FIU, Alm.del - 2021-22 - Bilag 120: Ministerredegørelser vedr. Statsrevisorernes beretning nr. 9

Finansudvalget 2021-22
FIU Alm.del Bilag 120
Offentligt

Side. 2. af. 2.. Side. 2. af. 3.

Finansudvalget 2021-22

FIU Alm.del - Bilag 120

Offentligt

Statsrevisorerne 2021-22

Beretning Nr. 9 Finansministerens redegørelse af 11. marts 2022

Offentligt

Statsrevisorernes Sekretariat, Folketinget, Christiansborg, 1240 København K

11. marts 2022

J.nr. 2022 - 891

Til Statsrevisorerne

Ministerredegørelse vedrørende Statsrevisorernes beretning nr. 9/2021 om

efterlevelse af de 20 tekniske minimumskrav til it-sikkerhed

Jeg har modtaget Statsrevisorernes bemærkninger fra den 17. januar 2022 til Rigs-

revisionens beretning nr. 9/2021 om efterlevelse af de 20 tekniske minimumskrav

til it-sikkerhed i staten. I det følgende redegøres for de overvejelser, som beretnin-

gen har givet anledning til. Redegørelsen forholder sig til såvel beretningens ind-

hold og konklusioner som Statsrevisorernes bemærkninger.

Indledningsvist vil jeg gerne kvittere for Statsrevisorernes bemærkninger og Rigs-

revisionens beretning, som berører et vigtigt emne. Jeg er enig i beretningens kon-

klusion og Statsrevisorernes bemærkning om, at det er utilfredsstillende, at ingen

af de fem undersøgte myndigheder har efterlevet alle 20 minimumskrav.

Finansministeriet har løbende fulgt op på myndighedernes implementering af kra-

vene, som også har vist, at mange myndigheder fortsat ikke er i mål med kravene.

Derfor er det besluttet i regi af den nationale strategi for cyber- og informations-

sikkerhed, at myndighederne skal udarbejde handlingsplaner for de krav, som de

ikke efterlever. Handlingsplanerne vil blive forelagt regeringen med henblik på at

sikre en højere prioritering af arbejdet med minimumskravene ude i myndighe-

derne.

Statsrevisorerne udtaler i bemærkningerne til beretningen også en kritik af Statens

It.

Statens It har oplyst mig, at de har et stort fokus på at sikre Statens It’s egen og

kundernes it-sikkerhed, og Finansministeriets fokus er dermed sammenfaldende

med Rigsrevisionens formål med undersøgelsen. Derfor tager jeg Rigsrevisionens

undersøgelse af de 20 tekniske minimumskrav og Statsrevisorernes bemærkninger

til efterretning.

Statsrevisorerne hæfter sig ved følgende undersøgelsesresultater:

Finansministeriet · Christiansborg Slotsplads 1 · 1218 København K

FIU, Alm.del - 2021-22 - Bilag 120: Ministerredegørelser vedr. Statsrevisorernes beretning nr. 9

Side 2 af 3

1. Statens It, som er professionel aktør og leverandør af it-ydelser til 19 minister-

områder, har kun efterlevet 18 af de 20 minimumskrav

2. Statens It, har ikke levet op til minimumskravet om regelmæssig opdatering af

mobile enheder, hvorved risikoen for uberettiget adgang og aflytning er øget

(krav 13)

3. Statens It har ikke koordineret tilstrækkeligt med Fødevarestyrelsen og Energi-

styrelsen i forhold til krav 18

4. Statens It har som leverandør af it-ydelser til Energistyrelsen og Fødevaresty-

relsen sikret, at 13 ud af de 20 minimumskrav er efterlevet i styrelserne for de

systemer, der er overdraget til Statens It

Statens It er sat i verden for bl.a. at sikre en sikker it-drift i staten, og Statens It

har oplyst mig, at de er enige med Rigsrevisionen i, at telefoners software skal op-

dateres rettidigt.

