Udvalget for Digitalisering og It 2023-24
DIU Alm.del Bilag 13
Offentligt
2762824_0001.png
Statsrevisorerne 2023-24
Beretning Nr. 1 Beretning nr. 1/2023 om porteføljestyring af statens kritiske it-systemer
Offentligt
Oktober 2023
— 1/2023
Rigsrevisionens beretning afgivet
til Folketinget med Statsrevisorernes
bemærkninger
Porteføljestyring af
statens kritiske it-systemer
DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer
1/2023
Beretning om
porteføljestyring af
statens kritiske it-systemer
Statsrevisorerne fremsender denne beretning med
deres bemærkninger til Folketinget og vedkommende
minister, jf. § 3 i lov om statsrevisorerne og § 18, stk. 1,
i lov om revisionen af statens regnskaber m.m.
København 2023
Denne beretning til Folketinget skal behandles ifølge lov om revisionen af statens regnskaber, § 18:
Statsrevisorerne fremsender med deres bemærkning Rigsrevisionens beretning til Folketinget og vedkom-
mende minister.
Erhvervsministeren, justitsministeren, udlændinge- og integrationsministeren, børne- og undervisningsmini-
steren, klima-, energi- og forsyningsministeren og finansministeren afgiver en redegørelse til beretningen.
Rigsrevisor afgiver et notat med bemærkninger til ministrenes redegørelser.
På baggrund af ministrenes redegørelser og rigsrevisors notat tager Statsrevisorerne endelig stilling til beret-
ningen, hvilket forventes at ske i januar 2024.
Ministrenes redegørelser, rigsrevisors bemærkninger og Statsrevisorernes eventuelle bemærkninger samles
i Statsrevisorernes Endelig betænkning over statsregnskabet, som årligt afgives til Folketinget i fe bruar må-
ned
i dette tilfælde Endelig betænkning over statsregnskabet 2022, som afgives i februar 2024.
DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer
2762824_0003.png
Statsrevisorernes bemærkning tager udgangspunkt i denne karakterskala:
Karakterskala
Positiv kritik
finder det meget/særdeles positivt
finder det positivt
finder det tilfredsstillende/er tilfredse med
finder det ikke helt tilfredsstillende
finder det utilfredsstillende/er utilfredse med
påpeger/understreger/henstiller/forventer
beklager/finder det bekymrende/foruroligende
kritiserer/finder det kritisabelt/kritiserer skarpt/indskærper
påtaler/påtaler skarpt
påtaler skarpt og henleder særligt Folketingets opmærksomhed på
Kritik under middel
Middel kritik
Skarp kritik
Skarpeste kritik
Henvendelse vedrørende
denne publikation rettes til:
Statsrevisorerne
Folketinget
Christiansborg
1240 København K
Tlf.: 3337 5987
[email protected]
www.ft.dk/statsrevisorerne
Yderligere eksemplarer kan
købes ved henvendelse til:
Stibo Complete lager og logistik
Vandtårnsvej 83A
2860 Søborg
Tlf.: 4322 7300
[email protected]
http://www.stibocomplete.dk
ISSN 2245-3008
ISBN online 978-87-7434-821-4
DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer
2762824_0004.png
Statsrevisorernes bemærkning
Statsrevisorernes
bemærkning
Statsrevisorerne
Beretning om porteføljestyring af statens
kritiske it-systemer
Statslige myndigheder har ansvaret for, at deres it-systemer er vedlige-
holdt, opdaterede og sikre. Det gælder i særdeleshed de it-systemer in-
den for fx sundheds-, transport- og finanssektoren, der er kritiske, fordi
nedbrud kan have store konsekvenser for borgere, virksomheder, myn-
digheder og samfundet som helhed.
Siden 2018 har statslige myndigheder skullet anvende en obligatorisk mo-
del for porteføljestyring af it-systemer. Modellen er udarbejdet af Finans-
ministeriet og foreskriver, at myndighederne hvert 3. år skal kortlægge al-
le deres it-systemer, herunder samfunds- og forretningskritiske systemer.
Myndighederne skal på den baggrund udarbejde en handlingsplan med
prioritering og beskrivelse af de udfordringer, som kortlægningen har
vist. Handlingsplanen danner udgangspunkt for myndighedernes review
ved Statens It-råd.
I denne beretning vurderes det, om Erhvervsministeriet, Justitsministe-
riet, Udlændinge- og Integrationsministeriet, Børne- og Undervisnings-
ministeriet samt Klima-, Energi- og Forsyningsministeriet har haft en til-
fredsstillende porteføljestyring af deres kritiske it-systemer i perioden
november 2018 - januar 2023.
Statsrevisorerne finder, at de statslige myndigheders porteføljesty-
ring af deres kritiske it-systemer ikke har været helt tilfredsstillende.
Kortlægningen af de kritiske it-systemer har ikke i alle tilfælde givet
et tilstrækkeligt grundlag for strategiske beslutninger om, hvilke sy-
stemer der skal forbedres.
Statsrevisorerne og Rigsrevisionen har i flere beretninger påpeget, at
der var problemer med statens it-sikkerhed og de kritiske it-systemers
tilstand. På den baggrund finder Statsrevisorerne det positivt, at stats-
lige myndigheder generelt er blevet bedre til at kortlægge deres kriti-
ske it-systemers tilstand.
9. oktober 2023
Mette Abildgaard
Leif Lahn Jensen
Mikkel Irminger Sarbo
Serdal Benli
Lars Christian Lilleholt*
Monika Rubin
* Statsrevisor Lars Christian
Lilleholt har ikke deltaget ved
behandlingen af denne sag på
grund af inhabilitet.
DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer
2762824_0005.png
Statsrevisorernes bemærkning
Statsrevisorerne finder det dog bekymrende, at myndighederne i den
seneste kortlægning selv har vurderet, at ca. en fjerdedel af deres kri-
tiske it-systemer er i utilfredsstillende teknisk tilstand.
Statsrevisorerne har bl.a. hæftet sig ved disse undersøgelsesresultater:
5 ud af 11 myndigheder har i deres seneste kortlægning af de kritiske it-
systemers tilstand ikke svaret klart på alle spørgsmål om systemernes
tilstand
spørgsmål, som efter Rigsrevisionens opfattelse er meget væ-
sentlige, fx om sikkerhedsopdateringer er implementeret.
I 4 udvalgte myndigheders handlingsplaner er det prioriteret, hvilke
initiativer til forbedring af it-systemer de vil arbejde med, men der er
ikke afsat resurser til gennemførelsen eller opsat målbare succeskrite-
rier.
De 4 udvalgte myndigheder har rapporteret til Statens It-råd om frem-
driften på initiativerne, men der er ikke rapporteret om alle initiativer.
Statsrevisorerne bemærker, at der er indikationer i Rigsrevisionens un-
dersøgelse på, at den obligatoriske model for porteføljestyring giver an-
ledning til usikkerheder, fx om, hvad der er et kritisk it-system.
Statsrevisorerne skal på den baggrund også bede finansministeren om en
redegørelse for, hvilke overvejelser og initiativer denne beretning giver
anledning til. Finansministeren bør i den forbindelse indhente en udtalel-
se herom fra Statens It-råd.
DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer
Indholdsfortegnelse
1. Introduktion og konklusion
.......................................................................................................
1
1.1. Formål og konklusion
.......................................................................................................................
1
1.2. Baggrund
...............................................................................................................................................
4
1.3. Revisionskriterier, metode og afgrænsning
...........................................................................
5
2. Myndighedernes porteføljestyring af deres kritiske it-systemer
.................................
8
2.1. Myndighedernes kortlægning af deres kritiske it-systemer
..........................................
8
2.2. Myndighedernes handlingsplaner for deres kritiske it-systemer
.............................
14
2.3. Myndighedernes opfølgning på fremdriften i handlingsplanernes
initiativer
.............................................................................................................................................
19
Bilag 1. Metodisk tilgang
.................................................................................................................................
21
Bilag 2. Ordliste
...................................................................................................................................................
25
DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer
Rigsrevisionen har selv taget initiativ til denne undersøgelse og
afgiver derfor beretningen til Statsrevisorerne i henhold til § 17, stk.
2, i rigsrevisorloven, jf. lovbekendtgørelse nr. 101 af 19. januar 2012.
Rigsrevisionens mandat til at gennemføre undersøgelsen følger af
§ 2, stk. 1, nr. 1, jf. § 3 i rigsrevisorloven.
Beretningen vedrører finanslovens § 8. Erhvervsministeriet,
§ 11. Justitsministeriet, § 14. Udlændinge- og Integrationsministeriet,
§ 20. Børne- og Undervisningsministeriet og § 29. Klima-, Energi- og
Forsyningsministeriet.
I undersøgelsesperioden november 2018 - januar 2023 har der væ-
ret følgende ministre:
Erhvervsministeriet:
Rasmus Jarlov: juni 2018 - juni 2019
Simon Kollerup: juni 2019 - december 2022
Morten Bødskov: december 2022 -
Justitsministeriet:
Søren Pape Poulsen: november 2016 - juni 2019
Nick Hækkerup: juni 2019 - maj 2022
Mattias Tesfaye: maj 2022 - december 2022
Peter Hummelgaard: december 2022 -
Udlændinge- og Integrationsministeriet:
Inger Støjberg: juni 2015 - juni 2019
Mattias Tesfaye: juni 2019 - maj 2022
Kaare Dybvad Bek: maj 2022 -
Børne- og Undervisningsministeriet:
Merete Riisager: november 2016 - juni 2019
Pernille Rosenkrantz-Theil: juni 2019 - december 2022
Mattias Tesfaye: december 2022 -
Klima-, Energi- og Forsyningsministeriet:
Lars Christian Lilleholt: juni 2015 - juni 2019
Dan Jørgensen: juni 2019 - december 2022
Lars Aagaard: december 2022 -
Beretningen har i udkast været forelagt alle 5 ministerier, hvis
bemærkninger i videst muligt omfang er afspejlet i beretningen.
DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer
2
|
Introduktion og konklusion.. Introduktion og konklusion
|
1.
Introduktion og konklusion |
1
1. Introduktion og
konklusion
1.1.
