TRU, Alm.del - 2024-25 - Bilag 180: Rigsrevisionens § 18, stk. 4-notat til beretning nr. 7/2024 om it-sikkerheden i Banedanmarks signalsystem

Transportudvalget 2024-25
TRU Alm.del Bilag 180
Offentligt

April 2025

Rigsrevisionens notat om

beretning om

it-sikkerheden i

Banedanmarks

signalsystem

TRU, Alm.del - 2024-25 - Bilag 180: Rigsrevisionens § 18, stk. 4-notat til beretning nr. 7/2024 om it-sikkerheden i Banedanmarks signalsystem

Notat til Statsrevisorerne, jf. rigsrevisorlovens § 18, stk. 4

Vedrører:

Statsrevisorernes beretning nr. 7/2024 om it-sikkerheden

i Banedanmarks signalsystem

Transportministerens redegørelse af 4. februar 2025 samt supplerende rede-

gørelser af 17. februar 2025 og 24. februar 2025

24. marts 2025

RN 1504/25

1. Rigsrevisionen gennemgår i dette notat de initiativer, som transportministeren har

iværksat som følge af Statsrevisorernes bemærkninger og beretningens konklusioner.

Dette sker med henblik på at vurdere, om Transportministeriets initiativer adresserer

den kritik, der fremgår af Statsrevisorernes bemærkninger og Rigsrevisionens beret-

ning.

Sagsforløb for en større

undersøgelse

Beretning

Ministerredegørelse

Konklusion

§ 18, stk. 4-notat

Rigsrevisionen finder, at transportministeren har redegjort for, hvordan Transportmi-

nisteriet vil følge op på Statsrevisorernes bemærkninger og de væsentligste kritikpunk-

ter i beretningen.

Transportministeren oplyser, at Rigsrevisionen har peget på en række relevante områ-

der, hvor Banedanmark konkret skal løfte sit sikkerhedsniveau. Ministeren oplyser des-

uden, at Banedanmark forventer at have håndteret observationerne for hovedparten af

Rigsrevisionens 19 vurderingskriterier inden for 2 år, men at der vil gå mere end 2 år,

før alle observationerne vil være håndteret. Banedanmark er endvidere uenig i én af

Rigsrevisionens vurderinger.

Rigsrevisionen vil fortsat følge udviklingen og orientere Statsrevisorerne om:

•

Banedanmarks arbejde med at sikre en tilfredsstillende it-sikkerhed i signalsyste-

met.

Eventuelt

fortsat(te) notat(er)

Sagen afsluttes

Du kan læse mere om

forløbet og de enkelte step

på

www.rigsrevisionen.dk

I. Baggrund

2. Rigsrevisionen afgav i december 2024 en beretning om it-sikkerheden i Banedan-

marks signalsystem. Beretningen handlede om, hvorvidt Banedanmark har sikret en

tilfredsstillende it-sikkerhed i signalsystemet til at kunne modstå hændelser, der kan

medføre nedbrud i signalsystemet.

TRU, Alm.del - 2024-25 - Bilag 180: Rigsrevisionens § 18, stk. 4-notat til beretning nr. 7/2024 om it-sikkerheden i Banedanmarks signalsystem

Signalsystemet sender signaler mellem tog og trafikstyringscentraler og styrer deri-

gennem trafikken på jernbanen. Da signalsystemet er digitalt, medfølger en række

risici vedrørende it-sikkerhed.

3. Da Statsrevisorerne behandlede beretningen, fandt de det kritisabelt, at Banedan-

mark har væsentlige sårbarheder i it-sikkerheden i signalsystemet. Det indebærer en

risiko for, at sikkerhedshændelser kan forstyrre og standse togdriften, hvilket vil væ-

re til stor gene for brugerne. Længerevarende nedbrud kan dertil have betydning for

samfundsøkonomien.

Statsrevisorerne påtalte, at Banedanmarks it-sikkerhed ikke opfylder 10 af de 19 un-

dersøgte vurderingskriterier. 6 af vurderingskriterierne er delvist opfyldt. Bl.a. vurde-

rer Rigsrevisionen, at de handlingsplaner, som Banedanmark allerede har udarbejdet,

ikke er fyldestgørende. 3 af vurderingskriterierne er opfyldt.

Statsrevisorerne fandt det særdeles nødvendigt, at Banedanmark hurtigst muligt får

rettet op på de mangler i it-sikkerheden, som undersøgelsen har påvist.

4. Banedanmark har vurderet, at de problemer med it-sikkerheden, som Rigsrevisio-

nens undersøgelse har afdækket, er fortrolige oplysninger, da de kan eksponere sår-

barheder i signalsystemet og dermed øge trusselsniveauet mod Banedanmark. Beret-

ningen indeholdt derfor kun overordnede og summariske beskrivelser af problemerne

med it-sikkerheden i signalsystemet.

Dette notat indeholder derfor tilsvarende kun en overordnet beskrivelse af Rigsrevi-

sionen opfølgning på sagen.

5. Hele sagen kan følges på

www.rigsrevisionen.dk

og på

www.ft.dk/Statsrevisorerne.

