FIU, Alm.del - 2021-22 - Endeligt svar på spørgsmål 285: Spm. om ministeren vil oversende talepapir fra åbent samråd den 28. april 2022 om kritikken i beretning om 5 statslige myndigheders efterlevelse af 20 tekniske minimumskrav til it-sikkerheden, til finansministeren

Finansudvalget 2021-22
FIU Alm.del
Offentligt

Samrådstale

Besvarelse af samrådsspørgsmål N af 23. marts 2022

stillet efter ønske fra Troels Lund Poulsen (V)

Samrådsspørgsmål N

Vil ministeren kommentere kritikken i beretning nr. 9/2021

om 5 statslige myndigheders efterlevelse af 20 tekniske mini-

mumskrav til it-sikkerheden, jf. FIU alm. Del

–

bilag 69?

Click or tap here to

enter text.

Det talte ord gælder

[Indledning]

•

Tak for ordet og for samrådsspørgsmålet stillet af

Troels Lund Poulsen fra Venstre. I samråds-

spørgsmålet bliver der spurgt til, om jeg vil kom-

mentere kritikken i Rigsrevisionens beretning om

5 statslige myndigheders efterlevelse af 20 tekni-

ske minimumskrav til it-sikkerheden.

•

Det vil jeg gerne. Jeg har således også tidligere

kommenteret kritikken rejst i beretningen i for-

bindelse med en ministerredegørelse til Statsrevi-

sorerne.

•

Lad mig starte med at sige, at sikkerhed generelt

og særligt vores cyber- og informationssikkerhed

ligger regeringen meget på sinde. I takt med at

verden bliver mere digital dukker nye trusler op

og dem skal vi hele tiden reagere på.

FIU, Alm.del - 2021-22 - Endeligt svar på spørgsmål 285: Spm. om ministeren vil oversende talepapir fra åbent samråd den 28. april 2022 om kritikken i beretning om 5 statslige myndigheders efterlevelse af 20 tekniske minimumskrav til it-sikkerheden, til finansministeren

Side 2 af 7

•

Der blev derfor som led i den nationale cyber- og

informationssikkerhedsstrategi i september 2019

besluttet, at de statslige myndigheder skulle efter-

leve en række tekniske minimumskrav med hen-

blik på at sikre et højt fælles sikkerhedsniveau i

staten.

•

De første 17 krav skulle være implementeret se-

nest den 1. januar 2020, mens tre yderligere krav

først trådte i kraft den 1. juli 2020.

•

De 20 krav har primært til formål at beskytte

statslige it-arbejdspladser, herunder arbejdsnet-

værk og arbejdsstationer, altså de computere og

mobiltelefoner vi alle bruger i hverdagen, mod

ondsindede cyber- og informationssikkerheds-

hændelser som fx hackerangreb.

•

Kravene tager afsæt i den statslige arbejdsplads

og gælder derfor bl.a. for alle myndigheders

PC’er

og mobiltelefoner.

•

Kravene er som udgangspunkt ufravigelige. Så-

fremt et krav ikke bliver efterlevet, skal myndig-

heden redegøre for årsagen hertil samt den for-

ventede tidshorisont for implementering af kra-

vet til Digitaliseringsstyrelsen.

Side 3 af 7

[Beskrivelse af SITs manglende efterlevelse

og håndtering]

•

Rigsrevisionen har i deres revision af efterlevelse

af kravene fundet to kritikpunkter i Statens Its ef-

terlevelse af kravene.

•

Det drejer sig om krav nr. 13 om regelmæssig op-

datering af mobile enheder og krav nr. 18 om

kryptering af kommunikation til hjemmesider.

•

Statens It har oplyst mig, at de er enige med Rigs-

revisionen i, at telefoners software skal opdateres

rettidigt.

•

For at imødekomme Rigsrevisionens bekymrin-

ger har Statens It derfor implementeret en på-

mindelsesmail, der udsendes til alle de brugere,

som ikke har opdateret til rette softwareversion.

•

Denne awareness-mail følges op på regelmæssig

basis af nærmeste leder.

•

Med denne procedure vil Statens It således leve

op til kravet omkring regelmæssig opdatering af

mobile enheder.

•

Rigsrevisionen kritiserer Statens It for, at de ikke

i tilstrækkelig grad har krypteret kommunikatio-

nen til alle hjemmesider.