Formål og konklusion
Model for portefølje-
styring af statslige
it-systemer
1. Statslige it-systemer løser en række væsentlige opgaver inden for bl.a. finanssekto-
ren, retssystemet, sundhedsvæsenet og transportsektoren. Systemerne udgør ofte
kritisk infrastruktur
ikke kun for statens opgaveløsning, men også for samfundet
som helhed
og nedbrud kan have stor betydning for myndigheder, borgere og virk-
somheder. Det er derfor vigtigt, at statslige myndigheder har overblik over deres kriti-
ske it-systemers tilstand, da myndighederne har ansvaret for, at systemerne er vedlige-
holdt, opdaterede og sikre.
Rigsrevisionen har i flere tidligere beretninger konstateret, at der var problemer med
statens kritiske it-systemers tilstand og med it-sikkerheden generelt. Rigsrevisionen
har derfor selv taget initiativ til denne undersøgelse i oktober 2022 for at vurdere myn-
dighedernes arbejde med deres systemporteføljer, hvilket bl.a. er nødvendigt for at
undgå sikkerhedsproblemer.
2. Finansministeriet indførte i 2018 en obligatorisk model for porteføljestyring af stats-
lige it-systemer. Det skete bl.a. på baggrund af
”Et
solidt it-fundament, Strategi for it-
styring i staten” fra 2017, hvori regeringen konstaterede, at der var stor forskel på ni-
veauet af modenhed blandt de statslige myndigheders it-organisationer, og at flere
myndigheder manglede resurser, kompetencer og erfaring med at udvikle og vedlige-
holde deres kritiske it-systemer. Derudover viste Finansministeriets kasseeftersyn i
2017 og 2018, at der var udfordringer med de kritiske it-systemers tilstand.
Modellen for porteføljestyring af statslige it-systemer indebærer, at myndighederne
hvert 3. år skal kortlægge alle deres it-systemer, herunder de samfunds- og forret-
ningskritiske. Kortlægningen skal give myndighederne et overblik over, hvor mange
kritiske it-systemer de har, og hvilken tilstand systemerne er i. På den baggrund ud-
arbejder myndighederne en handlingsplan, der har til formål at prioritere og løse de
udfordringer, der er identificeret i kortlægningen.
Statens It-råd konstaterede i 2021, at myndighederne fortsat manglede at kortlægge
knap 15 % af deres samfundskritiske og knap 30 % af deres forretningskritiske it-sy-
stemer. It-rådet konstaterede endvidere, at en væsentlig del af myndighedernes kriti-
ske it-systemer var i utilfredsstillende teknisk tilstand.
Det er obligatorisk for myn-
digheder med årlige it-om-
kostninger over 30 mio. kr.
og/eller myndigheder, der va-
retager samfundskritiske it-
systemer, at anvende model
for porteføljestyring af statsli-
ge it-systemer.
Kritiske it-systemer
Model for porteføljestyring af
statslige it-systemer indehol-
der 3 kategorier af it-syste-
mer: samfundskritiske syste-
mer, forretningskritiske syste-
mer og ikke-kritiske systemer.
De 2 førstnævnte kategorier
udgør tilsammen de kritiske it-
systemer. Det er den enkelte
myndigheds opgave at kate-
gorisere sine egne systemer.
Statens It-råd
I 2011 nedsatte regeringen
Statens It-projektråd (nu Sta-
tens It-råd) med topledere fra
offentlige og private virksom-
heder. It-rådet rådgiver myn-
dighederne om styringen af it-
projekter og om it-systempor-
teføljestyringen gennem risi-
kovurderinger og reviews.
DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer
2
| Introduktion og konklusion
3. Formålet med undersøgelsen er derfor at vurdere, om myndighedernes portefølje-
styring af deres kritiske it-systemer har været tilfredsstillende.
Undersøgelsen omfatter 11 myndigheder fordelt på 5 ministerier, som har gennemført
kortlægningen og har været i review ved It-rådet 2 gange. Det drejer sig om Erhvervs-
styrelsen, Finanstilsynet og Søfartsstyrelsen (under Erhvervsministeriet), Civilstyrel-
sen, Domstolsstyrelsen og Kriminalforsorgen (under Justitsministeriet), Geodatasty-
relsen, Danmarks Meteorologiske Institut og Styrelsen for Dataforsyning og Infrastruk-
tur (under Klima-, Energi- og Forsyningsministeriet) samt Børne- og Undervisningsmi-
nisteriet og Udlændinge- og Integrationsministeriet. I dele af undersøgelsen indgår 4
myndigheder, som Rigsrevisionen har udvalgt blandt de 11.
DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer
2762824_0010.png
Introduktion og konklusion |
3
Hovedkonklusion
Myndighedernes porteføljestyring af deres kritiske it-systemer er ikke helt
tilfredsstillende. Konsekvensen er, at myndighedernes strategiske priorite-
ringer og investeringer i at forbedre systemernes tilstand kan være baseret
på et usikkert grundlag.
Myndighedernes kortlægninger giver ikke i alle tilfælde et tilstrækkeligt overblik
over deres kritiske it-systemers tilstand
Undersøgelsen viser, at myndighederne generelt er blevet bedre til at kortlægge alle
deres kritiske it-systemers tilstand. Resultatet af myndighedernes seneste kortlægnin-
ger viser dog bl.a., at myndighederne selv vurderer, at ca. en fjerdedel af deres kriti-
ske it-systemer er i utilfredsstillende teknisk tilstand.
Det fremgår af 5 af de 11 myndigheders seneste kortlægninger, at myndighederne har
anvendt svar som ”ved ikke” og ”0” på mindst 1 ud af 3 spørgsmål, der efter Rigsrevi-
sionens opfattelse er så væsentlige, at myndighederne bør kunne besvare dem klart.
Spørgsmålene omfatter fx, om alle relevante sikkerhedsopdateringer er implemente-
rede.
De udvalgte myndigheders handlingsplaner understøtter ikke deres arbejde med
de kritiske it-systemer i tilstrækkelig grad
Undersøgelsen viser, at de 4 udvalgte myndigheder i deres handlingsplaner har priori-
teret, hvilke it-systemer de vil arbejde med. Myndighederne har dog i meget begræn-
set omfang opstillet initiativer i deres handlingsplaner, som de kan følge op på. I myn-
dighedernes seneste handlingsplaner er det kun ca. 30 % af initiativerne, der har mål-
bare succeskriterier, og kun for ca. 20 % af initiativerne har myndighederne afsat resur-
ser til dem.
Flere af myndighederne har oplyst, at de ikke afsætter resurser til initiativer, der skal
løses internt. De udvalgte myndigheder har desuden oplyst, at det er vanskeligt at af-
sætte resurser til initiativer, der skal gennemføres om 2-3 år, da de økonomiske rammer
i de fleste tilfælde besluttes fra år til år. Det fremgår af model for porteføljestyring af
statslige it-systemer, at myndighederne for hvert initiativ skal beskrive det forventede
resursetræk. Dette er nødvendigt for at sikre, at myndighederne har de nødvendige re-
surser til at gennemføre initiativerne fra deres handlingsplaner.
De udvalgte myndigheder har i de fleste tilfælde fulgt op på fremdriften i handlings-
planernes initiativer
Undersøgelsen viser, at de 4 udvalgte myndigheder generelt har rapporteret til It-rå-
det om fremdriften i initiativerne. Myndighederne har dog ikke i alle tilfælde rappor-
teret på hvert initiativ.
DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer
2762824_0011.png
2
|
Myndighedernes porteføljestyring af deres kritiske it-systemer.. Myndighedernes porteføljestyring af deres kritiske it-systemer
|
1.
4
| Introduktion og konklusion
1.2. Baggrund
”Statens
Digitaliserings-
strategi, 2022”
Det fremgår bl.a. af digitalise-
ringsstrategien, at staten skal
accelerere digitaliseringen og
løse de nuværende problemer
på it-området, så staten har et
stærkt fundament for den
fremtidige udvikling.
4. Staten bruger ifølge Økonomistyrelsen ca. 10 mia. kr. årligt på at udvikle, drifte og
vedligeholde it-systemer. Statens udgifter til it stiger støt, og det fremgår af statens di-
gitaliseringsstrategi, at regeringen ønsker at accelerere digitaliseringen yderligere, bl.a.
for at styrke velfærden og den grønne omstilling. Kravene til, hvad it-systemer skal kun-
ne, stiger ligeledes. Dette gælder ikke kun i forhold til systemernes funktioner og hur-
tighed, men også i forhold til fx it-sikkerhed og systemernes behandling af personda-
ta. Implementeringen af databeskyttelsesforordningen er et eksempel på de øgede
krav.
5. Statslige myndigheders arbejde med at vedligeholde deres kritiske it-systemer skal
følge Økonomistyrelsens model for porteføljestyring af statslige it-systemer. Model-
len indeholder en 3-årig cyklus, hvor myndighederne skal kortlægge deres it-systemer
og udarbejde en handlingsplan på baggrund heraf. Figur 1 viser modellens 3-årige cy-
klus.
Figur 1
Økonomistyrelsen og
Digitaliseringsstyrelsen
Økonomistyrelsen overtog
ansvaret for model for porte-
føljestyring af statslige it-sy-
stemer fra Digitaliseringssty-
relsen ved ressortændringer-
ne i december 2022. Når vi re-
fererer til modellen, omtaler vi
den derfor som Økonomisty-
relsens model, selv om model-
len i en stor del af undersøgel-
sesperioden har været foran-
kret i Digitaliseringsstyrelsen.
Den 3-årige cyklus i model for porteføljestyring af statens it-systemer
Opfølgning
Myndigheden følger
op på fremdriften i
handlingsplanens
initiativer og rappor-
terer årligt til It-rådet
i et statusnotat.
Kortlægning
Myndigheden
kortlægger alle
sine it-systemers
tilstand.
Handlingsplan
Myndigheden udarbej-
der en handlingsplan
med konkrete initiativer
for det videre arbejde.
Review ved It-rådet
It-rådet gennemfører review
af handlingsplanen og drøfter
det med myndigheden.
Kilde:
Rigsrevisionen på baggrund
af ”Vejledning til model for porteføljestyring af statslige it-systemer”.
DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer
2762824_0012.png
Introduktion og konklusion |
5
Det fremgår af figur 1, at den enkelte myndighed starter med at kortlægge sine it-sy-
stemers tilstand. Som udgangspunkt for kortlægningen vurderer myndigheden, hvil-
ke af deres it-systemer der er henholdsvis samfundskritiske, forretningskritiske og
ikke-kritiske. Dernæst kortlægger myndigheden sine it-systemer ved at besvare en
række fastlagte spørgsmål for alle systemerne og besvare en række uddybende
spørgsmål for de samfundskritiske systemer. Kortlægningen omfatter bl.a. en række
vurderingsspørgsmål, og modellen anbefaler derfor, at myndigheden udarbejder eg-
ne retningslinjer for at sikre en ensartet besvarelse af disse spørgsmål. Kortlægnin-
gens formål er således både at give myndigheden et godt overblik over sin it-system-
portefølje og over udfordringerne heri.
