Finansudvalget 2020-21
Aktstk. 249 § 7 Bilag 1
Offentligt
2397318_0001.png
Digitaliseringsstyrelsen
Att.: Vicedirektør Adam Lebech
28. april 2021
It-rådets opfølgning på MitID
Kære Adam Lebech
It-rådet har den 12. april 2021 afholdt opfølgningsmøde med Digitaliseringsstyrel-
sen om projektet MitID. Mødet blev afholdt på baggrund af projektets statusrap-
portering for andet halvår 2020, som viser, at projektet forlænges. Digitaliserings-
styrelsen har besluttet at forlænge projektets migreringsperiode, og dermed udsky-
des projektafslutningsdatoen med 6,5 måneder fra den 18. marts 2022 til den 1.
oktober 2022. Ved anvendelse af projektets risikopulje forventes forlængelsen at
kunne holdes inden for det nuværende budget. MitID har nu samlede projektudgif-
ter på 414,8 mio. kr. (PL 2021).
MitID projektet skal forelægge den reviderede plan i søgende aktstykke for Finans-
udvalget.
jf. Cirkulære om ændringer af Budgetvejledning 2016 afsnit 2.2.18.1.2.
På baggrund af mødet har It-rådet følgende observationer og anbefalinger, som
Digitaliseringsstyrelsen samtidig kan vedlægge et nyt aktstykke som It-rådets vur-
dering af MitID´s status og fremdrift,
jf. Cirkulære om ændringer af Budgetvejledning
2016 afsnit 2.2.18.1.2.
Det er It-rådets vurdering, at Digitaliseringsstyrelsen overordnet har håndteret
projektets indtrufne risici hensigtsmæssigt, og at forlængelsen af migreringsperio-
den er velbegrundet. Projektets samlede risikobillede er også overordnet forbed-
ret, da projektet nu er langt i sin udviklingsfase. Pga. MitID løsningens samfunds-
kritiske karakter vurderer it-rådet dog fortsat projektets risikoprofil til
høj risiko.
MitID-projektet har til formål at erstatte den eksisterende NemID-løsning. I pro-
jektet indgår Digitaliseringsstyrelsen på vegne af den offentlige sektor i et samar-
bejde med finanssektoren om at anskaffe og udvikle den fremtidige løsning til digi-
tal identifikation og stille den bredt til rådighed for borgere, virksomheder og myn-
digheder. MitID er således en grundlæggende del af den fremtidige nationale digitale
infrastruktur og har en række gensidige afhængigheder til Nemlog-in3. Disse gensi-
dige afhængigheder er en væsentlig risikodrivende faktor for projektet.
MitID opererer med en tilbageværende risikopulje i størrelsesordenen 61,7 mio. kr.
(PL 2021) til brug i 2021 og 2022. Det udgør i omegnen af 39 pct. af det resterende
Digitaliseringsstyrelsen · Landgreven 4 · Postboks 2193 · 1017 København K · 3392 5200 · www.digst.dk
 Aktstk. 249 - 2020-21 - Bilag 1: IT-rådets opfølgning på MitID
2397318_0002.png
Side 2 af 3
budget for projektet. It-rådet vurderer, at det er en usædvanlig stor risikopulje på
dette tidspunkt i projektets forløb. Risikopuljens størrelse kan indikere, at projektets
status muligvis er mere usikker, end it-rådet fik indtryk af ved drøftelserne på op-
følgningsmødet.
På mødet redegjorde projektet for den fremtidige kompleksitet og risiko i udvik-
lingsfasen. Det fremgik, at denne primært er knyttet til den fornødne tilkobling af
brokere på løsningen, da der er væsentlig kompleksitet i forbindelse med en succes-
fuld tilkobling af de eksterne brokere, som skal teste MitID løsningen. Dette gør et
tæt samarbejde med testbrokerne nødvendigt, særligt da det for projektet ikke er
muligt at observere, om de eksterne brokere udelukkende tester brugergrænsefla-
den, eller om de også tester den underliggende funktionalitet. Projektet synliggjorde
også en væsentlig kompleksitet og risiko vedr. opbygningen af nødvendige registre-
ringsenheder (RA) med mulighed for at oprette nye personidentiteter i løsningen.
Disse opbygges decentralt og vil have stor effekt på brugernes oplevelse af support
på løsningen. It-rådet noterer, at projektet har stor tiltro til den sikkerhedsmæssige
kvalitet af løsningen.
På mødet drøftede It-rådet og Digitaliseringsstyrelsen projektets snarlige pilotperi-
ode. Projektet redegjorde for den planlagte pilotperiode med start den 5. maj 2021
og forventelig afslutning den 16. august 2021. Projektet har efter mødet eftersendt
en yderligere pilotdrejebog med entry og exit kriterier. It-rådet noterer, at projektets
pilotplan ser fornuftig ud, men at den pt. ikke er færdigudarbejdet. It-rådet retter
samtidig opmærksomhed mod pilotperiodens forholdsvis korte varighed. Denne
har også afhængighed til Nemlog-in3, som efter tidsplanen først indgår i piloten fra
den 14. juni 2021. Nemlog-in3 er blevet forsinket flere gange, og det er kun dele af
løsningen, som bliver klar til at indgå i MitID piloten. It-rådet observerer, at der er
en væsentligt forkortet periode, hvor begge løsninger bliver testet sammen. Den
korte periode kan medføre risiko for en nødvendig forlængelse af pilotperioden,
hvis denne viser behov for ændringer i løsningen.
På mødet redegjorde projektet ligeledes for sin kommunikationsplan, som testes i
fokusgrupper. It-rådet opfordrer til, at kommunikationsplanen også testes som en
del af pilotperioden.
På baggrund af drøftelserne på mødet den 12. april har It-rådet desuden følgende
anbefaling til Digitaliseringsstyrelsen vedr. MitID projektet:
It-rådet anbefaler, at Digitaliseringsstyrelsen yderligere styrker risikostyrin-
gen i projektet.
Projektets sene udviklingsfase sætter skarpe krav til håndteringen af risici. I risiko-
loggen, fremsendt af projektet, har nogle input i højere grad karakter af emner til
behandling eller risici, som er indtruffet, og som der bør træffes beslutninger i for-
hold til. It-rådet anbefaler, at emneliste holdes adskilt, så projektets risikolog kun
indeholder egentlige risici. Herudover bør der være en tydelig personlig ansvarsha-
ver for hver af de mitigerende aktiviteter, og ansvar for alle risici, der ligger uden
 Aktstk. 249 - 2020-21 - Bilag 1: IT-rådets opfølgning på MitID
2397318_0003.png
Side 3 af 3
for projektlederens rækkevidde, tildeles et navngivent styregruppemedlem og skal
behandles eksplicit på styregruppemøderne. Derudover bør de affødte beredskabs-
planer kobles direkte på risikopuljen.
Ved spørgsmål kan I kontakte undertegnede eller Cathrine Harhoff,
[email protected]
eller telefon 41 78 22 87. Dette brev er også sendt til afdelingschef Henrik Lund i
Finansministeriet samt til styrelsesdirektør Tanja Franck.
Med venlig hilsen
Birgit Nørgaard
Næstformand for Statens It-råd