FIU, Alm.del - 2021-22 - Endeligt svar på spørgsmål 301: Spm. om ministeren vil redegøre for status på de i beretning nr. 9/2021 om 5 statslige myndigheders efterlevelse af 20 tekniske minimumskrav til it-sikkerheden, til finansministeren

Finansudvalget 2021-22
FIU Alm.del
Offentligt

Folketingets Finansudvalg

Christiansborg

3. juni 2022

Svar på Finansudvalgets spørgsmål nr. 301 (Alm. del) af 29. april

2022 stillet efter ønske fra Troels Lund Poulsen (V)

Spørgsmål

Vil ministeren i forlængelse af besvarelsen af FIU alm. del

–

samrådsspørgsmål N

redegøre for status på de i beretning nr. 9/2021 om 5 statslige myndigheders

efterlevelse af 20 tekniske minimumskrav til it-sikkerheden, jf. FIU alm. del

–

bilag

69, undersøgte myndigheders, herunder Statens IT fsva. de krav, hvor de som

leverandør har ansvaret, efterlevelse af de 20 tekniske minimumskrav til it-

sikkerheden, herunder tidsperspektiv for hvornår myndighederne vil leve op til

kravene, hvis det ikke allerede er sket?

Svar

Spørgsmålet forstås således, at der efterspørges en status på efterlevelse af de 20

tekniske minimumskrav til it-sikkerhed for de fem myndigheder, der indgik i Rigs-

revisionens undersøgelse jf. beretning 9/2021. Derudover efterspørges en status

på efterlevelse af de krav, som Statens It har ansvar for at sikre for hhv. Fødevare-

styrelsen og Energistyrelsen.

Status for de fem myndighederes egen efterlevelse.

Sundhedsdatastyrelsen:

Sundhedsdatastyrelsen har siden Rigsrevisionens undersøgelse arbejdet med at im-

plementere de 20 tekniske minimumskrav. Sundhedsdatastyrelsen har i marts 2022

oplyst Digitaliseringsstyrelsen om, at styrelsen lever op til 16 af de 20 tekniske mi-

nimumskrav. Sundhedsdatastyrelsen forventer at kunne leve op til samtlige krav i

løbet af fjerde kvartal 2022.

Kriminalforsorgen:

Kriminalforsorgen har siden Rigsrevisionens undersøgelse arbejdet med imple-

mentering af de fire krav, som ifølge Rigsrevisionen ikke var fuldt ud efterlevet på

undersøgelsestidspunktet. Kriminalforsorgen vurderer, at der nu sker fuld efterle-

velse af krav nr. 11 om DMARC REJECT-policy på domæner og krav nr. 7 om

Finansministeriet · Christiansborg Slotsplads 1 · 1218 København K

FIU, Alm.del - 2021-22 - Endeligt svar på spørgsmål 301: Spm. om ministeren vil redegøre for status på de i beretning nr. 9/2021 om 5 statslige myndigheders efterlevelse af 20 tekniske minimumskrav til it-sikkerheden, til finansministeren

Side 2 af 3

sikkerhedsopdateret operativsystem på klienter, mens der endnu ikke sker fuld ef-

terlevelse af krav nr. 5 om opdatering af klienter og krav nr. 13 om opdatering af

mobile enheder.

Kriminalforsorgen oplyser, at der på revisionstidspunktet skete regelmæssig opda-

tering af visse applikationer på klienterne, men at en delmængde udestod. Krav 5

forventes efterlevet ved udgangen af 2022.

Kriminalforsorgen kan oplyse, at organisatoriske foranstaltninger til at sikre opda-

tering af mobile enheder har været implementeret siden 2019, og at der løbende er

gennemført stikprøver af, om opdateringerne har fundet sted. Kriminalforsorgen

kan endvidere oplyse, at der på revisionstidspunktet var påbegyndt en implemen-

tering af en Mobile Device Management-løsning, der gør det muligt at nægte en

medarbejder adgang til myndighedsoplysninger på sin mobiltelefon, indtil ved-

kommende installerer en opdatering.

