DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer

Udvalget for Digitalisering og It 2023-24
DIU Alm.del Bilag 13
Offentligt

Statsrevisorerne 2023-24

Beretning Nr. 1 Beretning nr. 1/2023 om porteføljestyring af statens kritiske it-systemer

Offentligt

Oktober 2023

— 1/2023

Rigsrevisionens beretning afgivet

til Folketinget med Statsrevisorernes

bemærkninger

Porteføljestyring af

statens kritiske it-systemer

DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer

1/2023

Beretning om

porteføljestyring af

statens kritiske it-systemer

Statsrevisorerne fremsender denne beretning med

deres bemærkninger til Folketinget og vedkommende

minister, jf. § 3 i lov om statsrevisorerne og § 18, stk. 1,

i lov om revisionen af statens regnskaber m.m.

København 2023

Denne beretning til Folketinget skal behandles ifølge lov om revisionen af statens regnskaber, § 18:

Statsrevisorerne fremsender med deres bemærkning Rigsrevisionens beretning til Folketinget og vedkom-

mende minister.

Erhvervsministeren, justitsministeren, udlændinge- og integrationsministeren, børne- og undervisningsmini-

steren, klima-, energi- og forsyningsministeren og finansministeren afgiver en redegørelse til beretningen.

Rigsrevisor afgiver et notat med bemærkninger til ministrenes redegørelser.

På baggrund af ministrenes redegørelser og rigsrevisors notat tager Statsrevisorerne endelig stilling til beret-

ningen, hvilket forventes at ske i januar 2024.

Ministrenes redegørelser, rigsrevisors bemærkninger og Statsrevisorernes eventuelle bemærkninger samles

i Statsrevisorernes Endelig betænkning over statsregnskabet, som årligt afgives til Folketinget i fe bruar må-

ned

–

i dette tilfælde Endelig betænkning over statsregnskabet 2022, som afgives i februar 2024.

DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer

Statsrevisorernes bemærkning tager udgangspunkt i denne karakterskala:

Karakterskala

Positiv kritik

•

finder det meget/særdeles positivt

•

finder det positivt

•

finder det tilfredsstillende/er tilfredse med

•

finder det ikke helt tilfredsstillende

•

finder det utilfredsstillende/er utilfredse med

•

påpeger/understreger/henstiller/forventer

•

beklager/finder det bekymrende/foruroligende

•

kritiserer/finder det kritisabelt/kritiserer skarpt/indskærper

•

påtaler/påtaler skarpt

•

påtaler skarpt og henleder særligt Folketingets opmærksomhed på

Kritik under middel

Middel kritik

Skarp kritik

Skarpeste kritik

Henvendelse vedrørende

denne publikation rettes til:

Statsrevisorerne

Folketinget

Christiansborg

1240 København K

Tlf.: 3337 5987

[email protected]

www.ft.dk/statsrevisorerne

Yderligere eksemplarer kan

købes ved henvendelse til:

Stibo Complete lager og logistik

Vandtårnsvej 83A

2860 Søborg

Tlf.: 4322 7300

[email protected]

http://www.stibocomplete.dk

ISSN 2245-3008

ISBN online 978-87-7434-821-4

DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer

Statsrevisorernes bemærkning

Statsrevisorernes

bemærkning

Statsrevisorerne

Beretning om porteføljestyring af statens

kritiske it-systemer

Statslige myndigheder har ansvaret for, at deres it-systemer er vedlige-

holdt, opdaterede og sikre. Det gælder i særdeleshed de it-systemer in-

den for fx sundheds-, transport- og finanssektoren, der er kritiske, fordi

nedbrud kan have store konsekvenser for borgere, virksomheder, myn-

digheder og samfundet som helhed.

Siden 2018 har statslige myndigheder skullet anvende en obligatorisk mo-

del for porteføljestyring af it-systemer. Modellen er udarbejdet af Finans-

ministeriet og foreskriver, at myndighederne hvert 3. år skal kortlægge al-

le deres it-systemer, herunder samfunds- og forretningskritiske systemer.

Myndighederne skal på den baggrund udarbejde en handlingsplan med

prioritering og beskrivelse af de udfordringer, som kortlægningen har

vist. Handlingsplanen danner udgangspunkt for myndighedernes review

ved Statens It-råd.

I denne beretning vurderes det, om Erhvervsministeriet, Justitsministe-

riet, Udlændinge- og Integrationsministeriet, Børne- og Undervisnings-

ministeriet samt Klima-, Energi- og Forsyningsministeriet har haft en til-

fredsstillende porteføljestyring af deres kritiske it-systemer i perioden

november 2018 - januar 2023.

Statsrevisorerne finder, at de statslige myndigheders porteføljesty-

ring af deres kritiske it-systemer ikke har været helt tilfredsstillende.

Kortlægningen af de kritiske it-systemer har ikke i alle tilfælde givet

et tilstrækkeligt grundlag for strategiske beslutninger om, hvilke sy-

stemer der skal forbedres.

Statsrevisorerne og Rigsrevisionen har i flere beretninger påpeget, at

der var problemer med statens it-sikkerhed og de kritiske it-systemers

tilstand. På den baggrund finder Statsrevisorerne det positivt, at stats-

lige myndigheder generelt er blevet bedre til at kortlægge deres kriti-

ske it-systemers tilstand.

9. oktober 2023

Mette Abildgaard

Leif Lahn Jensen

Mikkel Irminger Sarbo

Serdal Benli

Lars Christian Lilleholt*

Monika Rubin

* Statsrevisor Lars Christian

Lilleholt har ikke deltaget ved

behandlingen af denne sag på

grund af inhabilitet.

DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer

Statsrevisorernes bemærkning

Statsrevisorerne finder det dog bekymrende, at myndighederne i den

seneste kortlægning selv har vurderet, at ca. en fjerdedel af deres kri-

tiske it-systemer er i utilfredsstillende teknisk tilstand.

Statsrevisorerne har bl.a. hæftet sig ved disse undersøgelsesresultater:

•

5 ud af 11 myndigheder har i deres seneste kortlægning af de kritiske it-

systemers tilstand ikke svaret klart på alle spørgsmål om systemernes

tilstand

–

spørgsmål, som efter Rigsrevisionens opfattelse er meget væ-

sentlige, fx om sikkerhedsopdateringer er implementeret.

•

I 4 udvalgte myndigheders handlingsplaner er det prioriteret, hvilke

initiativer til forbedring af it-systemer de vil arbejde med, men der er

ikke afsat resurser til gennemførelsen eller opsat målbare succeskrite-

rier.

•

De 4 udvalgte myndigheder har rapporteret til Statens It-råd om frem-

driften på initiativerne, men der er ikke rapporteret om alle initiativer.

Statsrevisorerne bemærker, at der er indikationer i Rigsrevisionens un-

dersøgelse på, at den obligatoriske model for porteføljestyring giver an-

ledning til usikkerheder, fx om, hvad der er et kritisk it-system.

Statsrevisorerne skal på den baggrund også bede finansministeren om en

redegørelse for, hvilke overvejelser og initiativer denne beretning giver

anledning til. Finansministeren bør i den forbindelse indhente en udtalel-

se herom fra Statens It-råd.

DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer

Indholdsfortegnelse

1. Introduktion og konklusion

.......................................................................................................

1.1. Formål og konklusion

.......................................................................................................................

1.2. Baggrund

...............................................................................................................................................

1.3. Revisionskriterier, metode og afgrænsning

...........................................................................

2. Myndighedernes porteføljestyring af deres kritiske it-systemer

.................................

2.1. Myndighedernes kortlægning af deres kritiske it-systemer

..........................................

2.2. Myndighedernes handlingsplaner for deres kritiske it-systemer

.............................

2.3. Myndighedernes opfølgning på fremdriften i handlingsplanernes

initiativer

.............................................................................................................................................

Bilag 1. Metodisk tilgang

.................................................................................................................................

Bilag 2. Ordliste

...................................................................................................................................................

DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer

Rigsrevisionen har selv taget initiativ til denne undersøgelse og

afgiver derfor beretningen til Statsrevisorerne i henhold til § 17, stk.

2, i rigsrevisorloven, jf. lovbekendtgørelse nr. 101 af 19. januar 2012.

Rigsrevisionens mandat til at gennemføre undersøgelsen følger af

§ 2, stk. 1, nr. 1, jf. § 3 i rigsrevisorloven.

Beretningen vedrører finanslovens § 8. Erhvervsministeriet,

§ 11. Justitsministeriet, § 14. Udlændinge- og Integrationsministeriet,

§ 20. Børne- og Undervisningsministeriet og § 29. Klima-, Energi- og

Forsyningsministeriet.

I undersøgelsesperioden november 2018 - januar 2023 har der væ-

ret følgende ministre:

Erhvervsministeriet:

Rasmus Jarlov: juni 2018 - juni 2019

Simon Kollerup: juni 2019 - december 2022

Morten Bødskov: december 2022 -

Justitsministeriet:

Søren Pape Poulsen: november 2016 - juni 2019

Nick Hækkerup: juni 2019 - maj 2022

Mattias Tesfaye: maj 2022 - december 2022

Peter Hummelgaard: december 2022 -

Udlændinge- og Integrationsministeriet:

Inger Støjberg: juni 2015 - juni 2019

Mattias Tesfaye: juni 2019 - maj 2022

Kaare Dybvad Bek: maj 2022 -

Børne- og Undervisningsministeriet:

Merete Riisager: november 2016 - juni 2019

Pernille Rosenkrantz-Theil: juni 2019 - december 2022

Mattias Tesfaye: december 2022 -

Klima-, Energi- og Forsyningsministeriet:

Lars Christian Lilleholt: juni 2015 - juni 2019

Dan Jørgensen: juni 2019 - december 2022

Lars Aagaard: december 2022 -

Beretningen har i udkast været forelagt alle 5 ministerier, hvis

bemærkninger i videst muligt omfang er afspejlet i beretningen.

DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer

Introduktion og konklusion.. Introduktion og konklusion

Introduktion og konklusion |

1. Introduktion og

konklusion

1.1.

