Finansudvalget 2023-24
SB 5 4
Offentligt
2835346_0001.png
Marts 2024
Rigsrevisionens notat om
beretning om
statens it-beredskab II
Statsrevisorerne beretning SB5/2023 - Bilag 4: Rigsrevisionens §18.4 notat af 5. marts om statens it-beredskab II
2835346_0002.png
2.. 3.
Notat til Statsrevisorerne, jf. rigsrevisorlovens § 18, stk. 4
1
Vedrører:
Statsrevisorernes beretning nr. 5/2023 om statens
it-beredskab II
Digitaliserings- og ligestillingsministerens redegørelse af 22. januar 2024
Indenrigs- og sundhedsministerens redegørelse af 23. januar 2024
Erhvervsministerens redegørelse af 29. januar 2024
Redegørelser fra ministrene for myndighed 1, 2, 3 og 4
5. marts 2024
RN 1106/24
1. Rigsrevisionen gennemgår i dette notat de initiativer, som ministrene har iværksat
eller vil iværksætte som følge af Statsrevisorernes bemærkninger og beretningens
konklusioner. Dette sker med henblik på at vurdere, om ministeriernes initiativer adres-
serer den kritik, der fremgår af Statsrevisorernes bemærkninger og Rigsrevisionens
beretning.
Statsrevisorerne besluttede ved afgivelsen af beretningen, at digitaliserings- og lige-
stillingsministeren også skulle afgive en redegørelse til beretningen. Digitaliserings- og
ligestillingsministerens redegørelse behandles sidst i notatet.
Sagsforløb for en større
undersøgelse
Beretning
Ministerredegørelse
§
§ 18, stk. 4-notat
Eventuelt
fortsat(te) notat(er)
Konklusion
Generelt udtrykker ministrene, at de ser med stor alvor på Statsrevisorernes kritik og
beretningens konklusioner. Ministrene oplyser, at myndighederne har igangsat eller
planlægger at igangsætte initiativer for at udbedre de dele af it-beredskabet, hvor der
var kritikpunkter i beretningen.
Rigsrevisionen vil fortsat følge udviklingen af og orientere Statsrevisorerne om:
myndighedernes arbejde med at udarbejde risikovurderinger af de udvalgte sam-
fundskritiske it-systemer
myndighedernes arbejde med at implementere tilfredsstillende krisestyringsplaner
og tests af planerne
myndighedernes arbejde med at implementere tilfredsstillende nødplaner og test s
af planerne
myndighedernes arbejde med at sikre tilfredsstillende reetableringsplaner, og at der
er udført tilfredsstillende reetableringstests
Indenrigs- og Sundhedsministeriets tilsyn med it-beredskabet hos deres myndighe-
der
Digitaliserings- og Ligestillingsministeriets arbejde med vejledninger for gennemfø-
relse af reetableringstests.
Sagen afsluttes
Du kan læse mere om
forløbet og de enkelte step
www.rigsrevisionen.dk
Statsrevisorerne beretning SB5/2023 - Bilag 4: Rigsrevisionens §18.4 notat af 5. marts om statens it-beredskab II
2835346_0003.png
2
Nogle af opfølgningspunkterne vedrører alle myndighederne, mens andre kun vedrø-
rer udvalgte myndigheder. I notatet er det uddybet, hvilke punkter der er relevante
for de respektive myndigheder.
I. Baggrund
2. Rigsrevisionen afgav i december 2023 en beretning om statens it-beredskab II. Be-
retningen handlede om it-beredskabet for 12 samfundskritiske it-systemer i henholds-
vis Indenrigs- og Sundhedsministeriet, Erhvervsstyrelsen, Søfartsstyrelsen og 4 andre
anonymiserede myndigheder.
3. Da Statsrevisorerne behandlede beretningen, kritiserede Statsrevisorerne, at der for
7 af de 12 undersøgte samfundskritiske it-systemer ikke er sikret et tilfredsstillende it-
beredskab. Det indebærer risiko for, at staten ikke kan opretholde eller markant får
forstyrret løsningen af samfundskritiske opgaver i tilfælde af større it-nedbrud, hack-
erangreb, fysiske skader e.l.”
Statsrevisorerne konstaterede desuden, at Indenrigs- og Sundhedsministeriet har eta-
bleret et it-beredskab, der i overvejende grad er tilfredsstillende, og at Erhvervsstyrel-
sen og Søfartsstyrelsen delvist har etableret et tilfredsstillende it-beredskab, dog med
visse mangler.
