Erhvervs side havde vi ønsket os barren sat lidt højere.

Desværre overskygges de gode takter af en række svagheder

Frederikke Saabye og Christian Jonasson
Chefkonsulent, Dansk Erhverv og chefkonsulent, Dansk Erhverv

Det er altid nemt at læne sig tilbage og bede om flere penge, og det tillader vi os at gøre. Vi havde dog håbet, at pengene kom ud og arbejde for virksomhederne. Men som det ser ud nu, så ser det desværre ud som om, en stor del af pengene vil blive brugt på at ansætte flere medarbejdere i styrelser og departementer til at skrive notater og sektorplaner.

Gode takter overskygges af svagheder
Det er dog også gode takter i strategiudkastet. Styrkelse af det internationale arbejde og politiets efterforskning og fokus på bedre kompetencer hos både ledere og medarbejdere er vigtige og nødvendige indsatser.

Desværre overskygges de gode takter af en række svagheder - faktisk hele tre: En form for et halvskidt Kinderæg. For det første er strategiens scope ikke gennemskueligt, hverken for myndigheder eller virksomheder. For det andet er mange af de foreslåede initiativer gammel vin på nye flasker, og for det tredje tager forslaget slet ikke højde for vækst og eksportpotentialet i cybersikkerhedsindustrien. Lad os tage fat på disse tre punkter et for et.

Strategi kan i værste fald blive et økonomisk sort hul
I den seneste cyberstrategi identificerede man seks sektorer som kritisk infrastruktur. Finans-, tele-, energi-, transport-, søfart- og sundhedssektoren identificerede man som værende afgørende for, at det danske samfund kunne fungere, og derfor måtte sikkerheden her nødvendigvis prioriteres.

Alt i alt mener vi, at udspillet desværre er en tynd kop te, men vi håber dog, at den alligevel omsættes til en politisk aftale, så arbejdet med Danmarks cybersikkerhed kan fortsætte

Frederikke Saabye og og Christian Jonasson
Chefkonsulent, Dansk Erhverv og chefkonsulent, Dansk Erhverv

Med den nye strategi vil man udvide til 'samfundsvigtige funktioner'. Dette kan virke fornuftigt. Vi er alle enige om, at for eksempel detailhandlen også er helt afgørende for, at dagligdagen kan fungere. Men det er usikkert, hvad de øvrige funktioner er. Vi ved derfor ikke, hvilke sektorer der bliver omfattet. Den nye tilgang kan i værste fald blive et økonomisk sort hul, hvis samtlige ministerier skal ansætte nye medarbejdere til at udarbejde sektorkøreplaner, notater og så videre. Det kan give mening set med ministeriernes øjne, men hvordan det direkte hjælper virksomhederne med at vurdere deres risiko og implementere passende sikkerhedsforanstaltninger vides ikke med nogen særlig nøjagtighed.

Og så har vi slet ikke talt om, at regioner og kommuner, som ligger inde med store mængder data om borgere og virksomheder og driver store it-systemer, slet ikke er medtaget i strategien.

Ingen nye konkrete initiativer for erhvervslivet
Dansk Erhverv har længe efterspurgt et større fokus på erhvervslivet, særligt de små og mellemstore virksomheder, i en kommende strategi, netop fordi den seneste strategi havde sit primære fokus på den kritiske infrastruktur.

Her kan det på overfladen se ud som om, dette ønske er efterkommet med etablering af en 'Cybersikkerhedsenhed for SMV’er'. Desværre er der ikke noget konkret nyt under solen i initiativet. Der er tale om en rendyrket offentlig konstruktion, og opgaveporteføljen adskiller sig ikke på noget væsentligt punkt fra den opgave, der i forvejen bliver løst i fagkontoret for digital sikkerhed i Erhvervsministeriet.  

Usikkerhed omkring koordinationscentre for cybersikkerhed
Danmark har en række virksomheder, som leverer cybersikkerhedsrådgivning og -produkter af meget høj kvalitet, ligesom vi har en forskningsmæssige styrkeposition indenfor blandt andet krypteringsteknologi. Men strategien nævner kun i forbifarten, at man fra europæisk side har besluttet at etablere en række nationale koordinationscentre for cybersikkerhed.

Dermed menes opgaven at være klaret, selvom disse centre efterhånden har været mange år undervejs, og ingen endnu ved helt nøjagtigt, hvordan de formodes at kunne understøtte den europæiske cybersikkerhedsindustri. Her havde vi gerne set, at Danmark selv tager ansvar for udviklingen af det danske økosystem fremfor at lægge ansvaret over på EU. 

Alt i alt mener vi, at udspillet desværre er en tynd kop te, men vi håber dog, at den alligevel omsættes til en politisk aftale, så arbejdet med Danmarks cybersikkerhed kan fortsætte også efter klokken slår midnat nytårsaften.