Formål og konklusion

Model for portefølje-

styring af statslige

it-systemer

1. Statslige it-systemer løser en række væsentlige opgaver inden for bl.a. finanssekto-

ren, retssystemet, sundhedsvæsenet og transportsektoren. Systemerne udgør ofte

kritisk infrastruktur

–

ikke kun for statens opgaveløsning, men også for samfundet

som helhed

–

og nedbrud kan have stor betydning for myndigheder, borgere og virk-

somheder. Det er derfor vigtigt, at statslige myndigheder har overblik over deres kriti-

ske it-systemers tilstand, da myndighederne har ansvaret for, at systemerne er vedlige-

holdt, opdaterede og sikre.

Rigsrevisionen har i flere tidligere beretninger konstateret, at der var problemer med

statens kritiske it-systemers tilstand og med it-sikkerheden generelt. Rigsrevisionen

har derfor selv taget initiativ til denne undersøgelse i oktober 2022 for at vurdere myn-

dighedernes arbejde med deres systemporteføljer, hvilket bl.a. er nødvendigt for at

undgå sikkerhedsproblemer.

2. Finansministeriet indførte i 2018 en obligatorisk model for porteføljestyring af stats-

lige it-systemer. Det skete bl.a. på baggrund af

”Et

solidt it-fundament, Strategi for it-

styring i staten” fra 2017, hvori regeringen konstaterede, at der var stor forskel på ni-

veauet af modenhed blandt de statslige myndigheders it-organisationer, og at flere

myndigheder manglede resurser, kompetencer og erfaring med at udvikle og vedlige-

holde deres kritiske it-systemer. Derudover viste Finansministeriets kasseeftersyn i

2017 og 2018, at der var udfordringer med de kritiske it-systemers tilstand.

Modellen for porteføljestyring af statslige it-systemer indebærer, at myndighederne

hvert 3. år skal kortlægge alle deres it-systemer, herunder de samfunds- og forret-

ningskritiske. Kortlægningen skal give myndighederne et overblik over, hvor mange

kritiske it-systemer de har, og hvilken tilstand systemerne er i. På den baggrund ud-

arbejder myndighederne en handlingsplan, der har til formål at prioritere og løse de

udfordringer, der er identificeret i kortlægningen.

Statens It-råd konstaterede i 2021, at myndighederne fortsat manglede at kortlægge

knap 15 % af deres samfundskritiske og knap 30 % af deres forretningskritiske it-sy-

stemer. It-rådet konstaterede endvidere, at en væsentlig del af myndighedernes kriti-

ske it-systemer var i utilfredsstillende teknisk tilstand.

Det er obligatorisk for myn-

digheder med årlige it-om-

kostninger over 30 mio. kr.

og/eller myndigheder, der va-

retager samfundskritiske it-

systemer, at anvende model

for porteføljestyring af statsli-

ge it-systemer.

Kritiske it-systemer

Model for porteføljestyring af

statslige it-systemer indehol-

der 3 kategorier af it-syste-

mer: samfundskritiske syste-

mer, forretningskritiske syste-

mer og ikke-kritiske systemer.

De 2 førstnævnte kategorier

udgør tilsammen de kritiske it-

systemer. Det er den enkelte

myndigheds opgave at kate-

gorisere sine egne systemer.

Statens It-råd

I 2011 nedsatte regeringen

Statens It-projektråd (nu Sta-

tens It-råd) med topledere fra

offentlige og private virksom-

heder. It-rådet rådgiver myn-

dighederne om styringen af it-

projekter og om it-systempor-

teføljestyringen gennem risi-

kovurderinger og reviews.

DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer

| Introduktion og konklusion

3. Formålet med undersøgelsen er derfor at vurdere, om myndighedernes portefølje-

styring af deres kritiske it-systemer har været tilfredsstillende.

Undersøgelsen omfatter 11 myndigheder fordelt på 5 ministerier, som har gennemført

kortlægningen og har været i review ved It-rådet 2 gange. Det drejer sig om Erhvervs-

styrelsen, Finanstilsynet og Søfartsstyrelsen (under Erhvervsministeriet), Civilstyrel-

sen, Domstolsstyrelsen og Kriminalforsorgen (under Justitsministeriet), Geodatasty-

relsen, Danmarks Meteorologiske Institut og Styrelsen for Dataforsyning og Infrastruk-

tur (under Klima-, Energi- og Forsyningsministeriet) samt Børne- og Undervisningsmi-

nisteriet og Udlændinge- og Integrationsministeriet. I dele af undersøgelsen indgår 4

myndigheder, som Rigsrevisionen har udvalgt blandt de 11.

DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer

Introduktion og konklusion |

Hovedkonklusion

Myndighedernes porteføljestyring af deres kritiske it-systemer er ikke helt

tilfredsstillende. Konsekvensen er, at myndighedernes strategiske priorite-

ringer og investeringer i at forbedre systemernes tilstand kan være baseret

på et usikkert grundlag.

Myndighedernes kortlægninger giver ikke i alle tilfælde et tilstrækkeligt overblik

over deres kritiske it-systemers tilstand

Undersøgelsen viser, at myndighederne generelt er blevet bedre til at kortlægge alle

deres kritiske it-systemers tilstand. Resultatet af myndighedernes seneste kortlægnin-

ger viser dog bl.a., at myndighederne selv vurderer, at ca. en fjerdedel af deres kriti-

ske it-systemer er i utilfredsstillende teknisk tilstand.

Det fremgår af 5 af de 11 myndigheders seneste kortlægninger, at myndighederne har

anvendt svar som ”ved ikke” og ”0” på mindst 1 ud af 3 spørgsmål, der efter Rigsrevi-

sionens opfattelse er så væsentlige, at myndighederne bør kunne besvare dem klart.

Spørgsmålene omfatter fx, om alle relevante sikkerhedsopdateringer er implemente-

rede.

De udvalgte myndigheders handlingsplaner understøtter ikke deres arbejde med

de kritiske it-systemer i tilstrækkelig grad

Undersøgelsen viser, at de 4 udvalgte myndigheder i deres handlingsplaner har priori-

teret, hvilke it-systemer de vil arbejde med. Myndighederne har dog i meget begræn-

set omfang opstillet initiativer i deres handlingsplaner, som de kan følge op på. I myn-

dighedernes seneste handlingsplaner er det kun ca. 30 % af initiativerne, der har mål-

bare succeskriterier, og kun for ca. 20 % af initiativerne har myndighederne afsat resur-

ser til dem.

Flere af myndighederne har oplyst, at de ikke afsætter resurser til initiativer, der skal

løses internt. De udvalgte myndigheder har desuden oplyst, at det er vanskeligt at af-

sætte resurser til initiativer, der skal gennemføres om 2-3 år, da de økonomiske rammer

i de fleste tilfælde besluttes fra år til år. Det fremgår af model for porteføljestyring af

statslige it-systemer, at myndighederne for hvert initiativ skal beskrive det forventede

resursetræk. Dette er nødvendigt for at sikre, at myndighederne har de nødvendige re-

surser til at gennemføre initiativerne fra deres handlingsplaner.

De udvalgte myndigheder har i de fleste tilfælde fulgt op på fremdriften i handlings-

planernes initiativer

Undersøgelsen viser, at de 4 udvalgte myndigheder generelt har rapporteret til It-rå-

det om fremdriften i initiativerne. Myndighederne har dog ikke i alle tilfælde rappor-

teret på hvert initiativ.

DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer

Myndighedernes porteføljestyring af deres kritiske it-systemer.. Myndighedernes porteføljestyring af deres kritiske it-systemer

| Introduktion og konklusion

1.2. Baggrund

”Statens

Digitaliserings-

strategi, 2022”

Det fremgår bl.a. af digitalise-

ringsstrategien, at staten skal

accelerere digitaliseringen og

løse de nuværende problemer

på it-området, så staten har et

stærkt fundament for den

fremtidige udvikling.

4. Staten bruger ifølge Økonomistyrelsen ca. 10 mia. kr. årligt på at udvikle, drifte og

vedligeholde it-systemer. Statens udgifter til it stiger støt, og det fremgår af statens di-

gitaliseringsstrategi, at regeringen ønsker at accelerere digitaliseringen yderligere, bl.a.

for at styrke velfærden og den grønne omstilling. Kravene til, hvad it-systemer skal kun-

ne, stiger ligeledes. Dette gælder ikke kun i forhold til systemernes funktioner og hur-

tighed, men også i forhold til fx it-sikkerhed og systemernes behandling af personda-

ta. Implementeringen af databeskyttelsesforordningen er et eksempel på de øgede

krav.

5. Statslige myndigheders arbejde med at vedligeholde deres kritiske it-systemer skal

følge Økonomistyrelsens model for porteføljestyring af statslige it-systemer. Model-

len indeholder en 3-årig cyklus, hvor myndighederne skal kortlægge deres it-systemer

og udarbejde en handlingsplan på baggrund heraf. Figur 1 viser modellens 3-årige cy-

klus.

Figur 1

Økonomistyrelsen og

Digitaliseringsstyrelsen

Økonomistyrelsen overtog

ansvaret for model for porte-

føljestyring af statslige it-sy-

stemer fra Digitaliseringssty-

relsen ved ressortændringer-

ne i december 2022. Når vi re-

fererer til modellen, omtaler vi

den derfor som Økonomisty-

relsens model, selv om model-

len i en stor del af undersøgel-

sesperioden har været foran-

kret i Digitaliseringsstyrelsen.

Den 3-årige cyklus i model for porteføljestyring af statens it-systemer

Opfølgning

Myndigheden følger

op på fremdriften i

handlingsplanens

initiativer og rappor-

terer årligt til It-rådet

i et statusnotat.

Kortlægning

Myndigheden

kortlægger alle

sine it-systemers

tilstand.

Handlingsplan

Myndigheden udarbej-

der en handlingsplan

med konkrete initiativer

for det videre arbejde.

Review ved It-rådet

It-rådet gennemfører review

af handlingsplanen og drøfter

det med myndigheden.

Kilde:

Rigsrevisionen på baggrund

af ”Vejledning til model for porteføljestyring af statslige it-systemer”.

DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer

Introduktion og konklusion |

Det fremgår af figur 1, at den enkelte myndighed starter med at kortlægge sine it-sy-

stemers tilstand. Som udgangspunkt for kortlægningen vurderer myndigheden, hvil-

ke af deres it-systemer der er henholdsvis samfundskritiske, forretningskritiske og

ikke-kritiske. Dernæst kortlægger myndigheden sine it-systemer ved at besvare en

række fastlagte spørgsmål for alle systemerne og besvare en række uddybende

spørgsmål for de samfundskritiske systemer. Kortlægningen omfatter bl.a. en række

vurderingsspørgsmål, og modellen anbefaler derfor, at myndigheden udarbejder eg-

ne retningslinjer for at sikre en ensartet besvarelse af disse spørgsmål. Kortlægnin-

gens formål er således både at give myndigheden et godt overblik over sin it-system-

portefølje og over udfordringerne heri.

