Beretning om statens it-beredskab II

04-12-2023

Beretning nr. 5/2023

Beretningen handler om statens it-beredskab for udvalgte samfundskritiske it-systemer. 

Formålet med undersøgelsen er at vurdere, om staten har et tilfredsstillende it-beredskab for 12 udvalgte samfundskritiske it-systemer, så staten kan opretholde samfundskritiske funktioner i tilfælde af større it-hændelser. Rigsrevisionen besvarer følgende spørgsmål i beretningen: 

  • Har staten et tilfredsstillende grundlag for at etablere et it-beredskab for de udvalgte samfundskritiske it-systemer?
  • Har staten implementeret tilfredsstillende krisestyringsplaner for de udvalgte samfundskritiske it-systemer?
  • Har staten implementeret tilfredsstillende nødplaner for de udvalgte samfundskritiske it-systemer?
  • Har staten sikret, at der er implementeret tilfredsstillende reetableringsplaner for de udvalgte samfundskritiske it-systemer? 

Rigsrevisionen vurderer, at Indenrigs- og Sundhedsministeriet for sit samfundskritiske it-system har sikret et it-beredskab, der i overvejende grad er tilfredsstillende. Dele af it-beredskabet for Erhvervsstyrelsens og Søfartsstyrelsens 4 samfundskritiske it-systemer er ligeledes i overvejende grad tilfredsstillende, men der er dog mangler. For de resterende 7 samfundskritiske it-systemer er der ikke et tilfredsstillende it-beredskab. Særligt er it-beredskabet mangelfuldt for 5 af it-systemerne. Konsekvensen af manglerne i it-beredskabet er, at der er risiko for, at it-nedbrud og datatab medfører, at staten ikke kan opretholde eller markant får forstyrret løsningen af samfundskritiske opgaver. 

Rigsrevisionen har selv taget initiativ til undersøgelsen i februar 2023.

Kort fortalt (PDF) Hele beretningen (PDF)

Statsrevisorernes bemærkning til beretningen

Den 4. december 2023 behandlede Statsrevisorerne

Beretning nr. 5/2023 om statens it-beredskab II

Statsrevisorerne afgav beretningen til Folketinget med følgende bemærkning:

"Center for Cybersikkerhed under Forsvarets Efterretningstjeneste vur­de­rer, at truslen i Danmark fra cyberkriminalitet og cyberspionage er me­get høj, og at truslen fra cyberaktivisme er høj. 

Denne beretning omhandler it-beredskabet for 12 samfundskritiske it-sy­ste­mer i henholdsvis Indenrigs- og Sundhedsministeriet, Erhvervs­styrelsen, Søfartsstyrelsen og 4 andre anonymiserede myndigheder[1]

Dette er den anden undersøgelse af it-beredskabet for statens samfunds­kritiske it-systemer, som i alt udgøres af ca. 90 it-systemer. Den første un­dersøgelse, beretning nr. 3/2022 om statens it-beredskab, fra november 2022 omhandlede 13 samfundskritiske it-syste­mer. Statsrevisorerne kri­ti­se­rede dengang, at der for ingen af de 13 it-systemer var sikret et til­freds­stil­lende it-beredskab. Statsrevisorerne sendte efterfølgende en opfordring til alle ministre om at identificere minister­områdets samfunds­kri­tiske it-systemer og styrke it-beredskabet. Derudover har Rigsrevisionen afholdt et informationsmøde for alle ministerier om, hvordan man kan styr­­ke it-beredskabet. 

Statsrevisorerne kritiserer, at der for 7 af de 12 undersøgte sam­funds­­kritiske it-systemer ikke er sikret et tilfreds­stillende it-bered­skab. Det indebærer risiko for, at staten ikke kan opretholde eller mar­kant får forstyrret løsningen af samfundskritiske opgaver i til­fælde af større it-nedbrud, hackerangreb, fysiske skader e.l.

Statsrevisorerne finder det særdeles nødvendigt, at de undersøgte myndig­heder hurtigst muligt får rettet op på de mangler i it-bered­ska­bet, som Rigsrevisionen har påpeget. Det gælder især test af it-be­redskabs­planerne og kvaliteten af planerne.

Statsrevisorerne konstaterer, at Indenrigs- og Sundhedsministeriet har etableret et it-beredskab, der i overvejende grad er tilfreds­stil­len­­­de. Statsrevisorerne konstaterer også, at Erhvervsstyrelsen og Sø­farts­styrelsen delvist har etableret et tilfredsstillende it-bered­skab, dog med visse mangler.