På baggrund af kortlægningen udarbejder myndigheden en handlingsplan, der skal be-
skrive, hvordan myndigheden strategisk vil prioritere sit arbejde med porteføljen af
it-systemer. Handlingsplanen skal derfor give overblik over, hvilke it-systemer myn-
digheden vil fokusere sin indsats på. Handlingsplanen skal endvidere operationalise-
re dette arbejde i konkrete initiativer med afslutningsdatoer, succeskriterier og resur-
ser, så myndigheden efterfølgende kan følge fremdriften.
Dernæst gennemgår myndigheden et review ved It-rådet, som tager udgangspunkt i
handlingsplanen. Ved dette review deltager myndighedens øverste ledelse, og myn-
digheden får en række anbefalinger, der kan give anledning til justeringer af handlings-
planen. Myndigheden udarbejder dernæst årligt et statusnotat til It-rådet. Notatet be-
skriver fremdriften i handlingsplanen og implementeringen af anbefalingerne, inden
processen påbegyndes på ny efter 3 år. It-rådet kan bede myndigheden udarbejde en
ny kortlægning og handlingsplan, inden de 3 år er gået, hvis It-rådet vurderer, at det er
nødvendigt.
Samfunds- og forretnings-
kritiske it-systemer
Samfundskritiske it-systemer
er i modellen for porteføljesty-
ring af statslige it-systemer
defineret som systemer, hvor
driftsforstyrrelser kan resulte-
re i væsentlige udfordringer
for samfundet som helhed, fx i
form af økonomiske tab eller
sikkerhedstrusler.
Forretningskritiske it-syste-
mer
er defineret som syste-
mer, hvor driftsforstyrrelser
kan resultere i, at myndighe-
den ikke kan udføre sin funk-
tion eller overholde sine for-
pligtelser.
1.3. Revisionskriterier, metode og afgrænsning
6. Formålet med undersøgelsen er at vurdere, om myndighedernes porteføljestyring
af deres kritiske it-systemer har været tilfredsstillende.
7. Det fremgår af budgetvejledningens pkt. 2.2.18.3, at myndigheder, som har årlige it-
omkostninger over 30 mio. kr., eller som varetager samfundskritiske it-systemer, skal
følge model for porteføljestyring af statens it-systemer. Myndighederne har ansvaret
for, at deres systemer er vedligeholdt, opdaterede og sikre, og modellen skal støtte den
enkelte myndighed i at skabe overblik over sin systemporteføljes tilstand, så myndig-
heden har viden om eventuelle problemer og kan planlægge og prioritere sin indsats
strategisk.
8. Vi undersøger i afsnit 2.1, om myndighedernes kortlægninger giver overblik over de-
res kritiske it-systemers tilstand. Kortlægningen skal omfatte alle myndighedernes
kritiske it-systemer og skal indeholde alle de relevante oplysninger om systemerne.
Derudover følger vi op på, om myndighederne har fulgt modellens anbefaling om at
udarbejde egne retningslinjer til brug for deres kortlægninger.
DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer
2762824_0013.png
6
| Introduktion og konklusion
Vi undersøger i afsnit 2.2, om myndighedernes handlingsplaner understøtter deres ar-
bejde med de kritiske it-systemer. Det skal fremgå af myndighedernes handlingspla-
ner, hvilke systemer myndighederne har prioriteret at arbejde videre med, og myndig-
hederne bør have opstillet initiativer i deres handlingsplaner, som de kan følge op på.
Myndighederne skal for hvert initiativ angive det forventede færdiggørelsestidspunkt,
succeskriterier, og om der er opgjort og afsat de forventede resurser til gennemførel-
se af initiativet.
Endelig undersøger vi i afsnit 2.3, om myndighederne har fulgt op på fremdriften i hand-
lingsplanernes initiativer. Myndighederne skal årligt rapportere til It-rådet om frem-
driften for hvert initiativ.
Beretningens revisionskriterier uddybes i kapitel 2 og i bilag 1.
Metode
9. Undersøgelsen er primært baseret på dokumentgennemgang. For at understøtte
revisionen har vi holdt møder med de 11 myndigheder, med medlemmer af It-rådet og
med It-rådets sekretariat, der er placeret i Økonomistyrelsen.
10. Vi har gennemgået dokumentation fra de 11 myndigheder, der indgår i undersøgel-
sen. Dokumentationen omfatter bl.a. myndighedernes kortlægninger, handlingsplaner
og statusnotater til It-rådet. For de 4 myndigheder, der indgår i afsnit 2.2 og 2.3, har vi
efterspurgt og gennemgået yderligere dokumentation vedrørende handlingsplanerne
og de initiativer, som myndighederne har opstillet heri.
11. It-rådet kan som nævnt bede myndighederne udarbejde en ny kortlægning og hand-
lingsplan, inden de 3 år er gået, hvis It-rådet vurderer, at det er nødvendigt. Denne mu-
lighed har It-rådet benyttet sig af over for Kriminalforsorgen, som derfor bl.a. har ud-
arbejdet én handlingsplan mere end de øvrige myndigheder, der indgår i undersøgel-
sen. Når vi i beretningen henviser til myndighedernes 2. handlingsplan, er det for Kri-
minalforsorgen deres seneste (3.) handlingsplan, vi henviser til.
12. Undersøgelsen er primært baseret på myndighedernes egne vurderinger, som myn-
dighederne har foretaget og rapporteret til It-rådet på baggrund af kravene i model-
len for porteføljestyring af statslige it-systemer. Rigsrevisionen har ikke foretaget en
vurdering af myndighedernes systemer eller af systemernes tilstand.
13. Økonomistyrelsen har løbende videreudviklet modellen for porteføljestyring af
statslige it-systemer. Modellens krav til myndighederne er derfor på flere områder ble-
vet justeret, siden modellen blev implementeret, bl.a. på baggrund af tilbagemeldinger
fra de myndigheder, der indgår i denne undersøgelse. De rammer, der ligger til grund
for myndighedernes kortlægninger, har derfor ændret sig i undersøgelsesperioden. Mo-
dellen blev bl.a. justeret i 2022, hvor antallet af spørgsmål, som myndighederne skulle
besvare for hvert system, blev reduceret fra ca. 80 til ca. 25.
Derudover stillede modellen tidligere krav om, at myndighederne skulle lave en liste
over alle deres it-systemer og som minimum kortlægge tilstanden for de kritiske. Mo-
dellen stiller nu krav om, at myndighederne skal kortlægge tilstanden for alle deres sy-
stemer.
DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer
Introduktion og konklusion |
7
I det omfang, myndighederne
har
udarbejdet lister i henhold til det tidligere krav, har
vi undersøgt, om myndighederne har kortlagt tilstanden for de kritiske systemer, der
fremgår af listerne. Vi har anvendt denne metode for alle myndighedernes 1. kortlæg-
ning og for 4 af myndighedernes 2. kortlægning (Børne- og Undervisningsministeriet,
Udlændinge- og Integrationsministeriet, Erhvervsstyrelsen og Søfartsstyrelsen). De
resterende 7 myndigheder har vi bedt oplyse, om deres 2. kortlægning omfatter alle
kritiske it-systemer.
14. Undersøgelsens fokus er på kvaliteten af myndighedernes arbejde med at forbed-
re systemernes tilstand snarere end at foretage en sammenligning af resultaterne ved
henholdsvis 1. og 2. kortlægning.
15. Revisionen er udført i overensstemmelse med standarderne for offentlig revision,
jf. bilag 2.
Afgrænsning
16. Undersøgelsen omfatter perioden fra november 2018 til og med januar 2023.
17. Undersøgelsen omfatter alene samfunds- og forretningskritiske systemer, da dis-
se er de vigtigste systemer. Modellen for porteføljestyring af statslige it-systemer har
i hele modellens levetid stillet krav om, at myndighederne skal kortlægge disse syste-
mer. Af sikkerhedshensyn henviser vi ikke til specifikke systemer i beretningen. Da
myndighederne har få samfundskritiske systemer, skelner vi af sikkerhedshensyn hel-
ler ikke mellem forretningskritiske og samfundskritiske it-systemer i undersøgelsen. I
stedet behandler vi systemerne under fællesbetegnelsen kritiske it-systemer.
18. Undersøgelsen omfatter myndighedernes arbejde inden for rammerne af modellen
for porteføljestyring af statslige it-systemer. Flere myndigheder har oplyst, at deres
porteføljestyring også omfatter andre styringsdokumenter og styringsværktøjer end
dem, der indgår i modellen. I det omfang, at myndighedernes porteføljestyring ikke er
afspejlet i myndighedernes arbejde inden for den obligatoriske model, er denne styring
ikke omfattet af undersøgelsen.
19. Beretningen omfatter 11 myndigheder. Myndighederne er udvalgt, fordi de er under-
lagt modellen for porteføljestyring af statslige it-systemer, jf. budgetvejledningen, og
fordi de havde været i review ved It-rådet 2 gange ved undersøgelsens start.
20. Afsnit 2.2 og 2.3 omfatter Domstolsstyrelsen og Kriminalforsorgen (under Justits-
ministeriet) og Geodatastyrelsen og Danmarks Meteorologiske Institut (under Klima-,
Energi- og Forsyningsministeriet). Vi har udvalgt de 4 myndigheder fra de ministerier,
der havde flest kritiske systemer i utilfredsstillende tilstand ved 1. kortlægning målt på
ét eller flere af følgende parametre: teknisk tilstand, forretningsunderstøttelse, doku-
mentation og viden samt sikkerhed. Vi har foretaget udvælgelsen på denne måde, da
vi forventer, at forbedringspotentialet her er størst, hvilket bør være afspejlet i myn-
dighedernes handlingsplaner og initiativer. Den metode, vi har brugt til udvælgelsen,
er yderligere beskrevet i bilag 1.
21. I bilag 1 er undersøgelsens metodiske tilgang beskrevet. Bilag 2 indeholder en ord-
liste, der forklarer udvalgte ord og begreber.
DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer
2762824_0015.png
8
| Myndighedernes porteføljestyring af deres kritiske it-systemer
2. Myndighedernes
porteføljestyring af deres
kritiske it-systemer
22. Dette kapitel handler om myndighedernes porteføljestyring af deres kritiske it-sy-
stemer. Vi har undersøgt myndighedernes kortlægning af deres kritiske it-systemer,
myndighedernes handlingsplaner for deres kritiske it-systemer og myndighedernes
opfølgning på fremdriften i handlingsplanernes initiativer.
2.1. Myndighedernes kortlægning af deres kritiske it-sy-
stemer
23. Vi har undersøgt, om myndighedernes kortlægninger giver overblik over deres kri-
tiske it-systemer. Det har vi gjort ved at undersøge, om:
Myndighederne har kortlagt alle deres kritiske it-systemers tilstand.
Det er et krav, at myndighederne kortlægger tilstanden for alle deres kritiske it-sy-
stemer. Vi har derfor gennemgået, om myndighedernes kortlægninger indeholder
alle deres kritiske it-systemer.
Myndighedernes kortlægninger omfatter alle de relevante oplysninger.
Det er et krav, at myndighederne for hvert af deres kritiske it-systemer skal besva-
re en række obligatoriske spørgsmål, bl.a. vedrørende systemets sikkerhed, øko-
nomi og dokumentation.
Myndighedernes besvarelse af de obligatoriske spørgsmål er systemunderstøttet.
Dette medfører, at det bliver tydeligt, hvis ét eller flere spørgsmål ikke er besvaret.
I praksis besvarer myndighederne derfor alle spørgsmålene. Det er dog Rigsrevi-
sionens opfattelse, at myndighedernes besvarelser skal bidrage til at skabe et godt
overblik over systemporteføljen. Vi har derfor gennemgået, om myndighedernes
kortlægninger omfatter alle de relevante oplysninger.
Myndighederne har udarbejdet egne retningslinjer e.l., som understøtter deres kort-
lægning af kritiske it-systemer.
Det er en anbefaling, at myndighederne udarbejder egne retningslinjer til brug for
de vurderinger, som myndigheden skal foretage i forbindelse med kortlægningen.
Vi har derfor gennemgået, om myndighederne har fulgt anbefalingen.
I denne del af undersøgelsen indgår 11 myndigheder.
DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer
Myndighedernes porteføljestyring af deres kritiske it-systemer |
9
24. Undersøgelsen viser, at myndighedernes kortlægninger ikke i alle tilfælde giver et
tilstrækkeligt overblik over myndighedernes kritiske it-systemers tilstand. Myndighe-
derne er dog generelt blevet bedre til at kortlægge alle deres kritiske it-systemers til-
stand. Resultatet af myndighedernes seneste kortlægning viser bl.a., at myndigheder-
ne selv vurderer, at ca. en fjerdedel af deres kritiske it-systemer er i utilfredsstillende
teknisk tilstand. Børne- og Undervisningsministeriet er den eneste myndighed, der ik-
ke har kortlagt tilstanden for alle de systemer, som ministeriet har angivet som kriti-
ske til It-rådet ved 2. kortlægning. Ministeriet har oplyst, at ministeriet nu kan se, at mi-
nisteriet ved indrapporteringen til It-rådet har anvendt en anden definition af kritiske
systemer end modellens og derfor har inkluderet ikke-kritiske systemer på sin liste.
Ministeriet vil fremadrettet anvende modellens definition.
Størstedelen af de 11 myndigheder har anvendt svar som ”ved ikke” og ”0” i kortlæg-
ningen af deres kritiske it-systemers tilstand. Det gør det uklart, om disse kortlægnin-
ger omfatter alle relevante oplysninger. Rigsrevisionen kan på baggrund af disse myn-
digheders dokumentation ikke vurdere, om myndighederne mangler oplysninger om
deres kritiske it-systemer, eller om deres
”ved ikke”- og ”0”-svar
dækker over andre
forhold.
Det fremgår af 5 af de 11 myndigheders kortlægninger, at myndighederne også har
anvendt
svar som ”ved ikke” og ”0” på mindst 1 ud af 3 væsentlige
spørgsmål, fx om
alle relevante sikkerhedsopdateringer er implementeret. Det er Rigsrevisionens op-
fattelse, at disse spørgsmål er så væsentlige, at myndighederne bør kunne besvare
dem klart.
Af de 11 myndigheder er det kun Børne- og Undervisningsministeriet, der har fulgt mo-
dellens anbefaling om at udarbejde egne retningslinjer, der kan bidrage til at ensarte
vurderingen af systemerne.
Vi gennemgår og uddyber undersøgelsens resultater i de følgende afsnit.
DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer
2762824_0017.png
10
| Myndighedernes porteføljestyring af deres kritiske it-systemer
Myndighedernes kortlægning af deres kritiske systemers tilstand
25. Vi har undersøgt, om myndighederne har kortlagt alle deres kritiske it-systemers
tilstand.
26. Undersøgelsen viser, at myndighederne samlet set ikke har kortlagt alle deres kri-
tiske it-systemers tilstand. Figur 2 viser resultatet af vores undersøgelse heraf.
Figur 2
Andel kortlagte kritiske it-systemer ved 1. og 2. kortlægning
1. kortlægning
9 myndigheder
83 %
128 it-systemer
2. kortlægning
11 myndigheder
83 %
211 it-systemer
17 %
26 it-systemer
I alt 154 it-systemer
Kortlagte systemer
17 %
44 it-systemer
I alt 255 it-systemer
Ikke-kortlagte systemer
Note: I vores undersøgelse af 1. kortlægning indgår kun 9 af de 11 myndigheder, da det for 2 myndigheder ikke
har været muligt at undersøge, om de har kortlagt alle deres kritiske it-systemers tilstand. Det skyldes,
at det kun fremgår af kortlægningen, men ikke af myndighedernes lister over deres systemer, hvilke sy-
stemer der er kritiske.
Kilde:
Rigsrevisionen på baggrund af dokumentation fra de 11 myndigheder.
Det fremgår af figur 2, at myndighederne samlet set ikke har kortlagt tilstanden for 17 %
af deres kritiske it-systemer ved både 1. og 2. kortlægning. Andelen af systemer, der
ikke er kortlagt, er altså uændret samlet set fra 1. til 2. kortlægning, mens antallet af
systemer er steget.
27. Undersøgelsen viser, at det ved 1. kortlægning var Børne- og Undervisningsministe-
riet, Domstolsstyrelsen og Civilstyrelsen, der ikke havde kortlagt tilstanden for alle de-
res kritiske it-systemer. Det var især Børne- og Undervisningsministeriet og Domstols-
styrelsen, der ved 1. kortlægning ikke havde kortlagt alle deres systemer. De 2 myndig-
heder har oplyst, at de i forbindelse med deres 1. kortlægning var med til at afprøve mo-
dellen. De var på den baggrund i dialog med Økonomistyrelsen om deres fremgangs-
måde og gav efterfølgende Økonomistyrelsen input til det videre arbejde med at ud-
forme modellen.
DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer
2762824_0018.png
Myndighedernes porteføljestyring af deres kritiske it-systemer |
11
Ved 2. kortlægning var det kun Børne- og Undervisningsministeriet, der ikke havde
kortlagt alle sine kritiske it-systemers tilstand. Ministeriet manglede efter 2. kortlæg-
ning i henhold til indrapporteringen til It-rådet at kortlægge tilstanden for 44 af sine
84 kritiske it-systemer.
Børne- og Undervisningsministeriet har oplyst, at ministeriet har defineret en række
systemer som kritiske i deres oplysninger til It-rådet, selv om de ikke er kritiske ifølge
modellens definitioner af samfunds- og forretningskritiske systemer. Ministeriet har
oplyst, at hvis ministeriet havde anvendt modellens definitioner, så havde ministeriet
haft 18 kritiske systemer, som alle er kortlagt. Endelig har ministeriet oplyst, at mini-
steriet fremadrettet vil anvende modellens definitioner af samfunds- og forretnings-
kritiske it-systemer.
28. Boks 1 viser resultatet af de 11 myndigheders vurdering af it-systemernes tekniske
tilstand ved 1. og 2. kortlægning.
Boks 1
Myndighedernes vurdering af it-systemernes tekniske tilstand
ved 1. og 2. kortlægning
Vi har gennemgået de 11 myndigheders kortlægninger og på den baggrund opgjort myn-
dighedernes vurdering af systemernes tekniske tilstand.
1.
1. kortlægning
4 %
kortlægning
(165 it-systemer)
21 %
39 %
36 %
2. kortlægning
2. kortlægning
(211 it-systemer)
7%
17 %
44 %
32 %
0%
Meget utilfredsstillende
20 %
40 %
60 %
Tilfredsstillende
80 %
100 %
Utilfredsstillende
Meget tilfredsstillende
Note: Figuren omfatter alle 11 myndigheders vurderinger af deres kortlagte kritiske it-systemers
tekniske tilstand. Antallet af systemer i 1. kortlægning i denne figur (165) er derfor højere end
antallet i figur 1 (128).
Resultatet viser, at myndighederne både ved 1. og 2. kortlægning vurderer, at ca. en fjer-
dedel af deres kritiske it-systemer var i
”meget
utilfredsstillende” eller
”utilfredsstillende”
teknisk tilstand. Der er tale om henholdsvis 35 systemer ved 1. kortlægning og 51 syste-
mer ved 2. kortlægning. Alle myndighederne har it-systemer, som de vurderer er i util-
fredsstillende teknisk tilstand både ved 1. og 2. kortlægning. En utilfredsstillende teknisk
tilstand kan bl.a. betyde, at myndighederne har begrænsede muligheder for at vide-
reudvikle, skalere eller integrere systemerne.
Kilde:
Rigsrevisionen på baggrund af dokumentation fra de 11 myndigheder.
DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer
12
| Myndighedernes porteføljestyring af deres kritiske it-systemer
Myndighedernes oplysninger om systemerne i kortlægningen
29. Vi har undersøgt, om myndighedernes kortlægninger omfatter alle de relevante op-
lysninger.
”Ved ikke”- og ”0”-svar
”Ved ikke”-svar
bruger vi som
en samlet betegnelse for svar,
hvor myndighederne har sva-
ret fx ”ved ikke”, ”ej registre-
ret”
og
”ikke opgjort”.
Vi bruger
”0”-svar
som en
samlet betegnelse for svar på
økonomispørgsmål, hvor myn-
dighederne fx
har svaret ”0”,
”1”
og
”kan ikke udskilles”.