På baggrund af kortlægningen udarbejder myndigheden en handlingsplan, der skal be-

skrive, hvordan myndigheden strategisk vil prioritere sit arbejde med porteføljen af

it-systemer. Handlingsplanen skal derfor give overblik over, hvilke it-systemer myn-

digheden vil fokusere sin indsats på. Handlingsplanen skal endvidere operationalise-

re dette arbejde i konkrete initiativer med afslutningsdatoer, succeskriterier og resur-

ser, så myndigheden efterfølgende kan følge fremdriften.

Dernæst gennemgår myndigheden et review ved It-rådet, som tager udgangspunkt i

handlingsplanen. Ved dette review deltager myndighedens øverste ledelse, og myn-

digheden får en række anbefalinger, der kan give anledning til justeringer af handlings-

planen. Myndigheden udarbejder dernæst årligt et statusnotat til It-rådet. Notatet be-

skriver fremdriften i handlingsplanen og implementeringen af anbefalingerne, inden

processen påbegyndes på ny efter 3 år. It-rådet kan bede myndigheden udarbejde en

ny kortlægning og handlingsplan, inden de 3 år er gået, hvis It-rådet vurderer, at det er

nødvendigt.

Samfunds- og forretnings-

kritiske it-systemer

Samfundskritiske it-systemer

er i modellen for porteføljesty-

ring af statslige it-systemer

defineret som systemer, hvor

driftsforstyrrelser kan resulte-

re i væsentlige udfordringer

for samfundet som helhed, fx i

form af økonomiske tab eller

sikkerhedstrusler.

Forretningskritiske it-syste-

mer

er defineret som syste-

mer, hvor driftsforstyrrelser

kan resultere i, at myndighe-

den ikke kan udføre sin funk-

tion eller overholde sine for-

pligtelser.

1.3. Revisionskriterier, metode og afgrænsning

6. Formålet med undersøgelsen er at vurdere, om myndighedernes porteføljestyring

af deres kritiske it-systemer har været tilfredsstillende.

7. Det fremgår af budgetvejledningens pkt. 2.2.18.3, at myndigheder, som har årlige it-

omkostninger over 30 mio. kr., eller som varetager samfundskritiske it-systemer, skal

følge model for porteføljestyring af statens it-systemer. Myndighederne har ansvaret

for, at deres systemer er vedligeholdt, opdaterede og sikre, og modellen skal støtte den

enkelte myndighed i at skabe overblik over sin systemporteføljes tilstand, så myndig-

heden har viden om eventuelle problemer og kan planlægge og prioritere sin indsats

strategisk.

8. Vi undersøger i afsnit 2.1, om myndighedernes kortlægninger giver overblik over de-

res kritiske it-systemers tilstand. Kortlægningen skal omfatte alle myndighedernes

kritiske it-systemer og skal indeholde alle de relevante oplysninger om systemerne.

Derudover følger vi op på, om myndighederne har fulgt modellens anbefaling om at

udarbejde egne retningslinjer til brug for deres kortlægninger.

DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer

| Introduktion og konklusion

Vi undersøger i afsnit 2.2, om myndighedernes handlingsplaner understøtter deres ar-

bejde med de kritiske it-systemer. Det skal fremgå af myndighedernes handlingspla-

ner, hvilke systemer myndighederne har prioriteret at arbejde videre med, og myndig-

hederne bør have opstillet initiativer i deres handlingsplaner, som de kan følge op på.

Myndighederne skal for hvert initiativ angive det forventede færdiggørelsestidspunkt,

succeskriterier, og om der er opgjort og afsat de forventede resurser til gennemførel-

se af initiativet.

Endelig undersøger vi i afsnit 2.3, om myndighederne har fulgt op på fremdriften i hand-

lingsplanernes initiativer. Myndighederne skal årligt rapportere til It-rådet om frem-

driften for hvert initiativ.

Beretningens revisionskriterier uddybes i kapitel 2 og i bilag 1.

Metode

9. Undersøgelsen er primært baseret på dokumentgennemgang. For at understøtte

revisionen har vi holdt møder med de 11 myndigheder, med medlemmer af It-rådet og

med It-rådets sekretariat, der er placeret i Økonomistyrelsen.

10. Vi har gennemgået dokumentation fra de 11 myndigheder, der indgår i undersøgel-

sen. Dokumentationen omfatter bl.a. myndighedernes kortlægninger, handlingsplaner

og statusnotater til It-rådet. For de 4 myndigheder, der indgår i afsnit 2.2 og 2.3, har vi

efterspurgt og gennemgået yderligere dokumentation vedrørende handlingsplanerne

og de initiativer, som myndighederne har opstillet heri.

11. It-rådet kan som nævnt bede myndighederne udarbejde en ny kortlægning og hand-

lingsplan, inden de 3 år er gået, hvis It-rådet vurderer, at det er nødvendigt. Denne mu-

lighed har It-rådet benyttet sig af over for Kriminalforsorgen, som derfor bl.a. har ud-

arbejdet én handlingsplan mere end de øvrige myndigheder, der indgår i undersøgel-

sen. Når vi i beretningen henviser til myndighedernes 2. handlingsplan, er det for Kri-

minalforsorgen deres seneste (3.) handlingsplan, vi henviser til.

12. Undersøgelsen er primært baseret på myndighedernes egne vurderinger, som myn-

dighederne har foretaget og rapporteret til It-rådet på baggrund af kravene i model-

len for porteføljestyring af statslige it-systemer. Rigsrevisionen har ikke foretaget en

vurdering af myndighedernes systemer eller af systemernes tilstand.

13. Økonomistyrelsen har løbende videreudviklet modellen for porteføljestyring af

statslige it-systemer. Modellens krav til myndighederne er derfor på flere områder ble-

vet justeret, siden modellen blev implementeret, bl.a. på baggrund af tilbagemeldinger

fra de myndigheder, der indgår i denne undersøgelse. De rammer, der ligger til grund

for myndighedernes kortlægninger, har derfor ændret sig i undersøgelsesperioden. Mo-

dellen blev bl.a. justeret i 2022, hvor antallet af spørgsmål, som myndighederne skulle

besvare for hvert system, blev reduceret fra ca. 80 til ca. 25.

Derudover stillede modellen tidligere krav om, at myndighederne skulle lave en liste

over alle deres it-systemer og som minimum kortlægge tilstanden for de kritiske. Mo-

dellen stiller nu krav om, at myndighederne skal kortlægge tilstanden for alle deres sy-

stemer.

DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer

Introduktion og konklusion |

I det omfang, myndighederne

har

udarbejdet lister i henhold til det tidligere krav, har

vi undersøgt, om myndighederne har kortlagt tilstanden for de kritiske systemer, der

fremgår af listerne. Vi har anvendt denne metode for alle myndighedernes 1. kortlæg-

ning og for 4 af myndighedernes 2. kortlægning (Børne- og Undervisningsministeriet,

Udlændinge- og Integrationsministeriet, Erhvervsstyrelsen og Søfartsstyrelsen). De

resterende 7 myndigheder har vi bedt oplyse, om deres 2. kortlægning omfatter alle

kritiske it-systemer.

14. Undersøgelsens fokus er på kvaliteten af myndighedernes arbejde med at forbed-

re systemernes tilstand snarere end at foretage en sammenligning af resultaterne ved

henholdsvis 1. og 2. kortlægning.

15. Revisionen er udført i overensstemmelse med standarderne for offentlig revision,

jf. bilag 2.

Afgrænsning

16. Undersøgelsen omfatter perioden fra november 2018 til og med januar 2023.

17. Undersøgelsen omfatter alene samfunds- og forretningskritiske systemer, da dis-

se er de vigtigste systemer. Modellen for porteføljestyring af statslige it-systemer har

i hele modellens levetid stillet krav om, at myndighederne skal kortlægge disse syste-

mer. Af sikkerhedshensyn henviser vi ikke til specifikke systemer i beretningen. Da

myndighederne har få samfundskritiske systemer, skelner vi af sikkerhedshensyn hel-

ler ikke mellem forretningskritiske og samfundskritiske it-systemer i undersøgelsen. I

stedet behandler vi systemerne under fællesbetegnelsen kritiske it-systemer.

18. Undersøgelsen omfatter myndighedernes arbejde inden for rammerne af modellen

for porteføljestyring af statslige it-systemer. Flere myndigheder har oplyst, at deres

porteføljestyring også omfatter andre styringsdokumenter og styringsværktøjer end

dem, der indgår i modellen. I det omfang, at myndighedernes porteføljestyring ikke er

afspejlet i myndighedernes arbejde inden for den obligatoriske model, er denne styring

ikke omfattet af undersøgelsen.

19. Beretningen omfatter 11 myndigheder. Myndighederne er udvalgt, fordi de er under-

lagt modellen for porteføljestyring af statslige it-systemer, jf. budgetvejledningen, og

fordi de havde været i review ved It-rådet 2 gange ved undersøgelsens start.

20. Afsnit 2.2 og 2.3 omfatter Domstolsstyrelsen og Kriminalforsorgen (under Justits-

ministeriet) og Geodatastyrelsen og Danmarks Meteorologiske Institut (under Klima-,

Energi- og Forsyningsministeriet). Vi har udvalgt de 4 myndigheder fra de ministerier,

der havde flest kritiske systemer i utilfredsstillende tilstand ved 1. kortlægning målt på

ét eller flere af følgende parametre: teknisk tilstand, forretningsunderstøttelse, doku-

mentation og viden samt sikkerhed. Vi har foretaget udvælgelsen på denne måde, da

vi forventer, at forbedringspotentialet her er størst, hvilket bør være afspejlet i myn-

dighedernes handlingsplaner og initiativer. Den metode, vi har brugt til udvælgelsen,

er yderligere beskrevet i bilag 1.

21. I bilag 1 er undersøgelsens metodiske tilgang beskrevet. Bilag 2 indeholder en ord-

liste, der forklarer udvalgte ord og begreber.

DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer

| Myndighedernes porteføljestyring af deres kritiske it-systemer

2. Myndighedernes

porteføljestyring af deres

kritiske it-systemer

22. Dette kapitel handler om myndighedernes porteføljestyring af deres kritiske it-sy-

stemer. Vi har undersøgt myndighedernes kortlægning af deres kritiske it-systemer,

myndighedernes handlingsplaner for deres kritiske it-systemer og myndighedernes

opfølgning på fremdriften i handlingsplanernes initiativer.

2.1. Myndighedernes kortlægning af deres kritiske it-sy-

stemer

23. Vi har undersøgt, om myndighedernes kortlægninger giver overblik over deres kri-

tiske it-systemer. Det har vi gjort ved at undersøge, om:

•

Myndighederne har kortlagt alle deres kritiske it-systemers tilstand.

Det er et krav, at myndighederne kortlægger tilstanden for alle deres kritiske it-sy-

stemer. Vi har derfor gennemgået, om myndighedernes kortlægninger indeholder

alle deres kritiske it-systemer.

Myndighedernes kortlægninger omfatter alle de relevante oplysninger.

Det er et krav, at myndighederne for hvert af deres kritiske it-systemer skal besva-

re en række obligatoriske spørgsmål, bl.a. vedrørende systemets sikkerhed, øko-

nomi og dokumentation.

Myndighedernes besvarelse af de obligatoriske spørgsmål er systemunderstøttet.

Dette medfører, at det bliver tydeligt, hvis ét eller flere spørgsmål ikke er besvaret.

I praksis besvarer myndighederne derfor alle spørgsmålene. Det er dog Rigsrevi-

sionens opfattelse, at myndighedernes besvarelser skal bidrage til at skabe et godt

overblik over systemporteføljen. Vi har derfor gennemgået, om myndighedernes

kortlægninger omfatter alle de relevante oplysninger.

•

Myndighederne har udarbejdet egne retningslinjer e.l., som understøtter deres kort-

lægning af kritiske it-systemer.

Det er en anbefaling, at myndighederne udarbejder egne retningslinjer til brug for

de vurderinger, som myndigheden skal foretage i forbindelse med kortlægningen.

Vi har derfor gennemgået, om myndighederne har fulgt anbefalingen.

I denne del af undersøgelsen indgår 11 myndigheder.

DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer

Myndighedernes porteføljestyring af deres kritiske it-systemer |

24. Undersøgelsen viser, at myndighedernes kortlægninger ikke i alle tilfælde giver et

tilstrækkeligt overblik over myndighedernes kritiske it-systemers tilstand. Myndighe-

derne er dog generelt blevet bedre til at kortlægge alle deres kritiske it-systemers til-

stand. Resultatet af myndighedernes seneste kortlægning viser bl.a., at myndigheder-

ne selv vurderer, at ca. en fjerdedel af deres kritiske it-systemer er i utilfredsstillende

teknisk tilstand. Børne- og Undervisningsministeriet er den eneste myndighed, der ik-

ke har kortlagt tilstanden for alle de systemer, som ministeriet har angivet som kriti-

ske til It-rådet ved 2. kortlægning. Ministeriet har oplyst, at ministeriet nu kan se, at mi-

nisteriet ved indrapporteringen til It-rådet har anvendt en anden definition af kritiske

systemer end modellens og derfor har inkluderet ikke-kritiske systemer på sin liste.

Ministeriet vil fremadrettet anvende modellens definition.

Størstedelen af de 11 myndigheder har anvendt svar som ”ved ikke” og ”0” i kortlæg-

ningen af deres kritiske it-systemers tilstand. Det gør det uklart, om disse kortlægnin-

ger omfatter alle relevante oplysninger. Rigsrevisionen kan på baggrund af disse myn-

digheders dokumentation ikke vurdere, om myndighederne mangler oplysninger om

deres kritiske it-systemer, eller om deres

”ved ikke”- og ”0”-svar

dækker over andre

forhold.

Det fremgår af 5 af de 11 myndigheders kortlægninger, at myndighederne også har

anvendt

svar som ”ved ikke” og ”0” på mindst 1 ud af 3 væsentlige

spørgsmål, fx om

alle relevante sikkerhedsopdateringer er implementeret. Det er Rigsrevisionens op-

fattelse, at disse spørgsmål er så væsentlige, at myndighederne bør kunne besvare

dem klart.

Af de 11 myndigheder er det kun Børne- og Undervisningsministeriet, der har fulgt mo-

dellens anbefaling om at udarbejde egne retningslinjer, der kan bidrage til at ensarte

vurderingen af systemerne.

Vi gennemgår og uddyber undersøgelsens resultater i de følgende afsnit.

DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer

| Myndighedernes porteføljestyring af deres kritiske it-systemer

Myndighedernes kortlægning af deres kritiske systemers tilstand

25. Vi har undersøgt, om myndighederne har kortlagt alle deres kritiske it-systemers

tilstand.

26. Undersøgelsen viser, at myndighederne samlet set ikke har kortlagt alle deres kri-

tiske it-systemers tilstand. Figur 2 viser resultatet af vores undersøgelse heraf.

Figur 2

Andel kortlagte kritiske it-systemer ved 1. og 2. kortlægning

1. kortlægning

9 myndigheder

83 %

128 it-systemer

2. kortlægning

11 myndigheder

83 %

211 it-systemer

17 %

26 it-systemer

I alt 154 it-systemer

Kortlagte systemer

17 %

44 it-systemer

I alt 255 it-systemer

Ikke-kortlagte systemer

Note: I vores undersøgelse af 1. kortlægning indgår kun 9 af de 11 myndigheder, da det for 2 myndigheder ikke

har været muligt at undersøge, om de har kortlagt alle deres kritiske it-systemers tilstand. Det skyldes,

at det kun fremgår af kortlægningen, men ikke af myndighedernes lister over deres systemer, hvilke sy-

stemer der er kritiske.

Kilde:

Rigsrevisionen på baggrund af dokumentation fra de 11 myndigheder.

Det fremgår af figur 2, at myndighederne samlet set ikke har kortlagt tilstanden for 17 %

af deres kritiske it-systemer ved både 1. og 2. kortlægning. Andelen af systemer, der

ikke er kortlagt, er altså uændret samlet set fra 1. til 2. kortlægning, mens antallet af

systemer er steget.

27. Undersøgelsen viser, at det ved 1. kortlægning var Børne- og Undervisningsministe-

riet, Domstolsstyrelsen og Civilstyrelsen, der ikke havde kortlagt tilstanden for alle de-

res kritiske it-systemer. Det var især Børne- og Undervisningsministeriet og Domstols-

styrelsen, der ved 1. kortlægning ikke havde kortlagt alle deres systemer. De 2 myndig-

heder har oplyst, at de i forbindelse med deres 1. kortlægning var med til at afprøve mo-

dellen. De var på den baggrund i dialog med Økonomistyrelsen om deres fremgangs-

måde og gav efterfølgende Økonomistyrelsen input til det videre arbejde med at ud-

forme modellen.

DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer

Myndighedernes porteføljestyring af deres kritiske it-systemer |

Ved 2. kortlægning var det kun Børne- og Undervisningsministeriet, der ikke havde

kortlagt alle sine kritiske it-systemers tilstand. Ministeriet manglede efter 2. kortlæg-

ning i henhold til indrapporteringen til It-rådet at kortlægge tilstanden for 44 af sine

84 kritiske it-systemer.

Børne- og Undervisningsministeriet har oplyst, at ministeriet har defineret en række

systemer som kritiske i deres oplysninger til It-rådet, selv om de ikke er kritiske ifølge

modellens definitioner af samfunds- og forretningskritiske systemer. Ministeriet har

oplyst, at hvis ministeriet havde anvendt modellens definitioner, så havde ministeriet

haft 18 kritiske systemer, som alle er kortlagt. Endelig har ministeriet oplyst, at mini-

steriet fremadrettet vil anvende modellens definitioner af samfunds- og forretnings-

kritiske it-systemer.

28. Boks 1 viser resultatet af de 11 myndigheders vurdering af it-systemernes tekniske

tilstand ved 1. og 2. kortlægning.

Boks 1

Myndighedernes vurdering af it-systemernes tekniske tilstand

ved 1. og 2. kortlægning

Vi har gennemgået de 11 myndigheders kortlægninger og på den baggrund opgjort myn-

dighedernes vurdering af systemernes tekniske tilstand.

1. kortlægning

4 %

kortlægning

(165 it-systemer)

21 %

39 %

36 %

2. kortlægning

(211 it-systemer)

17 %

44 %

32 %

Meget utilfredsstillende

20 %

40 %

60 %

Tilfredsstillende

80 %

100 %

Utilfredsstillende

Meget tilfredsstillende

Note: Figuren omfatter alle 11 myndigheders vurderinger af deres kortlagte kritiske it-systemers

tekniske tilstand. Antallet af systemer i 1. kortlægning i denne figur (165) er derfor højere end

antallet i figur 1 (128).

Resultatet viser, at myndighederne både ved 1. og 2. kortlægning vurderer, at ca. en fjer-

dedel af deres kritiske it-systemer var i

”meget

utilfredsstillende” eller

”utilfredsstillende”

teknisk tilstand. Der er tale om henholdsvis 35 systemer ved 1. kortlægning og 51 syste-

mer ved 2. kortlægning. Alle myndighederne har it-systemer, som de vurderer er i util-

fredsstillende teknisk tilstand både ved 1. og 2. kortlægning. En utilfredsstillende teknisk

tilstand kan bl.a. betyde, at myndighederne har begrænsede muligheder for at vide-

reudvikle, skalere eller integrere systemerne.

Kilde:

Rigsrevisionen på baggrund af dokumentation fra de 11 myndigheder.

DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer

| Myndighedernes porteføljestyring af deres kritiske it-systemer

Myndighedernes oplysninger om systemerne i kortlægningen

29. Vi har undersøgt, om myndighedernes kortlægninger omfatter alle de relevante op-

lysninger.

”Ved ikke”- og ”0”-svar

”Ved ikke”-svar

bruger vi som

en samlet betegnelse for svar,

hvor myndighederne har sva-

ret fx ”ved ikke”, ”ej registre-

ret”

”ikke opgjort”.

Vi bruger

”0”-svar

som en

samlet betegnelse for svar på

økonomispørgsmål, hvor myn-

dighederne fx

har svaret ”0”,

”1”

”kan ikke udskilles”.