[1] Alle 12 samfundskritiske it-systemer og 4 ud af 7 myndigheder er anonymiseret i beretningen, da myndighederne vurderer, at oplysninger om myndighedernes it-beredskab er fortrolige, jf. forvaltningsloven og straffeloven."

Rigsrevisionens notat af 5. marts 2024

Rigsrevisionen følger i dette notat op på beretning nr. 5/2023 om statens it-beredskab II. 

Notatet er baseret på redegørelser fra indenrigs- og sundhedsministeren, erhvervsministeren og ministrene for flere anonymiserede myndigheder og handler om de initiativer, som ministrene har iværksat eller vil iværksætte som følge af beretningen. Notatet er ligeledes baseret på en redegørelse fra digitaliserings- og ligestillingsministeren, som ud over de involverede ministre også skulle afgive en redegørelse til beretningen. 

Rigsrevisionen vil fortsat følge udviklingen af og orientere Statsrevisorerne om: 

  • myndighedernes arbejde med at udarbejde risikovurderinger af de udvalgte samfundskritiske it-systemer
  • myndighedernes arbejde med at implementere tilfredsstillende krisestyringsplaner og tests af planerne
  • myndighedernes arbejde med at implementere tilfredsstillende nødplaner og tests af planerne
  • myndighedernes arbejde med at sikre tilfredsstillende reetableringsplaner, og at der er udført tilfredsstillende reetableringstests
  • Indenrigs- og Sundhedsministeriets tilsyn med it-beredskabet hos deres myndigheder
  • Digitaliserings- og Ligestillingsministeriets arbejde med vejledninger for gennemførelse af reetableringstests.

Nogle af opfølgningspunkterne vedrører alle myndighederne, mens andre kun vedrører udvalgte myndigheder. I notatet er det uddybet, hvilke punkter der er relevante for de respektive myndigheder. 

Hele notatet (PDF)

Rigsrevisionens notat af 26. november 2024

Rigsrevisionen følger i dette notat op på beretning nr. 5/2023 om statens it-beredskab II.

Der er i notatet fulgt op på følgende områder: 

  • myndighedernes arbejde med at udarbejde risikovurderinger af de udvalgte samfundskritiske it-systemer (Erhvervsstyrelsen, myndighed 3 og myndighed 4)
  • myndighedernes arbejde med at implementere tilfredsstillende krisestyringsplaner og tests af planerne (Indenrigs- og Sundhedsministeriet, myndighed 1, myndighed 2, myndighed 3, myndighed 4 og Søfartsstyrelsen)
  • myndighedernes arbejde med at implementere tilfredsstillende nødplaner og tests af planerne (myndighed 1, myndighed 2, myndighed 3, myndighed 4 og Søfartsstyrelsen)
  • myndighedernes arbejde med at sikre tilfredsstillende reetableringsplaner, og at der er udført tilfredsstillende reetableringstests (Indenrigs- og Sundhedsministeriet, Erhvervsstyrelsen, myndighed 1, myndighed 2, myndighed 3, myndighed 4 og Søfartsstyrelsen)
  • Indenrigs- og Sundhedsministeriets tilsyn med it-beredskabet hos ministeriets myndigheder
  • Digitaliserings- og Ligestillingsministeriets arbejde med vejledninger for gennemførelse af reetableringstests samt øvrige initiativer, der skal hjælpe myndigheder­ne med at etablere et effektivt it-beredskab. 

Rigsrevisionen vil fortsat følge udviklingen og orientere Statsrevisorerne om: 

  • myndighedernes arbejde med at sikre tilfredsstillende tests af krisestyringsplaner­ne (myndighed 1, myndighed 2 og myndighed 4)
  • myndighedernes arbejde med at implementere tilfredsstillende nødplaner og tests af planerne (myndighed 1, myndighed 2, myndighed 4 og Søfartsstyrelsen)
  • myndighedernes arbejde med at sikre tilfredsstillende reetableringsplaner og tests af planerne (Erhvervsstyrelsen, myndighed 1, myndighed 2, myndighed 3, myndighed 4 og Søfartsstyrelsen)
  • Digitaliseringsministeriets tilsyn med it-beredskabet hos CPR-administrationen.
  • Ministeriet for Samfundssikkerhed og Beredskabs arbejde med en ny vejledning for gennemførelse af reetableringstests for samfundskritiske it-systemer samt ministeriets arbejde med at implementere konkrete initiativer til håndtering af det fremtidige tilsyn med it-beredskabet i de statslige myndigheder og ministeriets initiativer i forlængelse af den seneste modenhedsmåling. 

Hele notatet (PDF)

Beretningshistorik