4. Hele sagen kan følges på www.rigsrevisionen.dk og på www.ft.dk/Statsrevisorerne.
5. Bilag 1 viser Folketingets behandling af beretningen.
II. Gennemgang af ministrenes redegørelser
Rigsrevisionen vil fortsat
følge
Risikovurderinger
Indenrigs- og Sund-
hedsministeriet
Erhvervsstyrelsen
Myndighed 1
Myndighed 2
Myndighed 3
Myndighed 4
Søfartsstyrelsen
Nej
Ja
Ja
Nej
Ja
Ja
Nej
Grundlaget for it-beredskabet
6. Det fremgik af beretningen, at de undersøgte myndigheder for halvdelen af it-syste-
merne havde etableret et tilstrækkeligt grundlag for deres it-beredskab. Flere af myn-
dighederne havde dog mangler i risikovurderingerne af it-systemerne. Det gælder Er-
hvervsstyrelsens it-system og 4 it-systemer, som hører under nogle af de anonymise-
rede myndigheder (benævnt myndighed 1, 3 og 4 i beretningen).
Erhvervsministeren oplyser i sin redegørelse til beretningen, at Erhvervsstyrelsen har
igangsat et arbejde med at forbedre styrelsens risikovurderinger. Endvidere oplyser
ministeren, at der på den baggrund er udarbejdet en ny risikovurdering for det sam-
fundskritiske it-system, som indgik i beretningen. Rigsrevisionen vil følge op på doku-
mentationen for dette ved næste opfølgning.
Ministrene, der er ansvarlige for de øvrige systemer med mangler i risikovurderingerne
oplyser, at de er påbegyndt arbejdet med at udbedre kritikpunkterne.
7. Rigsrevisionen vil fortsat følge Erhvervsstyrelsens og myndighed 1, 3 og 4’s arbejde
med at udarbejde risikovurderinger af deres samfundskritiske it-systemer som grund-
lag for it-beredskabet.
Statsrevisorerne beretning SB5/2023 - Bilag 4: Rigsrevisionens §18.4 notat af 5. marts om statens it-beredskab II
2835346_0004.png
3
Krisestyringsplaner og test af planerne
8. Det fremgik af beretningen, at myndighederne generelt havde udarbejdet tilfreds-
stillende planer for den interne krisestyring ved større it-nedbrud. Endvidere fremgik
det af beretningen, at Indenrigs- og Sundhedsministeriet, Søfartsstyrelsen samt myn-
dighed 1, 2, 3 og 4 havde mangler i forhold til at teste deres krisestyringsplaner. Kun
Erhvervsstyrelsen havde testet sin plan årligt.
Rigsrevisionen vil fortsat
følge
Plan Test
Indenrigs- og
Sundheds-
ministeriet
Erhvervs-
styrelsen
Myndighed 1
Myndighed 2
Myndighed 3
Myndighed 4
Nej
Ja
Ministrene for myndighed 1, 2 og 3 oplyser, at de har igangsat arbejdet med at udbed-
re de mangler i krisestyringsplanerne, som fremgår af beretningen. Ministrene for myn-
dighed 1, 2, 3 og 4 oplyser, at de vil sikre, at der fremadrettet vil blive udført årlige tests.
Erhvervsministeren oplyser, at Søfartsstyrelsen vil sikre, at der fremadrettet foretages
årlige tests af krisestyringsplanen. Ministeren oplyser desuden, at de årlige tests frem-
adrettet vil blive dokumenteret og evalueret.
Indenrigs- og Sundhedsministeriet har ikke specifikt redegjort for, om ministeriet frem-
adrettet vil teste krisestyringsplanerne. Rigsrevisionen forudsætter, at Indenrigs- og
Sundhedsministeriet også vil teste krisestyringsplanerne.
9. Rigsrevisionen vil fortsat følge myndighed 1, 2 og
3’s arbejde med at
implementere
tilfredsstillende krisestyringsplaner. Rigsrevisionen vil desuden følge Indenrigs- og
Sundhedsministeriets, myndighed 1, 2, 3 og 4’s og Søfartsstyrelsens arbejde med at
sikre tilfredsstillende tests af krisestyringsplanerne.