30. Undersøgelsen viser, at størstedelen af de 11 myndigheder har anvendt svar som
”ved ikke” og ”0” i kortlægningen af deres kritiske
systemers tilstand. Det gør det
uklart, om disse kortlægninger omfatter alle relevante oplysninger. Myndighederne
har samlet set givet ét
eller flere ”ved ikke”- og ”0”-svar
(e.l.) for ca. 60 % af deres sy-
stemer ved 1. kortlægning og for ca. 25 % af deres systemer ved 2. kortlægning. 7 af
de 11 myndigheder har anvendt denne type svar ved 2. kortlægning. Især Domstolssty-
relsen, Søfartsstyrelsen og Styrelsen for Dataforsyning og Infrastruktur har anvendt
denne type svar for en større andel af deres systemer. For Styrelsen for Dataforsyning
og Infrastruktur er der dog kun tale om ”0”-svar.
Flere af de 7 myndigheder har oplyst, at deres ”ved ikke”-svar
ikke nødvendigvis bety-
der, at de mangler oplysninger, men at svaret kan dække over andre forhold. Fx har
enkelte myndigheder oplyst, at nogle
”ved ikke”-svar
er udtryk for, at myndigheder-
nes egentlige svar er for nuanceret til, at svaret kan afgives inden for modellens ram-
mer. I et andet eksempel har en myndighed oplyst, at svaret dækker over, at myndig-
heden er usikker på, om myndigheden fremadrettet ønsker at anvende det pågælden-
de system. For så vidt angår økonomispørgsmålene har myndighederne for nogle af
deres ”0”-svar
oplyst, at der reelt er tale om, at myndighederne ikke har den type ud-
gifter til systemet (fx investeringsomkostninger). I andre tilfælde har myndighederne
oplyst, at de ikke har kunnet opgøre udgifterne på den måde, modellen påkræver, fx
fordi det ikke var muligt at udskille oplysninger om bestemte systemer fra større sy-
stemkomplekser.
Der er således
eksempler på, at myndighedernes ”ved ikke”- og ”0”-svar
ikke er udtryk
for manglende oplysninger, men i stedet dækker over andre forhold. Når myndighe-
derne anvender disse typer svar i deres kortlægninger, er det derfor uklart, hvad sva-
rene betyder. Vi kan heller ikke på baggrund af myndighedernes dokumentation vur-
dere, om
myndighedernes ”ved ikke”- og ”0”-svar
er et udtryk for manglende oplys-
ninger, eller dækker over andre forhold. Det er Rigsrevisionens opfattelse, at myndig-
hedernes brug
af ”ved ikke”- og ”0”-svar
giver dem et dårligere grundlag for at kunne
prioritere strategisk på baggrund af deres kortlægninger.
31. Det kan på baggrund af opgørelserne se ud, som om myndighederne er blevet bed-
re til at tilvejebringe de relevante oplysninger om systemerne. Modellen er dog som
nævnt blevet justeret i perioden mellem de 2 kortlægninger, og myndighederne skulle
ved 2. kortlægning besvare færre spørgsmål. Vi har derfor undersøgt udviklingen fra
1. til 2. kortlægning med udgangspunkt i de eneste 3 spørgsmål, der indgår i begge kort-
lægninger, og hvor modellen giver mulighed for at svare ”ved ikke” og ”0”. Det er end-
videre Rigsrevisionens vurdering, at der er tale om væsentlige spørgsmål, som myn-
dighederne bør kunne besvare klart. De 3 spørgsmål fremgår af boks 2.
DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer
2762824_0020.png
Myndighedernes porteføljestyring af deres kritiske it-systemer |
13
Væsentlige spørgsmål
Boks 2
Væsentlige spørgsmål, som indgår både i 1. og 2. kortlægning
Der er 3 spørgsmål, som indgår i begge kortlægninger, og hvor det er muligt at svare
”ved ikke” eller ”0”. De 3 spørgsmål er:
1. Er dokumentationen i al væsentlighed retvisende for it-systemets nuværende tilstand?
2. Er alle relevante sikkerhedsopdateringer og patches implementeret?
3. Hvad er de samlede årlige it-omkostninger til it-systemet?
Kilde:
Rigsrevisionen på baggrund af materiale fra
”Model
for porteføljestyring af statslige it-
systemer”.
Retvisende dokumentation
er
bl.a. med til at sikre, at myn-
dighedernes viden om syste-
merne er aktuel og fyldestgø-
rende. Det er derfor vigtigt, at
myndighederne ved, om deres
dokumentation for systemer-
ne er retvisende.
Sikkerhedsopdateringer og
patches
er bl.a. med til at sikre
informationssikkerhed og pri-
vatlivsbeskyttelse. Det er der-
for vigtigt, at myndighederne
ved, om alle relevante sikker-
hedsopdateringer og patches
er implementeret.
Samlede it-omkostninger
Overblik over de samlede om-
kostninger er bl.a. med til at
sikre, at myndighederne kan
styre systemporteføljen effek-
tivt og strategisk. Det er der-
for vigtigt, at myndighederne
har overblik over de samlede
årlige udgifter til systemerne.
Vores gennemgang viser, at myndighederne samlet set har
angivet et ”ved ikke”-
el-
ler ”0”-svar
på mindst ét af de 3 spørgsmål for ca. 8 % af deres kritiske it-systemer
ved 1. kortlægning og for ca. 15 % ved 2. kortlægning. Dermed er andelen af systemer,
hvor myndighederne samlet set har givet et ”ved ikke”-
eller
”0”-svar
til de 3 spørgs-
mål, fordoblet fra 1. til 2. kortlægning. Det peger på, at der ved 2. kortlægning fortsat
er en del oplysninger, der er forbundet med uklarhed.
5 af de 11 myndigheder har anvendt ”ved ikke”- og ”0”-svar
ved 2. kortlægning på de
væsentlige spørgsmål. Det er især Domstolsstyrelsen og Søfartsstyrelsen, der har an-
vendt denne type svar for en større andel af deres systemer.
Myndighedernes retningslinjer for kortlægningen af deres kritiske it-
systemer
32. Vi har undersøgt, om myndighederne har udarbejdet egne retningslinjer e.l., som
understøtter myndighedernes kortlægning.
33. Undersøgelsen viser, at det kun er Børne- og Undervisningsministeriet, der har ud-
arbejdet egne retningslinjer, som understøtter ministeriets kortlægning. De resteren-
de 10 myndigheder har ikke fulgt modellens anbefaling om at udarbejde egne retnings-
linjer for besvarelsen af vurderingsspørgsmålene. Størstedelen af myndighederne
har oplyst, at de har bestræbt sig på at sikre en ensartet besvarelse af kortlægnings-
spørgsmålene på anden vis, fx gennem workshops og koordinationsmøder.
Enkelte myndigheder har oplyst, at de anser Økonomistyrelsens vejledning som til-
strækkelig i forhold til at kunne udarbejde deres kortlægning. Disse myndigheder vur-
derer således, at modellens anbefaling om at udarbejde egne retningslinjer for at sik-
re ensartede vurderinger af systemerne ikke er relevant for dem.
DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer
2762824_0021.png
14
| Myndighedernes porteføljestyring af deres kritiske it-systemer
34. Boks 3 beskriver indholdet af Børne- og Undervisningsministeriets retningslinjer.
Boks 3
Børne- og Undervisningsministeriets retningslinjer for kortlæg-
ningen
Børne- og Undervisningsministeriets retningslinjer beskriver bl.a., hvordan ministeriets
egne interne vurderinger af systemernes teknologiske tilstand skal oversættes i Økono-
mistyrelsens model.
Børne- og Undervisningsministeriets retningslinjer beror på et peer review-koncept, hvor
erfarne medarbejdere vurderer de enkelte systemer på 4 hovedparametre og giver dem
en score. Retningslinjerne beskriver i forlængelse heraf, hvordan denne score skal over-
sættes i besvarelsen af modellens vurderingsspørgsmål.
Kilde:
Rigsrevisionen på baggrund af materiale fra Børne- og Undervisningsministeriet.
2.2. Myndighedernes handlingsplaner for deres kritiske
it-systemer
35. Vi har undersøgt, om myndighedernes handlingsplaner understøtter deres arbej-
de med de kritiske it-systemer. Det har vi gjort ved at undersøge, om:
Det fremgår af myndighedernes handlingsplaner, hvilke it-systemer de har priori-
teret at arbejde med.
Det er et krav, at myndighederne skal beskrive, hvilke systemer der indgår i hand-
lingsplanen, og hvorfor dette fokus er valgt. Vi har derfor gennemgået, om myndig-
hederne har beskrevet, hvilke systemer der indgår i deres handlingsplaner.
Myndighederne har opstillet initiativer, som de kan følge op på.
Det er et krav, at myndighederne i handlingsplanen skal opstille konkrete initiati-
ver for det videre arbejde med systemporteføljen. Det fremgår ligeledes, at myn-
dighederne for hvert initiativ skal angive det forventede færdiggørelsestidspunkt,
succeskriterier, det forventede behov for resurser (fx medarbejderresurser eller
finansiering), og om der er afsat de forventede resurser til gennemførelsen af initi-
ativet. Vi har derfor gennemgået, om myndighederne for hvert af initiativerne har
sat en slutdato, har opstillet succeskriterier og har opgjort og afsat de forventede
resurser.
Modellen stiller ikke krav til succeskriteriernes udformning. Det er dog vores opfat-
telse, at de opstillede succeskriterier skal være målbare, så myndighederne kan
måle fremdriften. I vores vurdering af, om myndighedernes succeskriterier er mål-
bare, har vi derfor lagt vægt på, om det fremgår, hvad succeskriteriet omhandler
(hvilken måleenhed, fx kr. eller årsværk), og om der fremgår en tydelig tærskelvær-
di for, hvornår målet er nået.
De forventede resurser
Model for porteføljestyring af
statslige it-systemer stiller
krav om, at myndighederne
opgør og afsætter økonomi til
deres initiativer. Det fremgår
af modellen, at dette omfatter
medarbejderresurser. Vi un-
dersøger derfor i beretningen,
om myndighederne har afsat
de forventede resurser.
I denne del af undersøgelsen indgår 4 af de 11 myndigheder (Domstolsstyrelsen, Krimi-
nalforsorgen, Geodatastyrelsen og Danmarks Meteorologiske Institut).
DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer
Myndighedernes porteføljestyring af deres kritiske it-systemer |
15
36. Undersøgelsen viser, at de 4 udvalgte myndigheders handlingsplaner ikke under-
støtter deres arbejde med de kritiske it-systemer i tilstrækkelig grad. De 4 myndighe-
der har prioriteret, hvilke it-systemer de vil arbejde med i hver af deres handlingspla-
ner. Myndighederne har dog i meget begrænset omfang opstillet initiativer i handlings-
planerne, som de kan følge op på. I myndighedernes seneste handlingsplaner har kun
ca. 30 % af initiativerne målbare succeskriterier, og kun for ca. 20 % af initiativerne
har myndighederne afsat resurser. Samlet set er det 8 % af myndighedernes initiati-
ver i deres seneste handlingsplaner, som har både slutdato, målbare succeskriterier,
og som der er opgjort og afsat resurser til.
Flere af myndighederne har oplyst, at de er enige i, at succeskriterierne i handlings-
planerne kan gøres mere målbare, men at det ikke er et krav i modellen for porteføl-
jestyring af statslige it-systemer. Rigsrevisionen er enig i, at det ikke er et krav i mo-
dellen, at der skal opstilles målbare succeskriterier. Det er dog Rigsrevisionens op-
fattelse, at succeskriterierne bør være målbare, så myndighederne kan måle, om de
har opnået de forudsatte forbedringer.
Flere af myndighederne har oplyst, at de ikke afsætter resurser til initiativer, der skal
løses internt. De udvalgte myndigheder har desuden oplyst, at det er vanskeligt at af-
sætte resurser til initiativer, der skal gennemføres om 2-3 år, da de økonomiske ram-
mer i de fleste tilfælde besluttes fra år til år. Det fremgår af modellen, at myndigheder-
ne for hvert initiativ skal beskrive det forventede resursetræk. Det er desuden Rigs-
revisionens opfattelse, at det er vigtigt, at myndighederne opgør og afsætter resurser
til deres initiativer, da det er med til at skabe sikkerhed for, at myndighederne har de
nødvendige resurser til at gennemføre initiativerne i deres handlingsplaner.
It-rådet har i flere tilfælde anbefalet myndighederne at forbedre deres succeskriteri-
er og i højere grad afsætte resurser til deres initiativer.
Vi gennemgår og uddyber undersøgelsens resultater i de følgende afsnit.
Myndighedernes prioritering af it-systemer i deres handlingsplaner
37. Vi har undersøgt, om det fremgår af myndighedernes handlingsplaner, hvilke it-sy-
stemer de har prioriteret at arbejde med.
38. Undersøgelsen viser, at det fremgår af alle 4 myndigheders handlingsplaner, hvil-
ke it-systemer de har prioriteret at arbejde med. Domstolsstyrelsen, Kriminalforsor-
gen og Geodatastyrelsen har prioriteret at arbejde med mellem ca. 10 % og ca. 60 %
af deres samlede systemportefølje. Den prioritering, der fremgår af disse 3 myndighe-
ders handlingsplaner, vedrører primært de prioriterede systemers økonomiske væ-
sentlighed. Myndighederne fremhæver desuden hver især andre faktorer i deres hand-
lingsplaner, som har haft indflydelse på deres prioritering. Fx fremhæver 2 af myndig-
hederne, at de har prioriteret systemer, hvor de selv varetager udviklingen og vedlige-
holdelsen. Én myndighed har endvidere oplyst, at den har prioriteret systemer, hvis
tilstand er mest utilfredsstillende.
Danmarks Meteorologiske Institut har prioriteret at arbejde videre med alle sine sy-
stemer i handlingsplanen. Myndigheden har oplyst, at dette særligt skyldes, at porte-
føljen består af systemer, der i høj grad er indbyrdes afhængige.
DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer
2762824_0023.png
16
| Myndighedernes porteføljestyring af deres kritiske it-systemer
39. Det fremgår ikke af myndighedernes handlingsplaner, om
og i givet fald i hvilket
omfang
risikovurderinger, herunder risikoen for og konsekvenserne ved nedbrud har
indgået i myndighedernes prioritering. Det er ikke et krav i modellen, at risikovurderin-
gerne skal indgå. Det er dog Rigsrevisionens opfattelse, at det vil være nærliggende
for myndighederne at medtage denne type vurderinger i deres grundlag for at priori-
tere systemerne. Flere af myndighederne har dog oplyst, at risikovurderinger indgår i
deres prioriteringer, selv om det ikke fremgår af deres handlingsplaner.
Myndighedernes opstilling af initiativer
40. Vi har undersøgt, om myndighederne har opstillet initiativer, som de kan følge op
på. Det har vi gjort ved at gennemgå, om myndighederne i 1. og 2. handlingsplan har sat
en slutdato, har opstillet målbare succeskriterier og har afsat resurser til initiativerne.
41. Undersøgelsen viser, at myndighederne i meget begrænset omfang har opstillet ini-
tiativer, de kan følge op på. Andelen af myndighedernes initiativer, der både har slutda-
to, målbare succeskriterier, og som der er afsat resurser til, var 13 % for 1. handlings-
plan og 8 % for 2. handlingsplan.
42. Myndighederne har sat en slutdato for næsten alle deres initiativer. Ud af de 132
initiativer, som myndighederne samlet set har iværksat i deres 1. og 2. handlingsplan,
har 129 haft en slutdato.
Myndighederne har i begrænset omfang opstillet målbare succeskriterier for deres
initiativer. Figur 3 viser resultatet af vores undersøgelse heraf.
Figur 3
Andel initiativer i 1. og 2. handlingsplan med målbare succeskriterier
1. handlingsplan
1. handlingsplan
(I alt 47 initiativer)
53 %
2. handlingsplan
2. handlingsplan
(I alt 85 initiativer)
0%
31 %
20%
40%
60%
80%
100%
Kilde:
Rigsrevisionen på baggrund af myndighedernes handlingsplaner.
Det fremgår af figur 3, at myndighederne har opstillet målbare succeskriterier for 53 %
og 31 % af deres initiativer i henholdsvis 1. og 2. handlingsplan. Dermed er andelen af
myndighedernes succeskriterier, som er målbare, faldet med ca. 20 procentpoint fra
1. til 2. handlingsplan. Denne udvikling gælder på tværs af de 4 myndigheder.
DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer
2762824_0024.png
Myndighedernes porteføljestyring af deres kritiske it-systemer |
17
Boks 4 viser et succeskriterie, som er målbart, og et succeskriterie, som ikke er mål-
bart.
Boks 4
Eksempler på succeskriterier
Eksempel på et målbart succeskriterie
”Initiativet
har til formål at forbedre kendskab til ISO 27001. Succeskriteriet vil være at
nedbringe antallet af systemer med utilstrækkeligheder ved kortlægningsdimensionen
sikkerhed fra 25 til 5”.
Eksempel på et succeskriterie, der ikke er målbart
”Der
er ryddet op i rettigheder og brugernes adgange. Projektet bør udvides til at ned-
lægge nuværende brugerstyringsværktøj og implementere [et specifikt system] samt
rollebaseret adgange. Det er ikke en del af projektet”.
Kilde:
Rigsrevisionen på baggrund af 2 myndigheders handlingsplaner.
Det første succeskriterie i boks 4 er målbart, fordi det er klart, hvad succeskriteriet
omhandler (måleenheden er systemer med utilstrækkeligheder i forhold til sikkerhed),
og hvilken tærskelværdi succeskriteriet er opnået ved (målet er opnået, når antallet
af systemer med utilstrækkeligheder er reduceret til 5). Omvendt er det andet succes-
kriterie ikke målbart, da det ikke er klart, hvad succeskriteriet omhandler (fx hvilke ret-
tigheder og adgange kriteriet omfatter), og hvilken tærskelværdi succeskriteriet er op-
nået ved (fx antal rettigheder og adgange). Derudover beskriver succeskriteriet inten-
tioner om en udvidelse af projektet, hvilket medfører yderligere uklarhed om, hvad suc-
ceskriteriet omfatter, og hvornår myndigheden er i mål.
43. Flere af myndighederne har oplyst, at de er enige i, at succeskriterierne i handlings-
planerne kan gøres mere målbare, men at det ikke er et krav i modellen for portefølje-
styring af statslige it-systemer. Flere myndigheder har endvidere oplyst, at nogle initia-
tivers succeskriterier er yderligere operationaliseret i projektgrundlag e.l. Rigsrevisio-
nen er enig i, at det ikke er et krav i modellen, at der skal opstilles målbare succeskri-
terier. Det er dog Rigsrevisionens opfattelse, at succeskriterierne bør være målbare,
så myndighederne kan måle, om de har opnået de forudsatte forbedringer.
It-rådet har over for flere af de undersøgte myndigheder påpeget, at deres succeskri-
terier ikke er målbare nok i forhold til at kunne følge op på fremdriften og anvende
handlingsplanen som et styringsværktøj. Det fremgår ligeledes af It-rådets statusrap-
porter fra 2021 og 2022, at It-rådet på tværs af alle statslige myndigheder har givet
flest anbefalinger vedrørende operationalisering og eksekvering af myndighedernes
handlingsplaner, herunder specifikt, at handlingsplanerne operationaliseres med mål-
bare succeskriterier.
DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer
2762824_0025.png
18
| Myndighedernes porteføljestyring af deres kritiske it-systemer
44. Myndighederne har i begrænset omfang afsat resurser til deres initiativer. Figur 4
viser resultat af vores undersøgelse heraf.
Figur 4
Andel initiativer i 1. og 2. handlingsplan, hvor myndighederne har afsat
resurser
1. handlingsplan
1. handlingsplan
(I alt 47 initiativer)
2. handlingsplan
2. handlingsplan
(I alt 85 initiativer)
0%
15 %
20 %
20%
40%
60%
80%
100%
Kilde:
Rigsrevisionen på baggrund af myndighedernes handlingsplaner.
Det fremgår af figur 4, at myndighederne samlet set har afsat resurser til 15 % og 20 %
af deres initiativer i henholdsvis 1. og 2. handlingsplan. Dermed har der samlet set væ-
ret en lille stigning i andelen af initiativer, som myndighederne har afsat resurser til,
fra 1. til 2. handlingsplan. Denne udvikling gælder dog ikke alle myndighederne. Ved 2.
handlingsplan er det særligt Domsstolsstyrelsen, der har afsat resurser til sine initiati-
ver. Kriminalforsorgen har afsat resurser for en mindre del af sine initiativer, mens Geo-
datastyrelsen og Danmarks Meteorologiske Institut har afsat resurser for et fåtal af
deres initiativer.