30. Undersøgelsen viser, at størstedelen af de 11 myndigheder har anvendt svar som

”ved ikke” og ”0” i kortlægningen af deres kritiske

systemers tilstand. Det gør det

uklart, om disse kortlægninger omfatter alle relevante oplysninger. Myndighederne

har samlet set givet ét

eller flere ”ved ikke”- og ”0”-svar

(e.l.) for ca. 60 % af deres sy-

stemer ved 1. kortlægning og for ca. 25 % af deres systemer ved 2. kortlægning. 7 af

de 11 myndigheder har anvendt denne type svar ved 2. kortlægning. Især Domstolssty-

relsen, Søfartsstyrelsen og Styrelsen for Dataforsyning og Infrastruktur har anvendt

denne type svar for en større andel af deres systemer. For Styrelsen for Dataforsyning

og Infrastruktur er der dog kun tale om ”0”-svar.

Flere af de 7 myndigheder har oplyst, at deres ”ved ikke”-svar

ikke nødvendigvis bety-

der, at de mangler oplysninger, men at svaret kan dække over andre forhold. Fx har

enkelte myndigheder oplyst, at nogle

”ved ikke”-svar

er udtryk for, at myndigheder-

nes egentlige svar er for nuanceret til, at svaret kan afgives inden for modellens ram-

mer. I et andet eksempel har en myndighed oplyst, at svaret dækker over, at myndig-

heden er usikker på, om myndigheden fremadrettet ønsker at anvende det pågælden-

de system. For så vidt angår økonomispørgsmålene har myndighederne for nogle af

deres ”0”-svar

oplyst, at der reelt er tale om, at myndighederne ikke har den type ud-

gifter til systemet (fx investeringsomkostninger). I andre tilfælde har myndighederne

oplyst, at de ikke har kunnet opgøre udgifterne på den måde, modellen påkræver, fx

fordi det ikke var muligt at udskille oplysninger om bestemte systemer fra større sy-

stemkomplekser.

Der er således

eksempler på, at myndighedernes ”ved ikke”- og ”0”-svar

ikke er udtryk

for manglende oplysninger, men i stedet dækker over andre forhold. Når myndighe-

derne anvender disse typer svar i deres kortlægninger, er det derfor uklart, hvad sva-

rene betyder. Vi kan heller ikke på baggrund af myndighedernes dokumentation vur-

dere, om

myndighedernes ”ved ikke”- og ”0”-svar

er et udtryk for manglende oplys-

ninger, eller dækker over andre forhold. Det er Rigsrevisionens opfattelse, at myndig-

hedernes brug

af ”ved ikke”- og ”0”-svar

giver dem et dårligere grundlag for at kunne

prioritere strategisk på baggrund af deres kortlægninger.

31. Det kan på baggrund af opgørelserne se ud, som om myndighederne er blevet bed-

re til at tilvejebringe de relevante oplysninger om systemerne. Modellen er dog som

nævnt blevet justeret i perioden mellem de 2 kortlægninger, og myndighederne skulle

ved 2. kortlægning besvare færre spørgsmål. Vi har derfor undersøgt udviklingen fra

1. til 2. kortlægning med udgangspunkt i de eneste 3 spørgsmål, der indgår i begge kort-

lægninger, og hvor modellen giver mulighed for at svare ”ved ikke” og ”0”. Det er end-

videre Rigsrevisionens vurdering, at der er tale om væsentlige spørgsmål, som myn-

dighederne bør kunne besvare klart. De 3 spørgsmål fremgår af boks 2.

DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer

Myndighedernes porteføljestyring af deres kritiske it-systemer |

Væsentlige spørgsmål

Boks 2

Væsentlige spørgsmål, som indgår både i 1. og 2. kortlægning

Der er 3 spørgsmål, som indgår i begge kortlægninger, og hvor det er muligt at svare

”ved ikke” eller ”0”. De 3 spørgsmål er:

1. Er dokumentationen i al væsentlighed retvisende for it-systemets nuværende tilstand?

2. Er alle relevante sikkerhedsopdateringer og patches implementeret?

3. Hvad er de samlede årlige it-omkostninger til it-systemet?

Kilde:

Rigsrevisionen på baggrund af materiale fra

”Model

for porteføljestyring af statslige it-

systemer”.

Retvisende dokumentation

bl.a. med til at sikre, at myn-

dighedernes viden om syste-

merne er aktuel og fyldestgø-

rende. Det er derfor vigtigt, at

myndighederne ved, om deres

dokumentation for systemer-

ne er retvisende.

Sikkerhedsopdateringer og

patches

er bl.a. med til at sikre

informationssikkerhed og pri-

vatlivsbeskyttelse. Det er der-

for vigtigt, at myndighederne

ved, om alle relevante sikker-

hedsopdateringer og patches

er implementeret.

Samlede it-omkostninger

Overblik over de samlede om-

kostninger er bl.a. med til at

sikre, at myndighederne kan

styre systemporteføljen effek-

tivt og strategisk. Det er der-

for vigtigt, at myndighederne

har overblik over de samlede

årlige udgifter til systemerne.

Vores gennemgang viser, at myndighederne samlet set har

angivet et ”ved ikke”-

el-

ler ”0”-svar

på mindst ét af de 3 spørgsmål for ca. 8 % af deres kritiske it-systemer

ved 1. kortlægning og for ca. 15 % ved 2. kortlægning. Dermed er andelen af systemer,

hvor myndighederne samlet set har givet et ”ved ikke”-

eller

”0”-svar

til de 3 spørgs-

mål, fordoblet fra 1. til 2. kortlægning. Det peger på, at der ved 2. kortlægning fortsat

er en del oplysninger, der er forbundet med uklarhed.

5 af de 11 myndigheder har anvendt ”ved ikke”- og ”0”-svar

ved 2. kortlægning på de

væsentlige spørgsmål. Det er især Domstolsstyrelsen og Søfartsstyrelsen, der har an-

vendt denne type svar for en større andel af deres systemer.

Myndighedernes retningslinjer for kortlægningen af deres kritiske it-

systemer

32. Vi har undersøgt, om myndighederne har udarbejdet egne retningslinjer e.l., som

understøtter myndighedernes kortlægning.

33. Undersøgelsen viser, at det kun er Børne- og Undervisningsministeriet, der har ud-

arbejdet egne retningslinjer, som understøtter ministeriets kortlægning. De resteren-

de 10 myndigheder har ikke fulgt modellens anbefaling om at udarbejde egne retnings-

linjer for besvarelsen af vurderingsspørgsmålene. Størstedelen af myndighederne

har oplyst, at de har bestræbt sig på at sikre en ensartet besvarelse af kortlægnings-

spørgsmålene på anden vis, fx gennem workshops og koordinationsmøder.

Enkelte myndigheder har oplyst, at de anser Økonomistyrelsens vejledning som til-

strækkelig i forhold til at kunne udarbejde deres kortlægning. Disse myndigheder vur-

derer således, at modellens anbefaling om at udarbejde egne retningslinjer for at sik-

re ensartede vurderinger af systemerne ikke er relevant for dem.

DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer

| Myndighedernes porteføljestyring af deres kritiske it-systemer

34. Boks 3 beskriver indholdet af Børne- og Undervisningsministeriets retningslinjer.

Boks 3

Børne- og Undervisningsministeriets retningslinjer for kortlæg-

ningen

Børne- og Undervisningsministeriets retningslinjer beskriver bl.a., hvordan ministeriets

egne interne vurderinger af systemernes teknologiske tilstand skal oversættes i Økono-

mistyrelsens model.

Børne- og Undervisningsministeriets retningslinjer beror på et peer review-koncept, hvor

erfarne medarbejdere vurderer de enkelte systemer på 4 hovedparametre og giver dem

en score. Retningslinjerne beskriver i forlængelse heraf, hvordan denne score skal over-

sættes i besvarelsen af modellens vurderingsspørgsmål.

Kilde:

Rigsrevisionen på baggrund af materiale fra Børne- og Undervisningsministeriet.

2.2. Myndighedernes handlingsplaner for deres kritiske

it-systemer

35. Vi har undersøgt, om myndighedernes handlingsplaner understøtter deres arbej-

de med de kritiske it-systemer. Det har vi gjort ved at undersøge, om:

•

Det fremgår af myndighedernes handlingsplaner, hvilke it-systemer de har priori-

teret at arbejde med.

Det er et krav, at myndighederne skal beskrive, hvilke systemer der indgår i hand-

lingsplanen, og hvorfor dette fokus er valgt. Vi har derfor gennemgået, om myndig-

hederne har beskrevet, hvilke systemer der indgår i deres handlingsplaner.

Myndighederne har opstillet initiativer, som de kan følge op på.

Det er et krav, at myndighederne i handlingsplanen skal opstille konkrete initiati-

ver for det videre arbejde med systemporteføljen. Det fremgår ligeledes, at myn-

dighederne for hvert initiativ skal angive det forventede færdiggørelsestidspunkt,

succeskriterier, det forventede behov for resurser (fx medarbejderresurser eller

finansiering), og om der er afsat de forventede resurser til gennemførelsen af initi-

ativet. Vi har derfor gennemgået, om myndighederne for hvert af initiativerne har

sat en slutdato, har opstillet succeskriterier og har opgjort og afsat de forventede

resurser.

Modellen stiller ikke krav til succeskriteriernes udformning. Det er dog vores opfat-

telse, at de opstillede succeskriterier skal være målbare, så myndighederne kan

måle fremdriften. I vores vurdering af, om myndighedernes succeskriterier er mål-

bare, har vi derfor lagt vægt på, om det fremgår, hvad succeskriteriet omhandler

(hvilken måleenhed, fx kr. eller årsværk), og om der fremgår en tydelig tærskelvær-

di for, hvornår målet er nået.

•

De forventede resurser

Model for porteføljestyring af

statslige it-systemer stiller

krav om, at myndighederne

opgør og afsætter økonomi til

deres initiativer. Det fremgår

af modellen, at dette omfatter

medarbejderresurser. Vi un-

dersøger derfor i beretningen,

om myndighederne har afsat

de forventede resurser.

I denne del af undersøgelsen indgår 4 af de 11 myndigheder (Domstolsstyrelsen, Krimi-

nalforsorgen, Geodatastyrelsen og Danmarks Meteorologiske Institut).

DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer

Myndighedernes porteføljestyring af deres kritiske it-systemer |

36. Undersøgelsen viser, at de 4 udvalgte myndigheders handlingsplaner ikke under-

støtter deres arbejde med de kritiske it-systemer i tilstrækkelig grad. De 4 myndighe-

der har prioriteret, hvilke it-systemer de vil arbejde med i hver af deres handlingspla-

ner. Myndighederne har dog i meget begrænset omfang opstillet initiativer i handlings-

planerne, som de kan følge op på. I myndighedernes seneste handlingsplaner har kun

ca. 30 % af initiativerne målbare succeskriterier, og kun for ca. 20 % af initiativerne

har myndighederne afsat resurser. Samlet set er det 8 % af myndighedernes initiati-

ver i deres seneste handlingsplaner, som har både slutdato, målbare succeskriterier,

og som der er opgjort og afsat resurser til.

Flere af myndighederne har oplyst, at de er enige i, at succeskriterierne i handlings-

planerne kan gøres mere målbare, men at det ikke er et krav i modellen for porteføl-

jestyring af statslige it-systemer. Rigsrevisionen er enig i, at det ikke er et krav i mo-

dellen, at der skal opstilles målbare succeskriterier. Det er dog Rigsrevisionens op-

fattelse, at succeskriterierne bør være målbare, så myndighederne kan måle, om de

har opnået de forudsatte forbedringer.

Flere af myndighederne har oplyst, at de ikke afsætter resurser til initiativer, der skal

løses internt. De udvalgte myndigheder har desuden oplyst, at det er vanskeligt at af-

sætte resurser til initiativer, der skal gennemføres om 2-3 år, da de økonomiske ram-

mer i de fleste tilfælde besluttes fra år til år. Det fremgår af modellen, at myndigheder-

ne for hvert initiativ skal beskrive det forventede resursetræk. Det er desuden Rigs-

revisionens opfattelse, at det er vigtigt, at myndighederne opgør og afsætter resurser

til deres initiativer, da det er med til at skabe sikkerhed for, at myndighederne har de

nødvendige resurser til at gennemføre initiativerne i deres handlingsplaner.

It-rådet har i flere tilfælde anbefalet myndighederne at forbedre deres succeskriteri-

er og i højere grad afsætte resurser til deres initiativer.

Vi gennemgår og uddyber undersøgelsens resultater i de følgende afsnit.

Myndighedernes prioritering af it-systemer i deres handlingsplaner

37. Vi har undersøgt, om det fremgår af myndighedernes handlingsplaner, hvilke it-sy-

stemer de har prioriteret at arbejde med.

38. Undersøgelsen viser, at det fremgår af alle 4 myndigheders handlingsplaner, hvil-

ke it-systemer de har prioriteret at arbejde med. Domstolsstyrelsen, Kriminalforsor-

gen og Geodatastyrelsen har prioriteret at arbejde med mellem ca. 10 % og ca. 60 %

af deres samlede systemportefølje. Den prioritering, der fremgår af disse 3 myndighe-

ders handlingsplaner, vedrører primært de prioriterede systemers økonomiske væ-

sentlighed. Myndighederne fremhæver desuden hver især andre faktorer i deres hand-

lingsplaner, som har haft indflydelse på deres prioritering. Fx fremhæver 2 af myndig-

hederne, at de har prioriteret systemer, hvor de selv varetager udviklingen og vedlige-

holdelsen. Én myndighed har endvidere oplyst, at den har prioriteret systemer, hvis

tilstand er mest utilfredsstillende.

Danmarks Meteorologiske Institut har prioriteret at arbejde videre med alle sine sy-

stemer i handlingsplanen. Myndigheden har oplyst, at dette særligt skyldes, at porte-

føljen består af systemer, der i høj grad er indbyrdes afhængige.

DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer

| Myndighedernes porteføljestyring af deres kritiske it-systemer

39. Det fremgår ikke af myndighedernes handlingsplaner, om

–

og i givet fald i hvilket

omfang

–

risikovurderinger, herunder risikoen for og konsekvenserne ved nedbrud har

indgået i myndighedernes prioritering. Det er ikke et krav i modellen, at risikovurderin-

gerne skal indgå. Det er dog Rigsrevisionens opfattelse, at det vil være nærliggende

for myndighederne at medtage denne type vurderinger i deres grundlag for at priori-

tere systemerne. Flere af myndighederne har dog oplyst, at risikovurderinger indgår i

deres prioriteringer, selv om det ikke fremgår af deres handlingsplaner.

Myndighedernes opstilling af initiativer

40. Vi har undersøgt, om myndighederne har opstillet initiativer, som de kan følge op

på. Det har vi gjort ved at gennemgå, om myndighederne i 1. og 2. handlingsplan har sat

en slutdato, har opstillet målbare succeskriterier og har afsat resurser til initiativerne.

41. Undersøgelsen viser, at myndighederne i meget begrænset omfang har opstillet ini-

tiativer, de kan følge op på. Andelen af myndighedernes initiativer, der både har slutda-

to, målbare succeskriterier, og som der er afsat resurser til, var 13 % for 1. handlings-

plan og 8 % for 2. handlingsplan.

42. Myndighederne har sat en slutdato for næsten alle deres initiativer. Ud af de 132

initiativer, som myndighederne samlet set har iværksat i deres 1. og 2. handlingsplan,

har 129 haft en slutdato.

Myndighederne har i begrænset omfang opstillet målbare succeskriterier for deres

initiativer. Figur 3 viser resultatet af vores undersøgelse heraf.

Figur 3

Andel initiativer i 1. og 2. handlingsplan med målbare succeskriterier

1. handlingsplan

(I alt 47 initiativer)

53 %

2. handlingsplan

(I alt 85 initiativer)

31 %

20%

40%

60%

80%

100%

Kilde:

Rigsrevisionen på baggrund af myndighedernes handlingsplaner.

Det fremgår af figur 3, at myndighederne har opstillet målbare succeskriterier for 53 %

og 31 % af deres initiativer i henholdsvis 1. og 2. handlingsplan. Dermed er andelen af

myndighedernes succeskriterier, som er målbare, faldet med ca. 20 procentpoint fra

1. til 2. handlingsplan. Denne udvikling gælder på tværs af de 4 myndigheder.

DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer

Myndighedernes porteføljestyring af deres kritiske it-systemer |

Boks 4 viser et succeskriterie, som er målbart, og et succeskriterie, som ikke er mål-

bart.

Boks 4

Eksempler på succeskriterier

Eksempel på et målbart succeskriterie

”Initiativet

har til formål at forbedre kendskab til ISO 27001. Succeskriteriet vil være at

nedbringe antallet af systemer med utilstrækkeligheder ved kortlægningsdimensionen

sikkerhed fra 25 til 5”.

Eksempel på et succeskriterie, der ikke er målbart

”Der

er ryddet op i rettigheder og brugernes adgange. Projektet bør udvides til at ned-

lægge nuværende brugerstyringsværktøj og implementere [et specifikt system] samt

rollebaseret adgange. Det er ikke en del af projektet”.

Kilde:

Rigsrevisionen på baggrund af 2 myndigheders handlingsplaner.

Det første succeskriterie i boks 4 er målbart, fordi det er klart, hvad succeskriteriet

omhandler (måleenheden er systemer med utilstrækkeligheder i forhold til sikkerhed),

og hvilken tærskelværdi succeskriteriet er opnået ved (målet er opnået, når antallet

af systemer med utilstrækkeligheder er reduceret til 5). Omvendt er det andet succes-

kriterie ikke målbart, da det ikke er klart, hvad succeskriteriet omhandler (fx hvilke ret-

tigheder og adgange kriteriet omfatter), og hvilken tærskelværdi succeskriteriet er op-

nået ved (fx antal rettigheder og adgange). Derudover beskriver succeskriteriet inten-

tioner om en udvidelse af projektet, hvilket medfører yderligere uklarhed om, hvad suc-

ceskriteriet omfatter, og hvornår myndigheden er i mål.

43. Flere af myndighederne har oplyst, at de er enige i, at succeskriterierne i handlings-

planerne kan gøres mere målbare, men at det ikke er et krav i modellen for portefølje-

styring af statslige it-systemer. Flere myndigheder har endvidere oplyst, at nogle initia-

tivers succeskriterier er yderligere operationaliseret i projektgrundlag e.l. Rigsrevisio-

nen er enig i, at det ikke er et krav i modellen, at der skal opstilles målbare succeskri-

terier. Det er dog Rigsrevisionens opfattelse, at succeskriterierne bør være målbare,

så myndighederne kan måle, om de har opnået de forudsatte forbedringer.

It-rådet har over for flere af de undersøgte myndigheder påpeget, at deres succeskri-

terier ikke er målbare nok i forhold til at kunne følge op på fremdriften og anvende

handlingsplanen som et styringsværktøj. Det fremgår ligeledes af It-rådets statusrap-

porter fra 2021 og 2022, at It-rådet på tværs af alle statslige myndigheder har givet

flest anbefalinger vedrørende operationalisering og eksekvering af myndighedernes

handlingsplaner, herunder specifikt, at handlingsplanerne operationaliseres med mål-

bare succeskriterier.

DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer

| Myndighedernes porteføljestyring af deres kritiske it-systemer

44. Myndighederne har i begrænset omfang afsat resurser til deres initiativer. Figur 4

viser resultat af vores undersøgelse heraf.

Figur 4

Andel initiativer i 1. og 2. handlingsplan, hvor myndighederne har afsat

resurser

1. handlingsplan

(I alt 47 initiativer)

2. handlingsplan

(I alt 85 initiativer)

15 %

20 %

20%

40%

60%

80%

100%

Kilde:

Rigsrevisionen på baggrund af myndighedernes handlingsplaner.

Det fremgår af figur 4, at myndighederne samlet set har afsat resurser til 15 % og 20 %

af deres initiativer i henholdsvis 1. og 2. handlingsplan. Dermed har der samlet set væ-

ret en lille stigning i andelen af initiativer, som myndighederne har afsat resurser til,

fra 1. til 2. handlingsplan. Denne udvikling gælder dog ikke alle myndighederne. Ved 2.

handlingsplan er det særligt Domsstolsstyrelsen, der har afsat resurser til sine initiati-

ver. Kriminalforsorgen har afsat resurser for en mindre del af sine initiativer, mens Geo-

datastyrelsen og Danmarks Meteorologiske Institut har afsat resurser for et fåtal af

deres initiativer.