Nødplaner og test af planerne
10. Det fremgik af beretningen, at myndighederne havde udarbejdet tilfredsstillende
nødplaner for størstedelen af de udvalgte it-systemer. Myndighed 1 og 2 havde ikke
udarbejdet nødplaner for deres it-systemer. Myndighed 3 og 4 havde udarbejdet nød-
planer, dog med nogle mangler. Derudover fremgik det af beretningen, at Søfartssty-
relsen og myndighed 3 og 4 ikke havde testet deres nødplaner tilstrækkeligt.
Nej
Ja
Ja
Ja
Nej
Nej
Ja
Ja
Ja
Ja
Ja
Søfartsstyrelsen Nej
Ministrene for myndighed 1 og 2 oplyser, at de har igangsat arbejdet med at udarbejde
nødplaner, og at planerne fremadrettet vil blive testet årligt.
Ministrene for myndighed 3 og 4 oplyser, at de har igangsat arbejdet med sikre tilfreds-
stillende nødplaner, og at planerne fremadrettet vil blive testet årligt.
Erhvervsministeren oplyser, at Søfartsstyrelsen fra 2024 vil teste sine nødplaner år-
ligt.
11.
Rigsrevisionen vil fortsat følge myndighed 1, 2, 3 og 4’s arbejde med at
implemen-
tere tilfredsstillende nødplaner. Rigsrevisionen vil desuden følge myndighed 1, 2, 3 og
4’s og Søfartsstyrelsens arbejde med at sikre, at nødplanerne bliver testet årligt.
Indenrigs- og Sundhedsmini-
steriet anvender ikke selv sit
system og har derfor ikke an-
svaret for at udarbejde nød-
planer. Opfølgningspunktet
vedrørende nødplaner er der-
for ikke relevant for Indenrigs-
og Sundhedsministeriet.
Rigsrevisionen vil fortsat
følge
Plan Test
Erhvervs-
styrelsen
Myndighed 1
Myndighed 2
Myndighed 3
Myndighed 4
Nej
Ja
Ja
Ja
Ja
Nej
Ja
Ja
Ja
Ja
Ja
Søfartsstyrelsen Nej
Statsrevisorerne beretning SB5/2023 - Bilag 4: Rigsrevisionens §18.4 notat af 5. marts om statens it-beredskab II
2835346_0005.png
4
Rigsrevisionen vil fortsat
følge
Plan Test
Indenrigs- og
Sundheds-
ministeriet
Erhvervs-
styrelsen
Myndighed 1
Myndighed 2
Myndighed 3
Myndighed 4
Nej
Ja
Reetableringsplaner og test af planerne
12. Det fremgik af beretningen, at hovedparten af reetableringsplanerne for it-syste-
merne ikke var tilfredsstillende. Kun Indenrigs- og Sundhedsministeriet havde en til-
fredsstillende reetableringsplan for sit it-system og havde delvist testet, at it-syste-
met kunne reetableres. Det fremgik også af beretningen, at ingen af de øvrige myn-
digheder havde foretaget tilstrækkelige tests af, om deres it-systemer kunne reeta-
bleres fuldt efter et it-nedbrud.
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Erhvervsministeren oplyser, at Erhvervsstyrelsen er i gang med at indarbejde de ele-
menter i reetableringsplanen, som mangler. Arbejdet forventes gennemført i 1. kvar-
tal 2024. Ministeren oplyser desuden, at Erhvervsstyrelsen har aftalt med leverandø-
ren, at der årligt skal foretages en fuld reetableringstest.
Erhvervsministeren oplyser, at Søfartsstyrelsen vil indføre en årlig reetableringstest,
så der bliver udført en test af alle kritiske it-systemer inden for en 3-årig periode.
Ministrene for myndighed 1, 2, 3 og 4 oplyser, at de har igangsat arbejdet med at ud-
arbejde tilfredsstillende reetableringsplaner, og at de fremadrettet vil foretage reeta-
bleringstests.
13. Rigsrevisionen vil fortsat følge Erhvervsstyrelsens og myndighed 1, 2, 3, og 4’s ar-
bejde med at sikre tilfredsstillende reetableringsplaner. Rigsrevisionen vil desuden
følge alle myndighedernes arbejde med at sikre tilfredsstillende tests af, at it-syste-
merne kan reetableres.
Ministeriernes tilsyn med it-beredskabet hos deres myndigheder
14. Det fremgik af beretningen, at alle ministerierne undtagen Indenrigs- og Sundheds-
ministeriet havde ført tilsyn med it-beredskabet på ministerområderne.
