Finansudvalget 2021-22
FIU Alm.del
Offentligt
2587829_0001.png
Folketingets Finansudvalg
Christiansborg
3. juni 2022
Svar på Finansudvalgets spørgsmål nr. 301 (Alm. del) af 29. april
2022 stillet efter ønske fra Troels Lund Poulsen (V)
Spørgsmål
Vil ministeren i forlængelse af besvarelsen af FIU alm. del
samrådsspørgsmål N
redegøre for status på de i beretning nr. 9/2021 om 5 statslige myndigheders
efterlevelse af 20 tekniske minimumskrav til it-sikkerheden, jf. FIU alm. del
bilag
69, undersøgte myndigheders, herunder Statens IT fsva. de krav, hvor de som
leverandør har ansvaret, efterlevelse af de 20 tekniske minimumskrav til it-
sikkerheden, herunder tidsperspektiv for hvornår myndighederne vil leve op til
kravene, hvis det ikke allerede er sket?
Svar
Spørgsmålet forstås således, at der efterspørges en status på efterlevelse af de 20
tekniske minimumskrav til it-sikkerhed for de fem myndigheder, der indgik i Rigs-
revisionens undersøgelse jf. beretning 9/2021. Derudover efterspørges en status
på efterlevelse af de krav, som Statens It har ansvar for at sikre for hhv. Fødevare-
styrelsen og Energistyrelsen.
Status for de fem myndighederes egen efterlevelse.
Sundhedsdatastyrelsen:
Sundhedsdatastyrelsen har siden Rigsrevisionens undersøgelse arbejdet med at im-
plementere de 20 tekniske minimumskrav. Sundhedsdatastyrelsen har i marts 2022
oplyst Digitaliseringsstyrelsen om, at styrelsen lever op til 16 af de 20 tekniske mi-
nimumskrav. Sundhedsdatastyrelsen forventer at kunne leve op til samtlige krav i
løbet af fjerde kvartal 2022.
Kriminalforsorgen:
Kriminalforsorgen har siden Rigsrevisionens undersøgelse arbejdet med imple-
mentering af de fire krav, som ifølge Rigsrevisionen ikke var fuldt ud efterlevet på
undersøgelsestidspunktet. Kriminalforsorgen vurderer, at der nu sker fuld efterle-
velse af krav nr. 11 om DMARC REJECT-policy på domæner og krav nr. 7 om
Finansministeriet · Christiansborg Slotsplads 1 · 1218 København K
FIU, Alm.del - 2021-22 - Endeligt svar på spørgsmål 301: Spm. om ministeren vil redegøre for status på de i beretning nr. 9/2021 om 5 statslige myndigheders efterlevelse af 20 tekniske minimumskrav til it-sikkerheden, til finansministeren
2587829_0002.png
Side 2 af 3
sikkerhedsopdateret operativsystem på klienter, mens der endnu ikke sker fuld ef-
terlevelse af krav nr. 5 om opdatering af klienter og krav nr. 13 om opdatering af
mobile enheder.
Kriminalforsorgen oplyser, at der på revisionstidspunktet skete regelmæssig opda-
tering af visse applikationer på klienterne, men at en delmængde udestod. Krav 5
forventes efterlevet ved udgangen af 2022.
Kriminalforsorgen kan oplyse, at organisatoriske foranstaltninger til at sikre opda-
tering af mobile enheder har været implementeret siden 2019, og at der løbende er
gennemført stikprøver af, om opdateringerne har fundet sted. Kriminalforsorgen
kan endvidere oplyse, at der på revisionstidspunktet var påbegyndt en implemen-
tering af en Mobile Device Management-løsning, der gør det muligt at nægte en
medarbejder adgang til myndighedsoplysninger på sin mobiltelefon, indtil ved-
kommende installerer en opdatering.
Mobile Device Management-løsningen forventes implementeret inden udgangen
af 2. kvartal 2022. Kriminalforsorgen bemærker, at kriminalforsorgen alene har
kendskab til tekniske løsninger, der kan sikre opdatering af styresystemet i form af
Android eller iOS og de af kriminalforsorgen udbudte apps og dermed ikke apps
installeret til privat brug. Efterlevelse af krav nr. 13 vil derfor for fremtiden blive
sikret gennem tekniske og organisatoriske foranstaltninger.
