Den 4. december 2023 behandlede Statsrevisorerne
Beretning nr. 5/2023 om statens it-beredskab II
Statsrevisorerne afgav beretningen til Folketinget med følgende bemærkning:
"Center for Cybersikkerhed under Forsvarets Efterretningstjeneste vurderer, at truslen i Danmark fra cyberkriminalitet og cyberspionage er meget høj, og at truslen fra cyberaktivisme er høj.
Denne beretning omhandler it-beredskabet for 12 samfundskritiske it-systemer i henholdsvis Indenrigs- og Sundhedsministeriet, Erhvervsstyrelsen, Søfartsstyrelsen og 4 andre anonymiserede myndigheder[1].
Dette er den anden undersøgelse af it-beredskabet for statens samfundskritiske it-systemer, som i alt udgøres af ca. 90 it-systemer. Den første undersøgelse, beretning nr. 3/2022 om statens it-beredskab, fra november 2022 omhandlede 13 samfundskritiske it-systemer. Statsrevisorerne kritiserede dengang, at der for ingen af de 13 it-systemer var sikret et tilfredsstillende it-beredskab. Statsrevisorerne sendte efterfølgende en opfordring til alle ministre om at identificere ministerområdets samfundskritiske it-systemer og styrke it-beredskabet. Derudover har Rigsrevisionen afholdt et informationsmøde for alle ministerier om, hvordan man kan styrke it-beredskabet.
Statsrevisorerne kritiserer, at der for 7 af de 12 undersøgte samfundskritiske it-systemer ikke er sikret et tilfredsstillende it-beredskab. Det indebærer risiko for, at staten ikke kan opretholde eller markant får forstyrret løsningen af samfundskritiske opgaver i tilfælde af større it-nedbrud, hackerangreb, fysiske skader e.l.
Statsrevisorerne finder det særdeles nødvendigt, at de undersøgte myndigheder hurtigst muligt får rettet op på de mangler i it-beredskabet, som Rigsrevisionen har påpeget. Det gælder især test af it-beredskabsplanerne og kvaliteten af planerne.
Statsrevisorerne konstaterer, at Indenrigs- og Sundhedsministeriet har etableret et it-beredskab, der i overvejende grad er tilfredsstillende. Statsrevisorerne konstaterer også, at Erhvervsstyrelsen og Søfartsstyrelsen delvist har etableret et tilfredsstillende it-beredskab, dog med visse mangler.
[1] Alle 12 samfundskritiske it-systemer og 4 ud af 7 myndigheder er anonymiseret i beretningen, da myndighederne vurderer, at oplysninger om myndighedernes it-beredskab er fortrolige, jf. forvaltningsloven og straffeloven."