Søfartsstyrelsen Nej
Søfartsstyrelsen har ressort-
overført driften af sine it-sy-
stemer til Statens It og har
derfor ikke ansvar for at ud-
arbejde reetableringsplaner
for sine systemer. Søfartssty-
relsen har dog fortsat ansvar
for, at det testes, at styrelsens
systemer kan reetableres.
Rigsrevisionen vil fortsat
følge
Tilsyn
Indenrigs- og Sund-
hedsministeriet
Erhvervsstyrelsen
Myndighed 1
Myndighed 2
Myndighed 3
Myndighed 4
Søfartsstyrelsen
Ja
Nej
Nej
Nej
Nej
Nej
Nej
Indenrigs- og sundhedsministeren oplyser, at ministeriet har igangsat initiativer til at
forberede tilsynskonceptet, så det bliver bedre dækkende for organisationen.
15. Rigsrevisionen vil fortsat følge Indenrigs- og Sundhedsministeriets arbejde med at
sikre et tilfredsstillende tilsyn med it-beredskabet for ministeriets samfundskritiske it-
system.
Digitaliserings- og ligestillingsministerens redegørelse
16. Digitaliserings- og ligestillingsministeren oplyser, at ministeren finder, at det er af-
gørende, at de statslige myndigheder har etableret et effektivt it-beredskab for sam-
fundets kritiske it-systemer, så samfundsvigtige processer kan opretholdes eller gen-
oprettes i tilfælde af et større it-nedbrud. Ministeren finder desuden, at det er afgøren-
de for it-beredskabets effektivitet, at myndighederne tester deres forskellige typer af
beredskabsplaner for at sikre, at de forudsætninger, som planerne bygger på, holder i
praksis.
17. Digitaliserings- og ligestillingsministeren oplyser, at ministeren ser alvorligt på de
forhold, der præsenteres i beretningen, og finder manglerne utilfredsstillende. Ministe-
ren vil på baggrund af beretningen orientere alle ministerierne om nødvendigheden af
at få rettet op på forholdene, da det er de enkelte ministeriers ansvar, at der er styr på
it-beredskabet på deres område.
Statsrevisorerne beretning SB5/2023 - Bilag 4: Rigsrevisionens §18.4 notat af 5. marts om statens it-beredskab II
5
18. Digitaliserings- og ligestillingsministeren oplyser, at der i
”National
strategi for cy-
ber- og informationssikkerhed 2022-2024” er blevet iværksat en række tiltag, som
skal hjælpe myndighederne med at etablere et effektivt it-beredskab, herunder nye
krav til kontrakt- og leverandørstyring af samfundskritiske it-systemer. Digitalise-
rings- og Ligestillingsministeriet har også igangsat et arbejde med at udvikle en ny
vejledning for gennemførelse af reetableringstests. Derudover oplyser digitalise-
rings- og ligestillingsministeren, at der med implementeringen af det nye EU-direktiv
om cyber- og informationssikkerhed (NIS2-direktivet) vil komme et øget fokus på til-
synet med myndighederne.
19. Rigsrevisionen vil følge Digitaliserings- og Ligestillingsministeriets arbejde med
vejledninger for gennemførelse af reetableringstests.
Birgitte Hansen
Statsrevisorerne beretning SB5/2023 - Bilag 4: Rigsrevisionens §18.4 notat af 5. marts om statens it-beredskab II
2835346_0007.png
6
Bilag 1. Folketingets behandling af beretningen
Beretning (nr.),
dato for Stats-
revisorernes
mødebehandling
og minister-
redegørelse(r)
Statens it-bered-
skab II
(nr.
5/2023)
04-12-2023
Minister-
redegørelser:
Flere minister-
redegørelser
Behandlet i
udvalg
Teknisk gennem-
gang ved Stats-
revisorerne og
Rigsrevisionen
Udvalgs-
spørgsmål (nr.)
Indkaldt til
samråd
Statsrevisorerne
har holdt møde
med ministeren
§ 20-spørgsmål
Udvalget for
Digitalisering og It:
06-12-2023
Finansudvalget:
14-12-2023
Digitaliserings-
og ligestillings-
ministeren:
09-01-2024
(77)
Finansministeren:
09-01-2024
(78)
Udvalget for
Digitalisering og It:
09-01-2024
Finansministeren
og digitaliserings-
og ligestillings-
ministeren:
22-02-2024