Fødevarestyrelsen:
Fødevarestyrelsen har fulgt op på kritikken i beretningen og har gennemført en
planlagt transformation af hjemmesider hos Statens It og derved sikret, at kom-
munikation til hjemmesider fremadrettet er krypteret. Der er desuden foretaget
udskiftning af alle forældede mobiltelefoner, sikret fremadrettet opdatering af mo-
bile enheder samt udarbejdet en plan for fremtidig opdatering af de transforme-
rede servere. Fødevarestyrelsen har således oplyst Digitaliseringsstyrelsen om, at
Fødevarestyrelsen har sikret efterlevelse af de resterende tre minimumskrav til it-
sikkerheden, hvilket Fødevareministeren også har redegjort for til Statsrevisorerne
og Rigsrevisionen i medio marts 2022.
Energistyrelsen:
Energistyrelsen har siden Rigsrevisionens undersøgelse arbejdet videre med imple-
menteringen af de fem krav, som ikke var efterlevet på undersøgelsestidspunktet.
Energistyrelsen har implementeret en række styringsforanstaltninger samt kontrol-
ler, der skal sikre, at der sker regelmæssig opdatering af styrelsens mobile enheder
(krav 13). Energistyrelsen har ligeledes sikret, at de pågældende hjemmesider er
krypteret, således at kravet om kryptering af kommunikation til hjemmesider nu
efterleves (krav 18). Et enkelt domæne har affødt problemer ved flytning fra ud-
vikler- og vedligeholdelsesleverandør til Statens It. Flytningen forventes afsluttet
senest i uge 20 i 2022. Når dette domæne er flyttet, vil Energistyrelsen efterleve
endnu to krav (krav 8 og 11). Endelig har Energistyrelsen fastlagt en handleplan
for håndtering af alle styrelsens servere, og det forventes at kravet om regelmæssig
FIU, Alm.del - 2021-22 - Endeligt svar på spørgsmål 301: Spm. om ministeren vil redegøre for status på de i beretning nr. 9/2021 om 5 statslige myndigheders efterlevelse af 20 tekniske minimumskrav til it-sikkerheden, til finansministeren
2587829_0003.png
Side 3 af 3
opdatering af webservere (krav 20) vil være efterlevet ved udgangen af 2022, hvor-
ved Energistyrelsen vil efterleve alle 20 tekniske minimumskrav.
Statens It:
Statens It har fulgt op på kritikken rejst i beretningen. For at imødekomme Rigs-
revisionens bekymringer ift. opdatering af mobile enheder, har Statens It imple-
menteret en påmindelsesmail, der udsendes til alle de brugere, som ikke har opda-
teret enheden til rette softwareversion. Denne awareness-mail følges op på regel-
mæssig basis af nærmeste leder. Med denne procedure vil Statens It således leve
op til kravet omkring regelmæssige opdatering af mobile enheder. I forhold til kri-
tikken omkring manglende kryptering på tomme hjemmesider har Statens It im-
plementeret kryptering på de pågældende hjemmesider, hvorfor Statens It nu ef-
terlever alle 20 tekniske minimumskrav.
Statens It’s ansvar som leverandør
Det fremgår af beretning 9/2021, at der ikke har været en tilstrækkelig koordine-
ring mellem Statens It og henholdsvis Energistyrelsen og Fødevarestyrelsen i for-
hold til at sikre minimumskrav 18 om kryptering af kommunikation til hjemmesi-
der. Statens It hoster 5 hjemmesider for henholdsvis Energistyrelsen og Fødevare-
styrelsen, som ikke har været krypteret i undersøgelsesperioden. Statens It har si-
denhen færdiggjort arbejdet omkring kryptering af de pågældende hjemmesider og
vil fremadrettet sikre kryptering også på tomme hjemmesider. Herved vil Statens
It og deres kunder efterleve minimumskravet.
Finansministeriet vil i juni 2022 gennemføre en samlet opfølgning på alle statslige
myndigheders efterlevelse af kravene og vil fremover følge op på efterlevelse af
kravene hvert kvartal. De ministerier, der ikke er i mål med kravene, vil skulle ud-
arbejde en handlingsplan, som også vil blive forelagt regeringen.
Med venlig hilsen
Nicolai Wammen
Finansminister