Udvalget for Digitalisering og It 2023-24
DIU Alm.del Bilag 13
Offentligt
2762823_0001.png
Indsatsen for at sikre statens kritiske it-systemer
skal styrkes
09.10.2023
Statsrevisorerne har den 9. oktober 2023 afgivet beretning nr. 1/2023 om porteføljestyring af statens
kritiske it-systemer med denne bemærkning:
Statslige myndigheder har ansvaret for, at deres it-systemer er vedligeholdt, opdaterede
og sikre. Det gælder i særdeleshed de it-systemer inden for fx sundheds-, transport- og
finanssektoren, der er kritiske, fordi nedbrud kan have store konsekvenser for borgere,
virksomheder, myndigheder og samfundet som helhed.
Siden 2018 har statslige myndigheder skullet anvende en obligatorisk model for
porteføljestyring af it-systemer. Modellen er udarbejdet af Finansministeriet og foreskriver,
at myndighederne hvert 3. år skal kortlægge alle deres it-systemer, herunder samfunds-
og forretningskritiske systemer. Myndighederne skal på den baggrund udarbejde en
handlingsplan med prioritering og beskrivelse af de udfordringer, som kortlægningen har
vist. Handlingsplanen danner udgangspunkt for myndighedernes review ved Statens It-
råd.
I denne beretning vurderes det, om Erhvervsministeriet, Justitsministeriet, Udlændinge- og
Integrationsministeriet, Børne- og Undervisningsministeriet samt Klima-, Energi- og
Forsyningsministeriet har haft en tilfredsstillende porteføljestyring af deres kritiske it-
systemer i perioden november 2018 - januar 2023.
Statsrevisorerne finder, at de statslige myndigheders porteføljestyring af deres kritiske it-
systemer ikke har været helt tilfredsstillende. Kortlægningen af de kritiske it-systemer har
ikke i alle tilfælde givet et tilstrækkeligt grundlag for strategiske beslutninger om, hvilke
systemer der skal forbedres.
Statsrevisorerne og Rigsrevisionen har i flere beretninger påpeget, at der var problemer
med statens it-sikkerhed og de kritiske it-systemers tilstand. På den baggrund finder
Statsrevisorerne det positivt, at statslige myndigheder generelt er blevet bedre til at
kortlægge deres kritiske it-systemers tilstand.
Statsrevisorerne finder det dog bekymrende, at myndighederne i den seneste kortlægning
selv har vurderet, at ca. en fjerdedel af deres kritiske it-systemer er i utilfredsstillende
teknisk tilstand.
Statsrevisorerne har bl.a. hæftet sig ved disse undersøgelsesresultater:
 DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer
2762823_0002.png
5 ud af 11 myndigheder har i deres seneste kortlægning af de kritiske it-systemers
tilstand ikke svaret klart på alle spørgsmål om systemernes tilstand
spørgsmål,
som efter Rigsrevisionens opfattelse er meget væsentlige, fx om
sikkerhedsopdateringer er implementeret.
I 4 udvalgte myndigheders handlingsplaner er det prioriteret, hvilke initiativer til
forbedring af it-systemer de vil arbejde med, men der er ikke afsat resurser til
gennemførelsen eller opsat målbare succeskriterier.
De 4 udvalgte myndigheder har rapporteret til Statens It-råd om fremdriften på
initiativerne, men der er ikke rapporteret om alle initiativer.
Statsrevisorerne bemærker, at der er indikationer i Rigsrevisionens undersøgelse på, at
den obligatoriske model for porteføljestyring giver anledning til usikkerheder, fx om, hvad
der er et kritisk it-system.
Statsrevisorerne skal på den baggrund også bede finansministeren om en redegørelse for,
hvilke overvejelser og initiativer denne beretning giver anledning til. Finansministeren bør i
den forbindelse indhente en udtalelse herom fra Statens It-råd.
Ministrenes svarfrist: 2 mdr.
Se hele beretningen her
Se Kort fortalt her
Deltagere i statsrevisormødet:
Mette Abildgaard (KF), Leif Lahn Jensen (S), Mikkel Irminger Sarbo (RV), Serdal Benli
(SF), Monika Rubin (M) og Lars Christian Lilleholt (V).