Beretning om it-sikkerheden i Banedanmarks signalsystem

09-12-2024

Beretning nr. 7/2024

Beretningen handler om it-sikkerheden i Banedanmarks signalsystem. 

Formålet med undersøgelsen er at vurdere, om Banedanmark har sikret en tilfredsstillende it-sikkerhed i signalsystemet til at kunne modstå hændelser, der kan medføre nedbrud i systemet. 

Rigsrevisionen vurderer, at Banedanmark har væsentlige sårbarheder i it-sikkerheden i signalsystemet. Dette finder Rigsrevisionen meget utilfredsstillende. Konsekvensen er, at der er risiko for, at it-sikkerhedshændelser kan forstyrre eller stand­se togdriften, hvilket vil være til stor gene for passagerer og virksomheder. Længerevarende nedbrud kan også have betydning for samfundsøkonomien. 

Rigsrevisionen har selv taget initiativ til undersøgelsen i november 2023.

Kort fortalt (PDF) Hele beretningen (PDF)

Statsrevisorernes bemærkning til beretningen

Den 9. december 2024 behandlede Statsrevisorerne

Beretning nr. 7/2024 om it-sikkerheden i Banedanmarks signalsystem

Statsrevisorerne afgav beretningen til Folketinget med følgende bemærkning:

"Banedanmark har ansvaret for at drive, vedligeholde og udvikle den statsejede jernbaneinfrastruktur. Frem mod 2033 udskifter Banedan­mark al­le analoge signaler langs jernbanen med et digitalt signalsystem. Signalsystemet styrer trafikken på jernbanen. 

Signalsystemet er et af statens ca. 90 samfundskritiske it-systemer, dvs. et system, hvor større driftsforstyrrelser resulterer i væsentlige udford­ringer for samfundet. Center for Cybersikkerhed vurderer, at risikoen for cyberkriminalitet mod jernbanesektoren er meget høj. 

Undersøgelsen har til formål at vurdere, om Banedanmark har sikret en tilfredsstillende it-sikkerhed i signalsystemet, der kan modstå hændels­er, som kan medføre nedbrud i signalsystemet. Undersøgelsens resultater er omgivet af fortrolighed, fordi oplysninger herom kan ekspon­ere sår­bar­heder i signalsystemet og dermed øge trusselsniveauet mod Banedan­mark. 

Statsrevisorerne finder det kritisabelt, at Banedanmark har væsentli­ge sårbarheder i it-sikkerheden i signalsystemet. Det inde­bærer en risiko for, at sikkerhedshændelser kan forstyrre og standse togdrift­en, hvilket vil være til stor gene for brugerne. Længerevar­ende ned­brud kan dertil have betydning for samfundsøkonomien. 

Statsrevisorerne påtaler, at Banedanmarks it-sikkerhed ikke opfylder 10 af de 19 undersøgte vurderingskriterier. 6 af vurderings­kri­te­rier­ne er delvist opfyldt. Bl.a. vurderer Rigsrevisionen, at de handlingsplaner, som Banedanmark allerede har udarbejdet, ikke er fyldestgøren­de. 3 af vurderingskriterierne er opfyldt. 

Statsrevisorerne finder det særdeles nødvendigt, at Banedanmark hurtigst muligt får rettet op på de mangler i it-sikkerheden, som undersøgelsen har påvist."

Beretningshistorik