45. Flere af myndighederne har oplyst, at de ikke har opgjort de forventede resurser

til initiativer, der skal gennemføres af interne resurser, og hvor der dermed ikke skal

indhentes særskilt finansiering. Myndighedernes prioritering af interne resurser, her-

under til handlingsplanernes initiativer, er i stedet en del af deres daglige driftsstyring.

Flere af myndighederne har endvidere oplyst, at det er vanskeligt at afsætte resurser

til initiativer, der ligger 2-3 år frem i tid, da de økonomiske rammer i de fleste tilfælde

besluttes fra år til år.

Det fremgår af modellen, at myndighederne for hvert initiativ skal beskrive det forven-

tede resursetræk, samt om der er tale om interne eller eksterne resurser. Dette er nød-

vendigt for at skabe sikkerhed for, at myndighederne har de nødvendige resurser til

at gennemføre initiativerne i deres handlingsplaner. Det giver endvidere myndigheder-

ne de bedste forudsætninger for at planlægge langsigtet og omprioritere, hvis der sker

ændringer i de økonomiske rammebetingelser.

DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer

Myndighedernes porteføljestyring af deres kritiske it-systemer |

It-rådet har over for flere af de undersøgte myndigheder påpeget, at finansieringen er

uafklaret for flere af initiativerne, og at dette indebærer en risiko i forhold til fremdrif-

ten. Som tidligere beskrevet fremgår det af It-rådets statusrapporter fra 2021 og 2022,

at It-rådet generelt har givet flest anbefalinger vedrørende operationalisering og ek-

sekvering af handlingsplaner, herunder specifikt, at myndighederne bør sikre, at der

er de rette forudsætninger for at gennemføre planerne, bl.a. i form af medarbejderre-

surser, kompetencer og finansiering.

2.3. Myndighedernes opfølgning på fremdriften i hand-

lingsplanernes initiativer

46. Vi har undersøgt, om:

•

Myndighederne har fulgt op på fremdriften i handlingsplanernes initiativer.

Det er et krav i modellen, at myndighederne årligt udarbejder et statusnotat, hvor

de skal beskrive status for og fremdrift i handlingsplanens initiativer. Vi har derfor

gennemgået, om myndighederne har fulgt op på initiativerne fra 1. handlingsplan i

deres statusnotater til It-rådet.

I denne del af undersøgelsen indgår 4 af de 11 myndigheder (Domstolsstyrelsen, Krimi-

nalforsorgen, Geodatastyrelsen og Danmarks Meteorologiske Institut).

47. Undersøgelsen viser, at de 4 udvalgte myndigheder i de fleste tilfælde har fulgt op

på fremdriften i handlingsplanernes initiativer. Myndighederne har generelt rapporte-

ret til It-rådet om fremdriften i arbejdet med initiativerne. Myndighederne har dog ikke

i alle tilfælde rapporteret på hvert initiativ i deres statusnotater til It-rådet.

Vi gennemgår og uddyber undersøgelsens resultater i de følgende afsnit.

48. Undersøgelsen viser, at Domstolsstyrelsen, Geodatastyrelsen og Danmarks Me-

teorologiske Institut hver har indsendt 2 statusnotater til It-rådet vedrørende deres 1.

handlingsplan. De 3 myndigheder har i vidt omfang fulgt op på deres initiativer heri.

Danmarks Meteorologiske Institut og Geodatastyrelsen har således givet en status på

alle deres initiativer, mens Domstolsstyrelsen har givet en status på 17 ud af deres 19

initiativer.

Kriminalforsorgen har ikke sendt statusnotater til It-rådet vedrørende deres 1. hand-

lingsplan. Myndigheden har som tidligere beskrevet været igennem et særligt forløb

ved It-rådet og har udarbejdet 3 handlingsplaner i undersøgelsesperioden. Kriminal-

forsorgen har oplyst, at dette er årsagen til, at Kriminalforsorgen ikke har udarbejdet

statusnotater vedrørende deres 1. handlingsplan, og at det er undladt efter aftale med

It-rådet. Kriminalforsorgen har ligeledes oplyst, at Kriminalforsorgen fra 2023 følger

den ordinære proces med udarbejdelse af statusnotater.

DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer

Metodisk tilgang.. Metodisk tilgang

| Myndighedernes porteføljestyring af deres kritiske it-systemer

49. Boks 5 viser udvalgte resultater fra de 4 myndigheders opfølgning på deres initia-

tiver.

Boks 5

Udvalgte resultater fra de 4 myndigheders opfølgning på deres

initiativer

Vi har gennemgået de 4 myndigheders opfølgninger på deres initiativer og på den bag-

grund opgjort myndighedernes samlede vurdering af, om initiativerne fra 1. handlings-

plan er gennemført eller ej.

Gennemførte

initiativer

Delvist gennem-

førte initiativer

Ikke-gennem-

førte initiativer

I alt

Note: Myndighederne har i alt 47 initiativer i deres 1. handlingsplaner. Vi har afgrænset os fra 3

initiativer, som har en slutdato efter 31. december 2022. Derfor fremgår der kun 44 initiati-

ver i tabellen.

Opgørelsen viser, at myndighederne samlet set vurderer, at 31 ud af de 44 planlagte ini-

tiativer er gennemført, svarende til ca. 70 %. Derudover er der 9 initiativer, som myndig-

hederne vurderer er delvist gennemført, og 4 initiativer, som myndighederne vurderer,

ikke er blevet gennemført.

Domstolsstyrelsen og Kriminalforsorgen vurderer, at ca. 80 % af deres initiativer er ble-

vet gennemført. Geodatastyrelsen og Danmarks Meteorologiske Institut vurderer tilsva-

rende, at ca. 50 % af deres initiativer er blevet gennemført. Hertil kommer en andel af

delvist gennemførte initiativer, der varierer på tværs af de 4 myndigheder.

Kilde:

Rigsrevisionen på baggrund af myndighedernes statusnotater til It-rådet, handlingsplaner

og oplysninger til Rigsrevisionen.

Rigsrevisionen, den 28. september 2023

Bo Brabrand

sætterigsrevisor

/Mads Nyholm Jacobsen

DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer

Metodisk tilgang |

Bilag 1. Metodisk tilgang

Formålet med undersøgelsen er at vurdere, om myndighedernes porteføljestyring af

deres kritiske it-systemer har været tilfredsstillende. Vi har derfor undersøgt følgen-

de:

Giver myndighedernes kortlægninger overblik over deres kritiske it-systemers til-

stand?

•

Understøtter myndighedernes handlingsplaner deres arbejde med de kritiske it-

systemer?

•

Har myndighederne fulgt op på fremdriften i handlingsplanernes initiativer?

•

I undersøgelsens 1. del indgår der 11 myndigheder fordelt på 5 ministerier. I undersøgel-

sens 2. del indgår der 4 myndigheder fordelt på 2 ministerier.

Undersøgelsen omfatter perioden fra november 2018 til og med januar 2023.

Undersøgelsen er primært baseret på dokumentgennemgang. For at understøtte re-

visionen har vi holdt møder med de 11 myndigheder, medlemmer af It-rådet samt med

It-rådets sekretariat, der er placeret i Økonomistyrelsen.

Nedenfor beskrives vores kvalitetssikring, data og metode i flere detaljer.

Kvalitetssikring

Denne undersøgelse er kvalitetssikret via vores interne procedurer for kvalitetssikring,

som omfatter høring hos den reviderede samt ledelsesbehandling og sparring på for-

skellige tidspunkter i undersøgelsesforløbet med chefer og medarbejdere i Rigsrevi-

sionen med relevante kompetencer.

Undersøgelsen er bl.a. kvalitetssikret ved, at vi har anvendt en kodebog ved gennem-

gang og indtastning af oplysningerne for at understøtte en ensartet behandling af myn-

dighedernes dokumentation. For yderligere at sikre kvaliteten af resultaterne er der

foretaget blindkodning af dokumentationen. Dette er gjort ved, at alle myndigheder-

nes dokumentation er gennemgået og kodet af 2 personer fra projektgruppen, hvor-

efter de 2 personer har sammenholdt resultater med henblik på at sikre kvaliteten af

kodningen. Kvalitetssikringen har i nogle tilfælde givet anledning til, at vi stillede yder-

ligere spørgsmål og bad om yderligere materiale hos ministerierne.

DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer

| Metodisk tilgang

Væsentlige dokumenter

Vi har gennemgået en række dokumenter, herunder:

•

dokumenter fra

”Model

for porteføljestyring af statslige it-projekter”, herunder bl.a.

”Vejledning til model for porteføljestyring af statslige it-systemer”, ”Vejledning til

review og rådgivning ved Statens It-råd”,

It-rådets

skabelon for it-handlingsplaner,

It-rådets skabelon for statusnotater og It-rådets skabelon for datagrundlag til etab-

lering af it-systemporteføljeoverblik

ministeriernes kortlægninger af deres kritiske it-systemer, herunder det datagrund-

lag og de lister over it-systemer, som ministeriernes kortlægninger er baseret på

ministeriernes handlingsplaner, herunder særligt myndighedernes initiativer i hand-

lingsplanerne

anbefalingsbreve fra It-rådet til myndighederne på baggrund af reviews

statusnotater fra myndighederne til It-rådet.

Udvælgelse af myndighederne i undersøgelsen

Beretningen omfatter 11 myndigheder fordelt på 5 ministerier, som har gennemført

kortlægningen og har været i review ved It-rådet 2 gange. Det drejer sig om Erhvervs-

styrelsen, Finanstilsynet og Søfartsstyrelsen (under Erhvervsministeriet), Civilstyrel-

sen, Domstolsstyrelsen og Kriminalforsorgen (under Justitsministeriet), Geodatasty-

relsen, Danmarks Meteorologiske Institut og Styrelsen for Dataforsyning og Infrastruk-

tur (under Klima-, Energi- og Forsyningsministeriet) samt Børne- og Undervisnings-

ministeriet og Udlændinge- og Integrationsministeriet.

De 11 myndigheder er udvalgt, fordi de er underlagt model for porteføljestyring af stats-

lige it-systemer, jf. budgetvejledningen, og fordi de har været i review ved It-rådet 2

gange i perioden fra november 2018 til og med januar 2023.

