Et høringssvar vedr NIS-direktivets implementering i Erhvervsministeriet

Høringssvar til forslag til lov om net- og informationssikkerhed for domænenavnssystemer og visse digitale tjenester og ændring af lov om finansiel virksomhed m.v. (implementering af NIS-direktivet på Erhvervsministeriets område)

Photo by Jason Blackeye on Unsplash

Ikke stærkere end det svageste led

NIS-direktivets ånd og Erhvervsministeriets ønske om en implementering i eget resort er indiskutabelt appropriat, men at fremme sikkerheden på det digitale område, ved (i et omfattende og sikkert kostbart fler-årsværk arbejde) at kræve en risikovurderingsstyret proces hvor operatører og udbydere træffer passende foranstaltninger, må sidestilles med den gammelkendte konsulent-vittighed, hvorefter en konsulent karakteriseres ved en person som i en rapport på 110 sider konkluderer at de fleste hjem bruger mere brændsel i koldt vejr.

Min pointe er at de teknologier som arbejdet forsøger at lovgive om brugen af, bedst kan illustreres som en kæde, og kæden er ikke stærkere end det svageste led! Forslagets bortskelen fra små og mikrovirksomheder er derfor sympatisk –– men en fejl, og at fremme sikkerheden ved at vurdere risici er i bedste fald varm luft!

Væsentlige tjenester — i et væsentligt net

Flyselskaber, biludlejningsselskaber, hoteller og en lang række andre servicevirksomheder har i årtier klassificeret deres kunder, for at tilpasse servicen til den enkelte kunde. På monkey-class er prisen den vigtigste parameter for kunden, mens det på business-class er andre parametre. I dag fungerer store dele af Internet som en kloak, hvor alt ukritisk bliver smidt i, og så er det op til modtageren at hitte rede i, hvad der er skidt og hvad der er kanel, sådan lidt populært formuleret!

EU har den fornødne pondus til at etablere, hvad der reelt ville løse målet med NIS-direktivet: et net hvor samfundskritiske tjenester transporteres og leveres. Trafik (datapakker) såvel som den udbyder, som ønsker at levere den, forventes at imødekomme et regelsæt. Dette væsentlige net SEE (Services Européens Essentiels) er genstand for konstant overvågning, revision og efterprøvning. Tjenester der enten ikke er blevet fundet samfundskritiske eller (endnu) ikke har et omfattende kundeunderlag kan ansøge om at blive kvalificeret for afvikling her, og vil i givet fald skulle imødekomme det samme regelsæt.

SEE kan (primært) etableres som et galvanisk adskilt net, eller (subsidiært hvor etableringsomkostningerne menes at være prohibitivt store) som et net-i-net, hvor hvert medlemsland gennem en gateway tilsikrer adgang for de konsumenter, som kan dokumentere et rimeligt behov.

Typiske tjenester vil omfatte værn, stat, forsyningstjenester (el, vand og varme), transport (tog, fly, mm) og visse hospitalstjenester samt visse tjenester i den finansielle sektor, men det kan påregnes at en lang række større virksomheder med et internationalt sigte vil tilslutte egne tjenester med samme sigte som NIS-direktivet.

SEE vil operere med et eget sæt af tjeneste understøttende tjenester, således eksempelvis DNS, NTP, tjeneste certificeringer (SSL), mfl.

Udbydere som ønsker at udbyde tjenester på dette digitale marked og som allerede udbyder tjenester på Internet må indledningsvis dokumentere galvanisk adskillelse af egne net og det bør således eksempelvis være lovreguleret med særdeles omfattende bødeforlæg til følge, hvis en medarbejder benytter sin arbejdsstation (eksempelvis en bærbar) på begge net.

Fra Internet kan adgang til SEE kun ske ved adgang igennem de tidligere nævnte nationale gateways, ligesom al fysisk adgang til de servere som leverer tjenester til SEE bør være strengt revisioneret.

Alt andet er — værdipolitik

Hvorvidt den optimale løsning er præcis som skitseret i beskrivelse af SEE kan naturligvis diskuteres, men det står udenfor diskussion at den model, som Kina har valgt, ikke kun bunder i ideologi men i vid udstrækning også tager udgangspunkt i en pragmatisk løsning — og som i mange andre forhold her i tilværelsen, kan vi altid lære noget af Kina! Alt andet, herunder NIS-direktivet og implementeringen af NIS-direktivet, er og bliver ikke stort andet end — værdipolitik!