Side 4 af 7

•

Jeg hæfter mig ved, at Rigsrevisionens kritik alene

drejer sig om tomme hjemmesider uden kunde-

data, og at Rigsrevisionen ikke har fremsat kritik

for beskyttelsen af hjemmesider, som indeholder

kundedata.

•

Statens It er enig med Rigsrevisionen i, at hjem-

mesider skal beskyttes med kryptering.

•

Statens It har oplyst mig, at arbejdet med at højne

sikkerheden, også på hjemmesider, er en løbende

proces, og at Statens It tager Rigsrevisionens

konklusion omkring beskyttelse af tomme hjem-

mesider til efterretning.

•

Fremadrettet vil Statens It derfor lægge krypte-

ring også på tomme hjemmesider.

[Beskrivelse af myndighedernes manglende

efterlevelse]

•

Jeg er helt enig med rigsrevisionen i, at det er util-

fredsstillende at ingen af de fem undersøgte myn-

digheder har efterlevet alle 20 minimumskrav.

•

Digitaliseringsstyrelsen har løbende fulgt op på

myndighedernes implementering af kravene, som

viser, at mange myndigheder fortsat ikke er i mål

med alle kravene.

Side 5 af 7

•

Derfor er det også besluttet i regi af den nationale

strategi for cyber- og informationssikkerhed

2022-2024, at de myndigheder som ikke er i mål,

fremover skal udarbejde handlingsplaner for de

krav, som de ikke efterlever.

•

Handlingsplanerne vil blive forelagt regeringen

med henblik på at sikre en højere prioritering af

arbejdet med minimumskravene i myndighe-

derne.

•

Endvidere vil kadencen for opfølgning på kra-

vene blive sat op, så der fremover følges op på

efterlevelse af minimumskravene hvert kvartal.

[Beskrivelse af FMs plan for konkretisering

af kravene]

•

I Rigsrevisionens beretning anføres det også, at

fire af de tekniske minimumskrav er upræcise.

Statsrevisorerne har på den baggrund opfordret

til, at Finansministeriet konkretiserer de fire krav

og stiller sig i spidsen for at sikre et vedvarende

fokus på it-sikkerhed.

Side 6 af 7

•

Da minimumskravene skal passe til mange for-

skellige typer af myndigheder med meget forskel-

lige it-landskaber, er nogle af kravene formuleret

med en vis fleksibilitet. Når det er sagt, er det vig-

tigt, at kravene ikke implementeres uhensigts-

mæssigt, fordi myndighederne ikke kan fortolke

de enkelte krav f.eks. hvor ofte en sikkerhedsop-

datering skal ske, når kravet er, at det skal ske

”regelmæssigt”.

•

I regi af den nye nationale strategi for cyber- og

informationssikkerhed, som regeringen præsente-

rede i december, har Finansministeriet i gangsat

en evaluering af de 20 tekniske minimumskrav,

bl.a. for at vurdere om enkelte krav skal præcise-

res yderligere. I det igangsatte arbejde ses der

også på at udvide med nye krav med henblik på

at styrke it-sikkerheden yderligere.

•

Finansministeriet følger blandt andet op på myn-

dighedernes implementering af ledelsesstandarden

ISO 27001 omkring informationssikkerhed samt

myndighedernes efterlevelse af de gældende tekni-

ske minimumskrav.

•

I regi af den nye strategi for cyber og informati-

onssikkerhed vil Finansministeriet i næste uge af-

holde seminar for statslige topledere samt i 2022

gennemføre uddannelsesaktiviteter for både le-

dere og medarbejdere i staten. Sideløbende afvik-

les der også netværksaktiviteter for de statslige in-

formationssikkerhedskoordinatorer, og der bliver

Side 7 af 7

løbende informeret til myndighederne om it-sik-

kerhed via hjemmesiden Sikkerdigital.dk.

[Afslutning]

•

Lad mig her til slut understrege, at regeringen ta-

ger i sagtens natur it-sikkerhed meget alvorligt.

Og derfor byder vi det også velkomment, at

Statsrevisorerne sætter fokus på cyber- og infor-

mationssikkerhed i de statslige myndigheder.

•

De 20 tekniske minimumskrav er et blandt flere

tiltag som de statslige myndigheder skal arbejde

med for at styrke it-sikkerheden. Derfor følges

der også løbende op på, om myndighederne når i

mål.

•

Det var ordene. Tak