I dele af undersøgelsen indgår 4 myndigheder, som Rigsrevisionen har udvalgt blandt

de 11. Det drejer sig om Domstolsstyrelsen, Kriminalforsorgen, Geodatastyrelsen og

Danmarks Meteorologiske Institut. De 4 myndigheder er udvalgt fra de 2 ministerier

med flest kritiske systemer i utilfredsstillende tilstand ved 1. kortlægning.

Under hvert ministerområde har vi udvalgt de 2 underliggende myndigheder med flest

kritiske systemer i utilfredsstillende tilstand målt på ét eller flere af følgende parame-

tre: teknisk tilstand, forretningsunderstøttelse, dokumentation og viden samt sikker-

hed. Vi forventer, at forbedringspotentialet her er størst, hvilket bør være afspejlet i

myndighedernes handlingsplaner og initiativer.

DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer

Metodisk tilgang |

Vi har registreret et system som værende i utilfredsstillende tilstand, hvis myndighe-

derne har svaret

”utilfredsstillende”, ”nej”

eller

”ved

ikke” på ét eller flere af følgende

4 centrale spørgsmål:

Hvor tilfredsstillende er it-systemets tekniske tilstand i dag?

Hvor tilfredsstillende er it-systemets understøttelse af forretningsprocesser i dag?

Er dokumentationen i al væsentlighed retvisende for it-systemets nuværende til-

stand?

•

Er alle relevante sikkerhedsopdateringer og patches implementeret?

•

Metoden ligger i forlængelse af den, der anvendes i It-rådets statusrapport fra 2021,

hvori det beskrives, at et system er i utilstrækkelig systemtilstand, hvis der er svaret

negativt eller

”ved

ikke” for ét eller flere af 6 udvalgte spørgsmål. 3 af disse spørgsmål

indgår i vores opgørelsesmetode. Derudover har vi tilføjet et spørgsmål målrettet for-

retningsunderstøttelse, som ikke indgår i It-rådets metode. Vi har suppleret med det-

te spørgsmål, da vores undersøgelse omfatter forretningskritiske it-systemer, og for-

di vi anser det som en vigtig indikator for, om systemerne fungerer tilfredsstillende, så

de kan understøtte forretningen.

De 4 spørgsmål indgår i begge kortlægninger, men myndighederne er udvalgt på bag-

grund af deres besvarelser i 1. kortlægning.

Undersøgelsens operationalisering af modellen for porteføljestyring af

statslige it-projekter

Undersøgelsen er i vidt omfang baseret på de krav til myndighederne, der udspringer

af modellen for porteføljestyring af statslige it-systemer. Derfor har vi undersøgt myn-

dighederne med udgangspunkt i modellens forskellige trin, herunder myndighedernes

kortlægninger, handlingsplaner samt opfølgning herpå.

Vi har bl.a. undersøgt, om myndighederne har kortlagt tilstanden for alle deres kriti-

ske it-systemer, ved at identificere deres kritiske it-systemer i deres liste over syste-

mer og undersøge, om alle disse systemer indgår i myndighedernes kortlægning. Den-

ne metode har vi kunnet anvende over for alle myndigheder ved 1. kortlægning, og for

4 ud af de 11 myndigheder ved 2. kortlægning. Det skyldes, at det kun er 4 myndighe-

der, der har udarbejdet en liste over systemer i forbindelse med 2. kortlægning, da mo-

dellen ikke længere stiller krav herom. De resterende 7 myndigheder har vi bedt op-

lyse, om deres 2. kortlægning omfatter alle deres kritiske it-systemer. Det metodiske

grundlag for vores gennemgang af myndighedernes 2. kortlægning er dermed forskel-

ligt.

Enkelte krav i modellen for porteføljestyring af statslige it-systemer har vi valgt at ope-

rationalisere yderligere.

DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer

Ordliste

| Metodisk tilgang

Dette gælder

for det første

vores undersøgelse af, om myndighedernes kortlægnin-

ger omfatter alle de relevante oplysninger. Modellen stiller krav om, at myndigheder-

ne i forbindelse med deres kortlægning skal besvare en række obligatoriske spørgs-

mål. Myndighedernes besvarelse af de obligatoriske spørgsmål er systemunderstøt-

tet. Dette medfører, at det bliver tydeligt, hvis ét eller flere spørgsmål ikke er besva-

ret. I praksis besvarer myndighederne derfor alle spørgsmålene. Formålet med kort-

lægningen er imidlertid at skabe et transparent overblik over myndighedernes sy-

stemporteføljer. Dette er grundlaget for myndighedernes strategiske prioriteringer i

deres handlingsplaner. Vi har derfor gennemgået, om myndighederne har besvaret

alle de obligatoriske spørgsmål i kortlægningen

med relevante oplysninger,

dvs. med

svar, der bidrager til at skabe ovennævnte transparente overblik. Helt konkret har vi

gennemgået alle myndighedernes 1. og 2. kortlægning og registreret, hvor mange af

de obligatoriske spørgsmål der

er besvaret med ”ved ikke”, ”0” e.l.,

da vi mener, det er

uklart, hvad denne type svar dækker over. Vi har for alle myndighederne optalt antal-

let af ”ved ikke”- og ”0”-svar

og opgjort andelen af kritiske systemer, hvor de har an-

vendt ét eller flere af denne type svar i kortlægningen. For at sammenligne udviklin-

gen fra 1. til 2. kortlægning har vi ligeledes optalt og opgjort andelen af ”ved ikke”-

”0”-svar

på de 3 eneste spørgsmål, som indgår i begge kortlægninger, og hvor det er

muligt at svare ”ved ikke”, ”0” e.l.

Det er Rigsrevisionens opfattelse, at der er tale om

væsentlige spørgsmål, som myndighederne bør kunne besvare klart.

Dette gælder

for det andet

vores undersøgelse af, om myndighedernes initiativer har

målbare

succeskriterier. Modellen stiller krav om, at myndighederne opstiller succes-

kriterier for initiativerne i deres handlingsplaner, men stiller ikke krav om udformnin-

gen af succeskriterierne. Det er Rigsrevisionens opfattelse, at formålet med at opstil-

le succeskriterier er at konkretisere, hvornår den ønskede effekt er opnået

–

altså

hvornår det enkelte initiativ er gennemført med succes. Vi har derfor gennemgået,

om myndighedernes initiativer har målbare succeskriterier. Det har vi gjort ved at un-

dersøge, om det for hvert af myndighedernes succeskriterier er klart, hvad succeskri-

teriet omhandler (hvilken måleenhed, fx uger eller kr.), og hvilken tærskelværdi krite-

riet er opnået ved (fx 2 uger eller 100.000 kr.).

Standarderne for offentlig revision

Revisionen er udført i overensstemmelse med standarderne for offentlig revision, her-

under standarderne for større undersøgelser (SOR 3). Standarderne fastlægger, hvad

brugerne og offentligheden kan forvente af revisionen, for at der er tale om en god fag-

lig ydelse. Standarderne er baseret på de grundlæggende revisionsprincipper i rigsre-

visionernes internationale standarder (ISSAI 100-999).

DIU, Alm.del - 2023-24 - Bilag 13: Statsrevisorernes beretning nr. 1/23 om porteføljestyring af statens kritiske it-systemer

Ordliste |

Bilag 2. Ordliste

Databeskyttelsesforordningen

Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af

fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådan-

ne oplysninger mv.

Dokumentation og viden

Myndighederne skal redegøre for, i hvilket omfang de er i besiddelse af aktuel, retvisende og fyl-

destgørende dokumentation af it-systemerne, som det er beskrevet i modellen for porteføljesty-

ring af statslige it-systemer (kortlægningsdimension).

Myndighederne skal redegøre for systemernes evne til at understøtte forretningens behov og pro-

cesser, som det er beskrevet i modellen for porteføljestyring af statslige it-systemer (kortlægnings-

dimension).

Obligatorisk dokument i modellen for porteføljestyring af statslige it-systemer, som anvendes til

myndighedernes strategiske styring af it-systemporteføljerne, og som indeholder en række obliga-

toriske kapitler og nedslagspunkter.

Statens It-råd udgiver årligt en rapport, som giver en status på statens it-projekter og på styringen

af statens it-systemporteføljer.

Modellen for porteføljestyring af statslige it-systemer definerer it-systemer som et produkt eller en

resurse, der understøtter én eller flere forretningsprocesser, og omfatter såvel applikationer som

den nødvendige hardware og it-infrastruktur til brug for it-systemets afvikling.

Modellen for porteføljestyring af statslige it-systemer omfatter i udgangspunktet alle de it-syste-

mer, som myndigheden er systemejer for, og som er taget helt eller delvist i brug. Det gælder også

systemer, hvis drift forestås af ekstern part som fx Statens It.

Regeringen gennemførte i 2017 og 2018 kasseeftersyn af det statslige it-område, hvor statslige

myndigheder blev bedt om at indrapportere en række informationer om deres it-omkostninger, it-

projekter over 5 mio. kr. og kritiske it-systemer.

Myndighederne skal ifølge model for porteføljestyring af statslige it-systemer kortlægge deres it-

systemportefølje ved at besvare en række spørgsmål inden for 6 kortlægningsdimensioner. Kort-

lægningen anvendes til at give et overblik over it-systemporteføljen.

En ændring (eller et sæt af ændringer) til et it-system, der implementeres med det formål at opda-

tere systemet, forbedre systemet eller at udbedre fejl på systemet.

Obligatorisk dokument i Statens it-projektmodel, som udgør projektets styringsgrundlag. Heri skal

myndighederne bl.a. beskrive projektets formål, ønskede gevinster og økonomi.

Myndighederne skal redegøre for, om it-systemporteføljen er sikker og lever op til sikkerhedskra-

vene i modellen for porteføljestyring af statslige it-systemer (kortlægningsdimension).

Har til formål at konkretisere, hvad der skal til, for at man kan vurdere, at den ønskede effekt af et

projekt eller tiltag er opnået.

Myndighederne skal redegøre for, om it-systemerne kan vedligeholdes, videreudvikles og tilpasses,

som det er beskrevet i modellen for porteføljestyring af statslige it-systemer (kortlægningsdimen-

sion).

Forretningsunderstøttelse

It-handlingsplan

It-rådets statusrapport

It-system

It-systemportefølje

Kasseeftersyn

Kortlægning

Patches

Projektgrundlag

Sikkerhed

Succeskriterier

Teknisk tilstand