45. Flere af myndighederne har oplyst, at de ikke har opgjort de forventede resurser
til initiativer, der skal gennemføres af interne resurser, og hvor der dermed ikke skal
indhentes særskilt finansiering. Myndighedernes prioritering af interne resurser, her-
under til handlingsplanernes initiativer, er i stedet en del af deres daglige driftsstyring.
Flere af myndighederne har endvidere oplyst, at det er vanskeligt at afsætte resurser
til initiativer, der ligger 2-3 år frem i tid, da de økonomiske rammer i de fleste tilfælde
besluttes fra år til år.
Det fremgår af modellen, at myndighederne for hvert initiativ skal beskrive det forven-
tede resursetræk, samt om der er tale om interne eller eksterne resurser. Dette er nød-
vendigt for at skabe sikkerhed for, at myndighederne har de nødvendige resurser til
at gennemføre initiativerne i deres handlingsplaner. Det giver endvidere myndigheder-
ne de bedste forudsætninger for at planlægge langsigtet og omprioritere, hvis der sker
ændringer i de økonomiske rammebetingelser.
DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer
2762824_0026.png
Myndighedernes porteføljestyring af deres kritiske it-systemer |
19
It-rådet har over for flere af de undersøgte myndigheder påpeget, at finansieringen er
uafklaret for flere af initiativerne, og at dette indebærer en risiko i forhold til fremdrif-
ten. Som tidligere beskrevet fremgår det af It-rådets statusrapporter fra 2021 og 2022,
at It-rådet generelt har givet flest anbefalinger vedrørende operationalisering og ek-
sekvering af handlingsplaner, herunder specifikt, at myndighederne bør sikre, at der
er de rette forudsætninger for at gennemføre planerne, bl.a. i form af medarbejderre-
surser, kompetencer og finansiering.
2.3. Myndighedernes opfølgning på fremdriften i hand-
lingsplanernes initiativer
46. Vi har undersøgt, om:
Myndighederne har fulgt op på fremdriften i handlingsplanernes initiativer.
Det er et krav i modellen, at myndighederne årligt udarbejder et statusnotat, hvor
de skal beskrive status for og fremdrift i handlingsplanens initiativer. Vi har derfor
gennemgået, om myndighederne har fulgt op på initiativerne fra 1. handlingsplan i
deres statusnotater til It-rådet.
I denne del af undersøgelsen indgår 4 af de 11 myndigheder (Domstolsstyrelsen, Krimi-
nalforsorgen, Geodatastyrelsen og Danmarks Meteorologiske Institut).
47. Undersøgelsen viser, at de 4 udvalgte myndigheder i de fleste tilfælde har fulgt op
på fremdriften i handlingsplanernes initiativer. Myndighederne har generelt rapporte-
ret til It-rådet om fremdriften i arbejdet med initiativerne. Myndighederne har dog ikke
i alle tilfælde rapporteret på hvert initiativ i deres statusnotater til It-rådet.
Vi gennemgår og uddyber undersøgelsens resultater i de følgende afsnit.
48. Undersøgelsen viser, at Domstolsstyrelsen, Geodatastyrelsen og Danmarks Me-
teorologiske Institut hver har indsendt 2 statusnotater til It-rådet vedrørende deres 1.
handlingsplan. De 3 myndigheder har i vidt omfang fulgt op på deres initiativer heri.
Danmarks Meteorologiske Institut og Geodatastyrelsen har således givet en status på
alle deres initiativer, mens Domstolsstyrelsen har givet en status på 17 ud af deres 19
initiativer.
Kriminalforsorgen har ikke sendt statusnotater til It-rådet vedrørende deres 1. hand-
lingsplan. Myndigheden har som tidligere beskrevet været igennem et særligt forløb
ved It-rådet og har udarbejdet 3 handlingsplaner i undersøgelsesperioden. Kriminal-
forsorgen har oplyst, at dette er årsagen til, at Kriminalforsorgen ikke har udarbejdet
statusnotater vedrørende deres 1. handlingsplan, og at det er undladt efter aftale med
It-rådet. Kriminalforsorgen har ligeledes oplyst, at Kriminalforsorgen fra 2023 følger
den ordinære proces med udarbejdelse af statusnotater.
DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer
2762824_0027.png
2
|
Metodisk tilgang.. Metodisk tilgang
|
1.
20
| Myndighedernes porteføljestyring af deres kritiske it-systemer
49. Boks 5 viser udvalgte resultater fra de 4 myndigheders opfølgning på deres initia-
tiver.
Boks 5
Udvalgte resultater fra de 4 myndigheders opfølgning på deres
initiativer
Vi har gennemgået de 4 myndigheders opfølgninger på deres initiativer og på den bag-
grund opgjort myndighedernes samlede vurdering af, om initiativerne fra 1. handlings-
plan er gennemført eller ej.
Gennemførte
initiativer
31
Delvist gennem-
førte initiativer
9
Ikke-gennem-
førte initiativer
4
I alt
44
Note: Myndighederne har i alt 47 initiativer i deres 1. handlingsplaner. Vi har afgrænset os fra 3
initiativer, som har en slutdato efter 31. december 2022. Derfor fremgår der kun 44 initiati-
ver i tabellen.
Opgørelsen viser, at myndighederne samlet set vurderer, at 31 ud af de 44 planlagte ini-
tiativer er gennemført, svarende til ca. 70 %. Derudover er der 9 initiativer, som myndig-
hederne vurderer er delvist gennemført, og 4 initiativer, som myndighederne vurderer,
ikke er blevet gennemført.
Domstolsstyrelsen og Kriminalforsorgen vurderer, at ca. 80 % af deres initiativer er ble-
vet gennemført. Geodatastyrelsen og Danmarks Meteorologiske Institut vurderer tilsva-
rende, at ca. 50 % af deres initiativer er blevet gennemført. Hertil kommer en andel af
delvist gennemførte initiativer, der varierer på tværs af de 4 myndigheder.
Kilde:
Rigsrevisionen på baggrund af myndighedernes statusnotater til It-rådet, handlingsplaner
og oplysninger til Rigsrevisionen.
Rigsrevisionen, den 28. september 2023
Bo Brabrand
sætterigsrevisor
/Mads Nyholm Jacobsen
DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer
Metodisk tilgang |
21
Bilag 1. Metodisk tilgang
Formålet med undersøgelsen er at vurdere, om myndighedernes porteføljestyring af
deres kritiske it-systemer har været tilfredsstillende. Vi har derfor undersøgt følgen-
de:
Giver myndighedernes kortlægninger overblik over deres kritiske it-systemers til-
stand?
Understøtter myndighedernes handlingsplaner deres arbejde med de kritiske it-
systemer?
Har myndighederne fulgt op på fremdriften i handlingsplanernes initiativer?
I undersøgelsens 1. del indgår der 11 myndigheder fordelt på 5 ministerier. I undersøgel-
sens 2. del indgår der 4 myndigheder fordelt på 2 ministerier.
Undersøgelsen omfatter perioden fra november 2018 til og med januar 2023.
Undersøgelsen er primært baseret på dokumentgennemgang. For at understøtte re-
visionen har vi holdt møder med de 11 myndigheder, medlemmer af It-rådet samt med
It-rådets sekretariat, der er placeret i Økonomistyrelsen.
Nedenfor beskrives vores kvalitetssikring, data og metode i flere detaljer.
Kvalitetssikring
Denne undersøgelse er kvalitetssikret via vores interne procedurer for kvalitetssikring,
som omfatter høring hos den reviderede samt ledelsesbehandling og sparring på for-
skellige tidspunkter i undersøgelsesforløbet med chefer og medarbejdere i Rigsrevi-
sionen med relevante kompetencer.
Undersøgelsen er bl.a. kvalitetssikret ved, at vi har anvendt en kodebog ved gennem-
gang og indtastning af oplysningerne for at understøtte en ensartet behandling af myn-
dighedernes dokumentation. For yderligere at sikre kvaliteten af resultaterne er der
foretaget blindkodning af dokumentationen. Dette er gjort ved, at alle myndigheder-
nes dokumentation er gennemgået og kodet af 2 personer fra projektgruppen, hvor-
efter de 2 personer har sammenholdt resultater med henblik på at sikre kvaliteten af
kodningen. Kvalitetssikringen har i nogle tilfælde givet anledning til, at vi stillede yder-
ligere spørgsmål og bad om yderligere materiale hos ministerierne.
DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer
22
| Metodisk tilgang
Væsentlige dokumenter
Vi har gennemgået en række dokumenter, herunder:
dokumenter fra
”Model
for porteføljestyring af statslige it-projekter”, herunder bl.a.
”Vejledning til model for porteføljestyring af statslige it-systemer”, ”Vejledning til
review og rådgivning ved Statens It-råd”,
It-rådets
skabelon for it-handlingsplaner,
It-rådets skabelon for statusnotater og It-rådets skabelon for datagrundlag til etab-
lering af it-systemporteføljeoverblik
ministeriernes kortlægninger af deres kritiske it-systemer, herunder det datagrund-
lag og de lister over it-systemer, som ministeriernes kortlægninger er baseret på
ministeriernes handlingsplaner, herunder særligt myndighedernes initiativer i hand-
lingsplanerne
anbefalingsbreve fra It-rådet til myndighederne på baggrund af reviews
statusnotater fra myndighederne til It-rådet.
Udvælgelse af myndighederne i undersøgelsen
Beretningen omfatter 11 myndigheder fordelt på 5 ministerier, som har gennemført
kortlægningen og har været i review ved It-rådet 2 gange. Det drejer sig om Erhvervs-
styrelsen, Finanstilsynet og Søfartsstyrelsen (under Erhvervsministeriet), Civilstyrel-
sen, Domstolsstyrelsen og Kriminalforsorgen (under Justitsministeriet), Geodatasty-
relsen, Danmarks Meteorologiske Institut og Styrelsen for Dataforsyning og Infrastruk-
tur (under Klima-, Energi- og Forsyningsministeriet) samt Børne- og Undervisnings-
ministeriet og Udlændinge- og Integrationsministeriet.
De 11 myndigheder er udvalgt, fordi de er underlagt model for porteføljestyring af stats-
lige it-systemer, jf. budgetvejledningen, og fordi de har været i review ved It-rådet 2
gange i perioden fra november 2018 til og med januar 2023.