Mobile Device Management-løsningen forventes implementeret inden udgangen

af 2. kvartal 2022. Kriminalforsorgen bemærker, at kriminalforsorgen alene har

kendskab til tekniske løsninger, der kan sikre opdatering af styresystemet i form af

Android eller iOS og de af kriminalforsorgen udbudte apps og dermed ikke apps

installeret til privat brug. Efterlevelse af krav nr. 13 vil derfor for fremtiden blive

sikret gennem tekniske og organisatoriske foranstaltninger.

Fødevarestyrelsen:

Fødevarestyrelsen har fulgt op på kritikken i beretningen og har gennemført en

planlagt transformation af hjemmesider hos Statens It og derved sikret, at kom-

munikation til hjemmesider fremadrettet er krypteret. Der er desuden foretaget

udskiftning af alle forældede mobiltelefoner, sikret fremadrettet opdatering af mo-

bile enheder samt udarbejdet en plan for fremtidig opdatering af de transforme-

rede servere. Fødevarestyrelsen har således oplyst Digitaliseringsstyrelsen om, at

Fødevarestyrelsen har sikret efterlevelse af de resterende tre minimumskrav til it-

sikkerheden, hvilket Fødevareministeren også har redegjort for til Statsrevisorerne

og Rigsrevisionen i medio marts 2022.

Energistyrelsen:

Energistyrelsen har siden Rigsrevisionens undersøgelse arbejdet videre med imple-

menteringen af de fem krav, som ikke var efterlevet på undersøgelsestidspunktet.

Energistyrelsen har implementeret en række styringsforanstaltninger samt kontrol-

ler, der skal sikre, at der sker regelmæssig opdatering af styrelsens mobile enheder

(krav 13). Energistyrelsen har ligeledes sikret, at de pågældende hjemmesider er

krypteret, således at kravet om kryptering af kommunikation til hjemmesider nu

efterleves (krav 18). Et enkelt domæne har affødt problemer ved flytning fra ud-

vikler- og vedligeholdelsesleverandør til Statens It. Flytningen forventes afsluttet

senest i uge 20 i 2022. Når dette domæne er flyttet, vil Energistyrelsen efterleve

endnu to krav (krav 8 og 11). Endelig har Energistyrelsen fastlagt en handleplan

for håndtering af alle styrelsens servere, og det forventes at kravet om regelmæssig

Side 3 af 3

opdatering af webservere (krav 20) vil være efterlevet ved udgangen af 2022, hvor-

ved Energistyrelsen vil efterleve alle 20 tekniske minimumskrav.

Statens It:

Statens It har fulgt op på kritikken rejst i beretningen. For at imødekomme Rigs-

revisionens bekymringer ift. opdatering af mobile enheder, har Statens It imple-

menteret en påmindelsesmail, der udsendes til alle de brugere, som ikke har opda-

teret enheden til rette softwareversion. Denne awareness-mail følges op på regel-

mæssig basis af nærmeste leder. Med denne procedure vil Statens It således leve

op til kravet omkring regelmæssige opdatering af mobile enheder. I forhold til kri-

tikken omkring manglende kryptering på tomme hjemmesider har Statens It im-

plementeret kryptering på de pågældende hjemmesider, hvorfor Statens It nu ef-

terlever alle 20 tekniske minimumskrav.

Statens It’s ansvar som leverandør

Det fremgår af beretning 9/2021, at der ikke har været en tilstrækkelig koordine-

ring mellem Statens It og henholdsvis Energistyrelsen og Fødevarestyrelsen i for-

hold til at sikre minimumskrav 18 om kryptering af kommunikation til hjemmesi-

der. Statens It hoster 5 hjemmesider for henholdsvis Energistyrelsen og Fødevare-

styrelsen, som ikke har været krypteret i undersøgelsesperioden. Statens It har si-

denhen færdiggjort arbejdet omkring kryptering af de pågældende hjemmesider og

vil fremadrettet sikre kryptering også på tomme hjemmesider. Herved vil Statens

It og deres kunder efterleve minimumskravet.

Finansministeriet vil i juni 2022 gennemføre en samlet opfølgning på alle statslige

myndigheders efterlevelse af kravene og vil fremover følge op på efterlevelse af

kravene hvert kvartal. De ministerier, der ikke er i mål med kravene, vil skulle ud-

arbejde en handlingsplan, som også vil blive forelagt regeringen.

Med venlig hilsen

Nicolai Wammen

Finansminister