DIU, Alm.del - 2023-24 - Bilag 109: Ministerredegørelse til Statsrevisorernes beretning nr. 5/2023 om Statens it-beredskab II

Udvalget for Digitalisering og It 2023-24
DIU Alm.del Bilag 109
Offentligt

Statsrevisorerne 2023-24

Beretning Nr. 5 Digitaliserings- og ligestillingsministerens redegørelse af 22. januar 2024

Offentligt

Statsrevisorernes Sekretariat

Folketinget, Christiansborg

1240 København K

Stormgade 2-6

1470 København K

Telefon 72 28 24 00

[email protected]

Sagsnr.

2023-4303

Doknr.

57753

Dato

22-01-2024

Ministerredegørelse vedrørende Statsrevisorernes beretning nr. 5/2023 om statens it-be-

redskab II

Den 12. december 2023 modtog jeg Statsrevisorernes bemærkninger til Rigsrevisionens be-

retning nr. 5/2023 om statens it-beredskab II. I det følgende redegøres for de overvejelser,

som beretningen giver anledning til jf. mit virke som digitaliserings- og ligestillingsminister.

Redegørelsen forholder sig til såvel beretningens indhold og konklusioner som Statsrevisorer-

nes bemærkninger.

Først og fremmest vil jeg gerne kvittere for Statsrevisorernes bemærkninger og Rigsrevisio-

nens anden beretning om it-beredskabet i staten. Det er helt afgørende, at de statslige myn-

digheder har etableret et effektivt it-beredskab for samfundets kritiske it-systemer, så sam-

fundsvigtige processer kan opretholdes eller genoprettes i tilfælde af et større it-nedbrud.

Jeg noterer mig, at Rigsrevisionen konkluderer, at der for enkelte samfundskritiske it-syste-

mer ikke er udarbejdet risikovurderinger eller it-beredskabsplaner, mens der for andre sam-

fundskritiske it-systemer findes betydelige mangler i myndighedernes it-beredskabsplaner,

eksempelvis manglende beskrivelse af, hvordan it-systemerne skal reetableres. I beretningen

kritiserer Rigsrevisionen desuden også, at flere myndigheder ikke har gennemført tilstrække-

lige test af deres it-beredskabsplaner. Det er afgørende for it-beredskabets effektivitet, at

myndighederne tester deres forskellige typer af beredskabsplaner for at sikre, om de forud-

sætninger, som planerne bygger på, holder i praksis.

Som digitaliserings- og ligestillingsminister ser jeg alvorligt på disse forhold og finder mang-

lerne utilfredsstillende. Jeg vil derfor på baggrund af beretningen orientere alle ministerierne

om nødvendigheden af at få rettet op på forholdene, da det er de enkelte ministeriers ansvar,

at der er styr på it-beredskabet på deres område grundet sektoransvarsprincippet.

I beretningen kritiserer Rigsrevisionen desuden også, at der for 10 ud af de 12 samfundskriti-

ske it-systemer ikke er udført en fuld reetableringstest, hvilket kan betyde, at myndighederne

ikke har sikkerhed for, om it-systemerne reelt kan reetableres efter et nedbrud. Sådanne tek-

niske genopretningstests er vigtige, og jeg er enig i, at reetableringstests af samfundskritiske

it-systemer som udgangspunkt skal foretages regelmæssigt. Det bør dog samtidig bemærkes,

at der er andre hensyn, som myndighederne skal tilgodese, hvilket beretningen ikke forholder

sig til. Behovet for reetableringstests skal eksempelvis balanceres i forhold til driftsstabilitet,

økonomi og andre typer af sikkerhedstests, der kan være vigtigere at bruge ressourcer på i

forhold til systemets generelle sikkerhed.

Desuden er det vigtigt for mig at understrege, at selvom it-beredskabet er et væsentligt ele-

ment i sikkerheden, indgår der også andre sikkerhedselementer, som skal forhindre fx an-

grebsforsøg i overhovedet at komme så vidt, at beredskabet bliver aktiveret. Det er vigtigt at

DIU, Alm.del - 2023-24 - Bilag 109: Ministerredegørelse til Statsrevisorernes beretning nr. 5/2023 om Statens it-beredskab II

holde sig for øje, inden der drages konklusioner om den samlede sikkerhed omkring statens

samfundskritiske it-systemer.

Som digitaliserings- og ligestillingsminister er det min rolle at sikre, at myndighederne får den

rette vejledning til at løse opgaven. It-beredskabet er et af de områder, hvor myndigheder

ofte har tilkendegivet, at de har udfordringer i Digitaliseringsstyrelsens årlige ISO 27001-mo-

denhedsmålinger. Derfor er der også i regi af den nationale cyber- og informationsstrategi

2022-2024 blevet iværksat en række tiltag, som skal hjælpe myndighederne med at etablere

et effektivt it-beredskab, herunder nye krav til kontrakt- og leverandørstyring af samfundskri-

tiske it-systemer samt udviklingen af en ny vejledning for gennemførelse af reetablerings-

tests.

Samlet set er det således min vurdering, at der fra Digitaliserings- og Ligestillingsministeriet

gives gode forudsætninger for, at alle statslige myndigheder kan implementere et tilstrække-

ligt it-beredskab. Denne vurdering understøttes af, at Rigsrevisionen i beretningen fra novem-

ber 2022 konkluderede, at Digitaliseringsstyrelsen på tilfredsstillende vis havde vejledt de

statslige myndigheder i it-beredskabet.

Slutteligt noterer jeg mig, at Rigsrevisionen konkluderer, at selvom de fleste ministerier har

ført tilsyn med underliggende myndigheder, er der fortsat betydelige mangler i myndigheder-

nes it-beredskab, hvilket indikerer, at tilsynene har været mangelfulde. Med implementerin-

gen af det nye EU-direktiv om cyber- og informationssikkerhed, NIS2, kommer der øget fokus

på tilsynet med myndighederne. Eksempelvis skal der i forbindelse med implementeringen

udpeges en tilsynsmyndighed, som får reelle sanktionsmuligheder over for bl.a. ledelsen i de

myndigheder, som er omfattet af kravene i NIS2.

En kopi af denne redegørelse er sendt til Rigsrevisionen.

Med venlig hilsen

Marie Bjerre