Erhvervsudvalget 2023-24
ERU Alm.del Bilag 19
Offentligt
2763927_0001.png
Kort fortalt
Porteføljestyring af statens kritiske
it-systemer
Konklusion
Rigsrevisionen vurderer, at myndighedernes porteføljestyring af deres kritiske it-systemer ikke er helt til-
fredsstillende. Konsekvensen er, at myndighedernes strategiske prioriteringer og investeringer i at forbed-
re systemernes tilstand kan være baseret på et usikkert grundlag.
Statsrevisorerne udtaler
”Statsrevisorerne og Rigsrevisionen har i flere beretninger på-
peget, at der var problemer med statens it-sikkerhed og de kri-
tiske it-systemers tilstand. Selv om statens model for porteføl-
jestyring har styrket de statslige myndigheders kortlægning af
deres kritiske it-systemers tilstand, er porteføljestyringen ikke
helt tilfredsstillende. Dette indebærer risiko for manglende
overblik og utilstrækkeligt grundlag for strategiske priorite-
ringer af, hvilke kritiske it-systemer der skal forbedres".
Formålet med undersøgelsen er at vurdere, om myndighe-
dernes porteføljestyring af deres kritiske it-systemer har
været tilfredsstillende.
Den 3-årige cyklus i model for porteføljestyring af statens
it-systemer
Væsentligste resultater af undersøgelsen
• Myndighedernes kortlægninger giver ikke i alle tilfælde
et tilstrækkeligt overblik over deres kritiske it-syste-
mers tilstand.
• De udvalgte myndigheders handlingsplaner understøt-
ter ikke deres arbejde med de kritiske it-systemer i til-
strækkelig grad.
• De udvalgte myndigheder har i de fleste tilfælde fulgt
op på fremdriften i handlingsplanernes initiativer.
Opfølgning
Kortlægning
Handlingsplan
Baggrund og formål med undersøgelsen
Statslige it-systemer løser en række væsentlige opgaver in-
den for bl.a. finanssektoren, retssystemet, sundhedsvæse-
net og transportsektoren. Systemerne udgør ofte kritisk in-
frastruktur – ikke kun for statens opgaveløsning, men også
for samfundet som helhed – og nedbrud kan have stor be-
tydning for myndigheder, borgere og virksomheder.
Modellen for porteføljestyring af statslige it-systemer inde-
bærer, at myndighederne hvert 3. år skal kortlægge alle de-
res it-systemer, herunder de samfunds- og forretningskriti-
ske. På den baggrund udarbejder myndighederne en hand-
lingsplan, der har til formål at prioritere og løse de udfor-
dringer, der er identificeret i kortlægningen. Dernæst gen-
nemgår myndighederne et review ved Statens It-råd, som
tager udgangspunkt i deres handlingsplan.
Review ved It-rådet
Undersøgelsen omfatter 11 myndigheder fordelt på 5 mini-
sterier, som har gennemført kortlægningen og har været i
review ved Statens It-råd 2 gange. Det drejer sig om Er-
hvervsstyrelsen, Finanstilsynet og Søfartsstyrelsen (under
Erhvervsministeriet), Civilstyrelsen, Domstolsstyrelsen og
Kriminalforsorgen (under Justitsministeriet), Geodatasty-
relsen, Danmarks Meteorologiske Institut og Styrelsen for
Dataforsyning og Infrastruktur (under Klima-, Energi- og
Forsyningsministeriet) samt Børne- og Undervisningsmini-
steriet og Udlændinge- og Integrationsministeriet.
Læs hele rapporten på
www.rigsrevisionen.dk.
Kontakt Rigsrevisionens
pressechef Lisbeth Sørensen på tlf. 33 92 85 06/[email protected]
eller Statsrevisorernes sekretariatschef Gitte Korff på tlf. 33 37 59 85/
[email protected] for yderligere information.