Den 19. januar 2026 behandlede Statsrevisorerne
Beretning nr. 8/2025 om Statens It’s beskyttelse af lokalt netværksudstyr hos statslige myndigheder
Statsrevisorerne afgav beretningen til Folketinget med følgende bemærkning:
"Statens It under Finansministeriet har ansvaret for it-driften hos statslige myndigheder fordelt på 23 ministerier og mere end 800 lokationer. Statens It har bl.a. ansvaret for sikkerheden på de statslige myndigheders lokale netværksudstyr.
Hvis en hacker får adgang til en myndigheds lokale netværk, er der risiko for, at driften på netværket kan forstyrres, og at hackeren kan bruge adgangen som springbræt til Statens It’s centrale netværk, som indeholder en række fortrolige informationer om staten, virksomheder og borgere. Sandsynligheden for succesfulde angreb på myndighedernes lokale netværk er lav, men konsekvensen kan være stor. Styrelsen for Samfundssikkerhed vurderer, at truslen fra cyberspionage er meget høj, og anbefaler, at netværksudstyr løbende sikkerhedsopdateres.
Formålet med undersøgelsen er at vurdere, om Statens It har sikret en tilfredsstillende beskyttelse af netværksudstyret hos de statslige myndigheder.
Statsrevisorerne finder Statens It’s beskyttelse af netværksudstyret hos de statslige myndigheder ikke helt tilfredsstillende, idet der mangler implementering af sikkerhedsopdateringer og en tilstrækkelig risikovurdering af sårbarhederne på udstyret. Samtidig har Statens It ikke et fuldstændigt overblik over netværksudstyret hos de statslige myndigheder, som Statens It skal beskytte.
Statsrevisorerne har hæftet sig ved disse undersøgelsesresultater:
- Statens It har ikke implementeret de sikkerhedsopdateringer, som producenterne frigiver. Det gælder også sikkerhedsopdateringer, der skal fjerne sårbarheder, som producenterne af udstyret betegner som kritiske. Stort set alt udstyret har ifølge producenterne kritiske sårbarheder. Statens It har i stedet igangsat et program, der skal modernisere de lokale netværk. Programmet vil være implementeret i 2032.
- Statens It har foretaget en overordnet risikovurdering af de kritiske sårbarheder på myndighedernes netværksudstyr, men forholder sig ikke løbende til de enkelte kritiske sårbarheder ved netværksudstyret. Statens It vurderer, at sandsynligheden for, at sårbarhederne på de lokale netværk kan udnyttes, er lav.
- Statens It har ikke et fuldstændigt overblik over netværksudstyr hos de statslige myndigheder, som Statens It skal beskytte. Der kan dermed være udstyr med kritiske sårbarheder, som Statens It ikke kender til.
- Statens It har implementeret en teknisk adgangskontrol, der skal sikre, at kun godkendte enheder kan få adgang til myndighedernes kablede netværk. Dog har Statens It ikke inden for undersøgelsesperioden kunnet dokumentere et fuldt overblik over, at denne adgangskontrol var tilstrækkeligt implementeret.
Statsrevisorerne er enige i Rigsrevisionens anbefaling om, at Statens It bør forholde sig konkret til de enkelte sårbarheder, i takt med at de udmeldes. Statsrevisorerne anbefaler også, at Statens It skaber et tilstrækkeligt fuldstændigt overblik over det netværksudstyr, som de har ansvaret for at beskytte."
