Beretning om porteføljestyring af statens kritiske it-systemer

09-10-2023
Beretning Ministerredegørelse Notat

Beretning nr. 1/2023

Beretningen handler om porteføljestyring af statens kritiske it-systemer. 

Formålet med undersøgelsen er at vurdere, om udvalgte myndigheders porteføljestyring af deres kritiske it-systemer har været tilfredsstillende. 

Rigsrevisionen vurderer, at myndighedernes porteføljestyring af deres kritiske it-systemer ikke er helt tilfredsstillende. Konsekvensen er, at myndighedernes strategiske prioriteringer og investeringer i at forbedre systemernes tilstand kan være baseret på et usikkert grundlag. 

Rigsrevisionen har selv taget initiativ til undersøgelsen i oktober 2022.

Kort fortalt (PDF) Hele beretningen (PDF)

Statsrevisorernes bemærkning til beretningen

Den 9. oktober 2023 behandlede Statsrevisorerne

Beretning nr. 1/2023 om porteføljestyring af statens kritiske it-systemer

Statsrevisorerne afgav beretningen til Folketinget med følgende bemærkning:

"Statslige myndigheder har ansvaret for, at deres it-systemer er vedlige­holdt, opdaterede og sikre. Det gælder i særdeleshed de it-systemer inden for fx sundheds-, transport- og finanssektoren, der er kritiske, fordi nedbrud kan have store konsekvenser for borgere, virksomheder, myndig­heder og samfundet som helhed. 

Siden 2018 har statslige myndigheder skullet anvende en obliga­torisk model for porteføljestyring af it-systemer. Modellen er udarbejdet af Finansministeriet og foreskriver, at myndighederne hvert 3. år skal kortlægge al­le deres it-systemer, herunder samfunds- og forretningskritiske systemer. Myndighederne skal på den baggrund udarbejde en handlingsplan med prioritering og beskrivelse af de udfordringer, som kortlægningen har vist. Handlingsplanen danner udgangspunkt for myndighedernes review ved Statens It-råd. 

I denne beretning vurderes det, om Erhvervsministeriet, Justitsministeriet, Udlændinge- og Integrationsministeriet, Børne- og Undervisningsministeriet samt Klima-, Energi- og Forsyningsministeriet har haft en tilfreds­stil­lende porteføljestyring af deres kritiske it-systemer i perioden novem­ber 2018 - januar 2023. 

Statsrevisorerne finder, at de statslige myndigheders portefølje­styring af deres kritiske it-systemer ikke har været helt tilfreds­stillende. Kortlægningen af de kritiske it-systemer har ikke i alle tilfælde givet et tilstrækkeligt grundlag for strategiske beslutninger om, hvilke systemer der skal forbedres. 

Statsrevisorerne og Rigsrevisionen har i flere beretninger påpeget, at der var problemer med statens it-sikkerhed og de kritiske it-systemers tilstand. På den baggrund finder Statsrevisorerne det positivt, at statslige myndigheder generelt er blevet bedre til at kortlægge deres kritiske it-systemers tilstand.

Statsrevisorerne finder det dog bekymrende, at myndighederne i den seneste kortlægning selv har vurderet, at ca. en fjerdedel af deres kritiske it-systemer er i utilfredsstil­lende teknisk tilstand. 

Statsrevisorerne har bl.a. hæftet sig ved disse undersøgelsesresulta­ter: 

  • 5 ud af 11 myndigheder har i deres seneste kortlægning af de kritiske it-systemers tilstand ikke svaret klart på alle spørgsmål om syste­mernes tilstand – spørgsmål, som efter Rigsrevisionens opfattelse er meget væsentlige, fx om sikkerheds­opdateringer er implementeret.
  • I 4 udvalgte myndigheders handlingsplaner er det prioriteret, hvilke initiativer til forbedring af it-systemer de vil arbejde med, men der er ikke afsat resurser til gennemførelsen eller opsat målbare succeskriterier.
  • De 4 udvalgte myndigheder har rapporteret til Statens It-råd om fremdriften på initiativerne, men der er ikke rapporteret om alle initiativer. 

Statsrevisorerne bemærker, at der er indikationer i Rigsrevisionens undersøgelse på, at den obligatoriske model for porteføljestyring giver anledning til usikkerheder, fx om, hvad der er et kritisk it-system. 

Statsrevisorerne skal på den baggrund også bede finansministeren om en redegørelse for, hvilke overvejelser og initiativer denne beretning giver anledning til. Finansministeren bør i den forbindelse indhente en udtalel­se herom fra Statens It-råd."

Rigsrevisionens notat af 4. januar 2024

Rigsrevisionen følger i dette notat op på beretning nr. 1/2023 om porteføljestyring af statens kritiske it-systemer. 

Notatet er baseret på redegørelser fra erhvervsministeren, klima-, energi- og forsyningsministeren, udlændinge- og integrationsministeren, børne- og undervisningsministeren, justitsministeren og finansministeren og handler om de initiativer, som ministrene vil iværksætte som følge af beretningen. 

Rigsrevisionen vil fortsat følge udviklingen og orientere Statsrevisorerne om: 

  • resultatet af Domstolsstyrelsens (under Justitsministeriet) og Søfartsstyrelsens (under Erhvervsministeriet) arbejde med at forbedre kortlægningerne af deres kritiske it-systemers tilstand, herunder at begrunde ”ved ikke”-svar og ”0”-svar samt reducere mængden af disse svar
  • resultatet af Justitsministeriets og Klima-, Energi- og Forsyningsministeriets arbej­de med at forbedre handlingsplanerne for deres kritiske it-systemer, herunder at sik­re målbare succeskriterier og tydeliggøre det forventede resursetræk
  • resultatet af Finansministeriets og Statens It-råds initiativer, herunder arbejdet med at sikre, at myndighedernes handlingsplaner i højere grad gøres operationelle og har målbare succeskriterier. 

Hele notatet (PDF)

Beretningshistorik