For at imødekomme Rigsrevisionens bekymringer har Statens It derfor implemen-

teret en påmindelses-mail, der udsendes til alle de brugere, som ikke har opdateret

til rette softwareversion. Denne awareness-mail følges ledelsesmæssigt op på re-

gelmæssig basis af nærmeste leder, så det verificeres, at opdateringen finder sted.

Med denne procedure vil Statens It således leve op til kravet omkring regelmæssig

opdatering af mobile enheder.

Rigsrevisionen kritiserer Statens It for, at de ikke i tilstrækkelig grad har krypteret

kommunikationen til alle hjemmesider. Jeg hæfter mig ved, at Rigsrevisionens kri-

tik alene drejer sig om tomme hjemmesider uden kundedata, og at Rigsrevisionen

ikke har fremsat kritik for beskyttelsen af hjemmesider, som indeholder kunde-

data. Statens It er enig med Rigsrevisionen i, at hjemmesider skal beskyttes med

https. Statens It har oplyst mig, at arbejdet med at højne sikkerheden, også på

hjemmesider, er en løbende proces, og at Statens It tager Rigsrevisionens konklu-

sion omkring beskyttelse af tomme hjemmesider til efterretning. Fremadrettet vil

Statens It derfor lægge kryptering også på tomme hjemmesider. Herved vil Statens

It og deres kunder være sikret også i tilfælde af utilstrækkelig koordinering.

Endvidere bemærker jeg med tilfredshed, at Rigsrevisionen konkluderer, at Sta-

tens It som leverandør af it-ydelser for de 13 krav, som de er ansvarlige for at im-

plementere for kunderne, er 100% i mål.

Jeg har også noteret mig, at Statsrevisorerne anbefaler, at Finansministeriet kon-

kretiserer fire af de tekniske minimumskrav og stiller sig i spidsen for at sikre et

vedvarende fokus på it-sikkerhed.

Da minimumskravene skal passe til mange forskellige typer af myndigheder, er det

bevidst, at nogle af kravene er formuleret med en vis fleksibilitet. De nuværende

formuleringer giver nemlig en vis fleksibilitet i forhold til implementering af kra-

vene. Jeg har noteret mig Statsrevisorernes og Rigsrevisionens anbefaling, og kan

oplyse, at Finansministeriet i regi af den nye nationale strategi for cyber- og infor-

FIU, Alm.del - 2021-22 - Bilag 120: Ministerredegørelser vedr. Statsrevisorernes beretning nr. 9

Side 3 af 3

mationssikkerhed har igangsat et arbejde med at evaluere de eksisterende 20 mini-

mumskrav, herunder vurdere om enkelte krav skal præciseres yderligere. Der vil

samtidig blive set på muligheden for at udvide med nye krav med henblik på at

styrke it-sikkerheden yderligere.

Jeg deler Statsrevisorernes holdning om, at Finansministeriet skal stille sig i spid-

sen for at sikre et vedvarende fokus på it-sikkerhed. Det gør Finansministeriet

blandt andet ved løbende at følge op på myndighedernes implementering af ledel-

sestandarden ISO 27001 omkring informationssikkerhed samt efterlevelse af de

tekniske minimumskrav. I regi af den nye nationale strategi for cyber- og informa-

tionssikkerhed 2022-2024 vil Finansministeriet også afholde seminar for statslige

topledere samt gennemføre uddannelsesaktiviteter for både ledere og medarbej-

dere i staten. Sideløbende afvikles der også netværksaktiviteter for de statslige in-

formationssikkerhedskoordinatorer, og der bliver løbende informeret til myndig-

hederne om it-sikkerhed via hjemmesiden Sikkerdigital.dk.

Med ovenstående redegørelse håber jeg, at der er givet et fyldestgørende svar på

Statsrevisorernes bemærkninger og Rigsrevisionens beretning om efterlevelse af

de 20 tekniske minimumskrav til it-sikkerhed i staten.

En kopi af denne redegørelse er sendt til Rigsrevisionen.

Med venlig hilsen

Nicolai Wammen

Finansminister