I dele af undersøgelsen indgår 4 myndigheder, som Rigsrevisionen har udvalgt blandt
de 11. Det drejer sig om Domstolsstyrelsen, Kriminalforsorgen, Geodatastyrelsen og
Danmarks Meteorologiske Institut. De 4 myndigheder er udvalgt fra de 2 ministerier
med flest kritiske systemer i utilfredsstillende tilstand ved 1. kortlægning.
Under hvert ministerområde har vi udvalgt de 2 underliggende myndigheder med flest
kritiske systemer i utilfredsstillende tilstand målt på ét eller flere af følgende parame-
tre: teknisk tilstand, forretningsunderstøttelse, dokumentation og viden samt sikker-
hed. Vi forventer, at forbedringspotentialet her er størst, hvilket bør være afspejlet i
myndighedernes handlingsplaner og initiativer.
DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer
Metodisk tilgang |
23
Vi har registreret et system som værende i utilfredsstillende tilstand, hvis myndighe-
derne har svaret
”utilfredsstillende”, ”nej”
eller
”ved
ikke” på ét eller flere af følgende
4 centrale spørgsmål:
Hvor tilfredsstillende er it-systemets tekniske tilstand i dag?
Hvor tilfredsstillende er it-systemets understøttelse af forretningsprocesser i dag?
Er dokumentationen i al væsentlighed retvisende for it-systemets nuværende til-
stand?
Er alle relevante sikkerhedsopdateringer og patches implementeret?
Metoden ligger i forlængelse af den, der anvendes i It-rådets statusrapport fra 2021,
hvori det beskrives, at et system er i utilstrækkelig systemtilstand, hvis der er svaret
negativt eller
”ved
ikke” for ét eller flere af 6 udvalgte spørgsmål. 3 af disse spørgsmål
indgår i vores opgørelsesmetode. Derudover har vi tilføjet et spørgsmål målrettet for-
retningsunderstøttelse, som ikke indgår i It-rådets metode. Vi har suppleret med det-
te spørgsmål, da vores undersøgelse omfatter forretningskritiske it-systemer, og for-
di vi anser det som en vigtig indikator for, om systemerne fungerer tilfredsstillende, så
de kan understøtte forretningen.
De 4 spørgsmål indgår i begge kortlægninger, men myndighederne er udvalgt på bag-
grund af deres besvarelser i 1. kortlægning.
Undersøgelsens operationalisering af modellen for porteføljestyring af
statslige it-projekter
Undersøgelsen er i vidt omfang baseret på de krav til myndighederne, der udspringer
af modellen for porteføljestyring af statslige it-systemer. Derfor har vi undersøgt myn-
dighederne med udgangspunkt i modellens forskellige trin, herunder myndighedernes
kortlægninger, handlingsplaner samt opfølgning herpå.
Vi har bl.a. undersøgt, om myndighederne har kortlagt tilstanden for alle deres kriti-
ske it-systemer, ved at identificere deres kritiske it-systemer i deres liste over syste-
mer og undersøge, om alle disse systemer indgår i myndighedernes kortlægning. Den-
ne metode har vi kunnet anvende over for alle myndigheder ved 1. kortlægning, og for
4 ud af de 11 myndigheder ved 2. kortlægning. Det skyldes, at det kun er 4 myndighe-
der, der har udarbejdet en liste over systemer i forbindelse med 2. kortlægning, da mo-
dellen ikke længere stiller krav herom. De resterende 7 myndigheder har vi bedt op-
lyse, om deres 2. kortlægning omfatter alle deres kritiske it-systemer. Det metodiske
grundlag for vores gennemgang af myndighedernes 2. kortlægning er dermed forskel-
ligt.
Enkelte krav i modellen for porteføljestyring af statslige it-systemer har vi valgt at ope-
rationalisere yderligere.
DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer
Ordliste
|
1.
24
| Metodisk tilgang
Dette gælder
for det første
vores undersøgelse af, om myndighedernes kortlægnin-
ger omfatter alle de relevante oplysninger. Modellen stiller krav om, at myndigheder-
ne i forbindelse med deres kortlægning skal besvare en række obligatoriske spørgs-
mål. Myndighedernes besvarelse af de obligatoriske spørgsmål er systemunderstøt-
tet. Dette medfører, at det bliver tydeligt, hvis ét eller flere spørgsmål ikke er besva-
ret. I praksis besvarer myndighederne derfor alle spørgsmålene. Formålet med kort-
lægningen er imidlertid at skabe et transparent overblik over myndighedernes sy-
stemporteføljer. Dette er grundlaget for myndighedernes strategiske prioriteringer i
deres handlingsplaner. Vi har derfor gennemgået, om myndighederne har besvaret
alle de obligatoriske spørgsmål i kortlægningen
med relevante oplysninger,
dvs. med
svar, der bidrager til at skabe ovennævnte transparente overblik. Helt konkret har vi
gennemgået alle myndighedernes 1. og 2. kortlægning og registreret, hvor mange af
de obligatoriske spørgsmål der
er besvaret med ”ved ikke”, ”0” e.l.,
da vi mener, det er
uklart, hvad denne type svar dækker over. Vi har for alle myndighederne optalt antal-
let af ”ved ikke”- og ”0”-svar
og opgjort andelen af kritiske systemer, hvor de har an-
vendt ét eller flere af denne type svar i kortlægningen. For at sammenligne udviklin-
gen fra 1. til 2. kortlægning har vi ligeledes optalt og opgjort andelen af ”ved ikke”-
og
”0”-svar
på de 3 eneste spørgsmål, som indgår i begge kortlægninger, og hvor det er
muligt at svare ”ved ikke”, ”0” e.l.
Det er Rigsrevisionens opfattelse, at der er tale om
væsentlige spørgsmål, som myndighederne bør kunne besvare klart.
Dette gælder
for det andet
vores undersøgelse af, om myndighedernes initiativer har
målbare
succeskriterier. Modellen stiller krav om, at myndighederne opstiller succes-
kriterier for initiativerne i deres handlingsplaner, men stiller ikke krav om udformnin-
gen af succeskriterierne. Det er Rigsrevisionens opfattelse, at formålet med at opstil-
le succeskriterier er at konkretisere, hvornår den ønskede effekt er opnået
altså
hvornår det enkelte initiativ er gennemført med succes. Vi har derfor gennemgået,
om myndighedernes initiativer har målbare succeskriterier. Det har vi gjort ved at un-
dersøge, om det for hvert af myndighedernes succeskriterier er klart, hvad succeskri-
teriet omhandler (hvilken måleenhed, fx uger eller kr.), og hvilken tærskelværdi krite-
riet er opnået ved (fx 2 uger eller 100.000 kr.).
Standarderne for offentlig revision
Revisionen er udført i overensstemmelse med standarderne for offentlig revision, her-
under standarderne for større undersøgelser (SOR 3). Standarderne fastlægger, hvad
brugerne og offentligheden kan forvente af revisionen, for at der er tale om en god fag-
lig ydelse. Standarderne er baseret på de grundlæggende revisionsprincipper i rigsre-
visionernes internationale standarder (ISSAI 100-999).
DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer
2762824_0032.png
Ordliste |
25
Bilag 2. Ordliste
Databeskyttelsesforordningen
Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af
fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådan-
ne oplysninger mv.
Dokumentation og viden
Myndighederne skal redegøre for, i hvilket omfang de er i besiddelse af aktuel, retvisende og fyl-
destgørende dokumentation af it-systemerne, som det er beskrevet i modellen for porteføljesty-
ring af statslige it-systemer (kortlægningsdimension).
Myndighederne skal redegøre for systemernes evne til at understøtte forretningens behov og pro-
cesser, som det er beskrevet i modellen for porteføljestyring af statslige it-systemer (kortlægnings-
dimension).
Obligatorisk dokument i modellen for porteføljestyring af statslige it-systemer, som anvendes til
myndighedernes strategiske styring af it-systemporteføljerne, og som indeholder en række obliga-
toriske kapitler og nedslagspunkter.
Statens It-råd udgiver årligt en rapport, som giver en status på statens it-projekter og på styringen
af statens it-systemporteføljer.
Modellen for porteføljestyring af statslige it-systemer definerer it-systemer som et produkt eller en
resurse, der understøtter én eller flere forretningsprocesser, og omfatter såvel applikationer som
den nødvendige hardware og it-infrastruktur til brug for it-systemets afvikling.
Modellen for porteføljestyring af statslige it-systemer omfatter i udgangspunktet alle de it-syste-
mer, som myndigheden er systemejer for, og som er taget helt eller delvist i brug. Det gælder også
systemer, hvis drift forestås af ekstern part som fx Statens It.
Regeringen gennemførte i 2017 og 2018 kasseeftersyn af det statslige it-område, hvor statslige
myndigheder blev bedt om at indrapportere en række informationer om deres it-omkostninger, it-
projekter over 5 mio. kr. og kritiske it-systemer.
Myndighederne skal ifølge model for porteføljestyring af statslige it-systemer kortlægge deres it-
systemportefølje ved at besvare en række spørgsmål inden for 6 kortlægningsdimensioner. Kort-
lægningen anvendes til at give et overblik over it-systemporteføljen.
En ændring (eller et sæt af ændringer) til et it-system, der implementeres med det formål at opda-
tere systemet, forbedre systemet eller at udbedre fejl på systemet.
Obligatorisk dokument i Statens it-projektmodel, som udgør projektets styringsgrundlag. Heri skal
myndighederne bl.a. beskrive projektets formål, ønskede gevinster og økonomi.
Myndighederne skal redegøre for, om it-systemporteføljen er sikker og lever op til sikkerhedskra-
vene i modellen for porteføljestyring af statslige it-systemer (kortlægningsdimension).
Har til formål at konkretisere, hvad der skal til, for at man kan vurdere, at den ønskede effekt af et
projekt eller tiltag er opnået.
Myndighederne skal redegøre for, om it-systemerne kan vedligeholdes, videreudvikles og tilpasses,
som det er beskrevet i modellen for porteføljestyring af statslige it-systemer (kortlægningsdimen-
sion).
Forretningsunderstøttelse
It-handlingsplan
It-rådets statusrapport
It-system
It-systemportefølje
Kasseeftersyn
Kortlægning
Patches
Projektgrundlag
Sikkerhed
Succeskriterier
Teknisk tilstand