Der har længe været behov for en afklaring i forhold til krigsreglen. En regel der har til formål at sikre, at personoplysninger i visse it-systemer opbevares på servere i Danmark af hensyn til statens sikkerhed, hvis der kommer krig.
Men også en regel der længe har skabt stor usikkerhed om det offentliges mulighed for at benytte cloud-løsninger.
Spørgsmålet har været, hvilke it-systemer der vil være underlagt krigsreglen, og hvordan man fremadrettet vil vurdere, om et system hørte under krigsreglen, og derfor ikke må opbevares uden for Danmarks grænser.
”Det har stor betydning for de løsninger, vi som it-leverandører kan levere, om vi har lov til at benytte f.eks. cloud- og serverløsninger, eller om de skal lave et rent dansk setup. Derfor har vi også ventet med spænding på en afklaring omkring krigsreglen,” siger Birgitte Hass, adm. direktør i IT-Branchen.
Et kæmpe skridt i den rigtige retning
Først og fremmest lyder der samstemmende ros fra både IT-Branchen og Dansk Erhverv til justitsministeriets vejledning.
Nu er der nemlig endelig kommet relativt klare og ensartede retningslinjer og processer for, hvordan myndighederne skal håndtere krigsreglen.
Brancheforeningerne ser det også som meget positivt, at det nu klart fremgår, at krigsreglen har fokus på ”statens sikkerhed” og ikke ”behandlingssikkerhed”, og at det yderligere understreges, at der skal meget til, før man kan tale om statens sikkerhed.
F.eks. fastslår vejledningen, at det ikke handler om statens sikkerhed, hvis risikoen ved it-systemets nedbrud blot er, at det eksempelvis vil være til gene for borgere eller det offentlige, eller hvis det vil skade en myndigheds renommé at opleve et stort sikkerhedsbrud.
At it-systemet indeholder oplysninger, som stiller store krav til behandlingssikkerheden, vil heller ikke være statens sikkerhed.
Hvis denne intention fastholdes, bør listen over systemer, der alene må opbevares i Danmark, ikke blive meget længere end den, der er meldt ud pt. og indeholder: Digital Post, MitID, Nemlog-In3, Offender Management System (OMS), DeMars og Statens Lønløsning.
Krigslisten kan dog blive lang
Når myndighederne skal vurdere, om deres it-systemer skal være omfattet af krigsreglen, skal det vurderes ud fra otte spørgsmål i vejledningen.
Desværre er disse spørgsmål så bredt formuleret, at både IT-Branchen og Dansk Erhverv er nervøse for, at alt for mange myndigheder og offentlige institutioner vil føle, at flere af deres it-systemer bør høre ind under krigsreglen, og dermed ikke må placeres i udlandet.
Bl.a. bliver man bedt om at vurdere, hvor kritisk det vil være, hvis ens system er utilgængeligt i et ikke nærmere specificeret tidsrum.
”Der kan være vidt forskellige vurderinger af, hvor kritisk det er at f.eks. en kommunal løsning eller en it-løsning i et ministerium er utilgængeligt i et par dage eller en uge, og derfor om det pågældende system skal med på listen. Og det kan have negativ effekt på de krav og løsninger, man vil efterspørge i fremtidige udbud,” udtaler Birgitte Hass.
IT-Branchen og Dansk Erhverv efterspørger derfor mere klarhed og flere konkrete eksempler i vejledningen på, hvorfor bestemte systemer er endt på listen og hvorfor andre systemer ikke er med på listen.
Her kan du læse Justitsministeriets udkast til vejledning.
Her kan du læse IT-Branchen og Dansk Erhvervs høringssvar.