6. Bilag 1 viser Folketingets behandling af beretningen.

II. Gennemgang af ministerens redegørelser

7. Det fremgik af beretningen, at Banedanmark samlet set ikke har sikret en tilfreds-

stillende it-sikkerhed i signalsystemet.

8. Transportministeren oplyser, at i lighed med de fleste andre dele af samfundet bli-

ver jernbanen stadig mere digitaliseret. Samtidig er der ingen tvivl om, at truslen fra

cyberangreb er stigende. Beretningen berører derfor ifølge ministeren vigtige problem-

stillinger.

Transportministeren oplyser, at Rigsrevisionen i beretningen har peget på en række

relevante områder, hvor Banedanmark konkret skal løfte sit sikkerhedsniveau. Bane-

danmark har oplyst, at de på nuværende tidspunkt har håndteret observationerne for

6 af beretningens 19 vurderingskriterier. Observationerne for 7 af vurderingskriterier-

ne forventes at være håndteret inden for 2 år. Banedanmark har endvidere oplyst, at

der vil gå mere end 2 år, før observationerne for 5 af vurderingskriterierne vil være

håndteret, og at Banedanmark er uenig i én af Rigsrevisionens vurderinger.

TRU, Alm.del - 2024-25 - Bilag 180: Rigsrevisionens § 18, stk. 4-notat til beretning nr. 7/2024 om it-sikkerheden i Banedanmarks signalsystem

Rigsrevisionen er bekendt med, hvilke af de 19 vurderingskriterier Banedanmark op-

lyser at have håndteret på nuværende tidspunkt, hvilke kriterier Banedanmark forven-

ter at håndtere fremadrettet, og hvilken vurdering Banedanmark er uenig i. Af hensyn

til fortrolighed fremgår dette ikke af notatet.

Rigsrevisionen vurderer, at det er væsentligt, at Banedanmark håndterer alle undersø-

gelsens vurderingskriterier. Rigsrevisionen bemærker i forhold til den ene vurdering,

som Banedanmark er uenig i, at der er tale om et væsentligt kriterie, og at Banedan-

mark er enig i Rigsrevisionens anbefalinger, der knytter sig til kriteriet. Rigsrevisionen

vil følge op på alle undersøgelsens vurderingskriterier.

9. Transportministeren oplyser, at der aktuelt ikke er midler til at opretholde en jern-

bane uden efterslæb. Det gælder også på it- og teleområdet. Observationerne i beret-

ningen skal derfor balanceres med henblik på at sikre den højst mulige driftsstabilitet

og jernbanesikkerhed inden for den givne bevilling. Banedanmark prioriterer altid pas-

sagerernes sikkerhed samt overholdelse af lovkrav først, mens der derefter priorite-

res med henblik på at sikre størst mulig oppetid på jernbanen og dermed højst mulig

punktlighed for passagerne. Derfor kan tiltag til for eksempel klimasikring af spor blive

prioriteret over tiltag inden for it-sikkerhed ud fra en samlet risikobaseret vurdering.

10. Transportministeren oplyser, at Banedanmark har været ISO 27001-certificeret

siden 2021 og senest er blevet recertificeret i november 2024, og at Banedanmark så-

ledes opfylder kravene i ISO 27001 i henhold til lovgivningen herom.

Rigsrevisionen bemærker, at beretningen ikke handler om Banedanmarks ISO 27001-

certificering i henhold til lovgivningen herom. Beretningen vurderer i et vidt omfang,

om Banedanmark efterlever sine egne retningslinjer og sikkerhedspolitikker, der føl-

ger af ISO 27001. Rigsrevisionen finder det derfor væsentligt, at Transportministeriet

følger hurtigt op på de sårbarheder, som beretningen peger på.

11. Transportministeren oplyser, at det er afgørende, at passagererne kan have tillid til,

at det er sikkert at rejse med tog, og at det derfor er tilfredsstillende, at der ikke er fun-

det forhold, som omhandler passagerernes sikkerhed, men alene infrastrukturens til-

gængelighed og dermed risikoen for afbrydelser af driften.

Rigsrevisionen bemærker hertil, at Rigsrevisionens undersøgelse ikke indeholder en

vurdering af, om der er fundet forhold, som omhandler passagerernes sikkerhed. Det

fremgår af beretningen, at Banedanmark har oplyst, at problemerne, som Rigsrevisio-

nens undersøgelse har afdækket, ikke har betydning for passagerernes sikkerhed el-

ler sikkerheden i den generelle drift.

12. Rigsrevisionen vil fortsat følge Banedanmarks arbejde med at sikre en tilfredsstil-

lende it-sikkerhed i signalsystemet.

Birgitte Hansen

TRU, Alm.del - 2024-25 - Bilag 180: Rigsrevisionens § 18, stk. 4-notat til beretning nr. 7/2024 om it-sikkerheden i Banedanmarks signalsystem

Bilag 1. Folketingets behandling af beretningen

Beretning (nr.),

dato for Stats-

revisorernes

mødebehandling

og minister-

redegørelse(r)

It-sikkerheden i

Banedanmarks

signalsystem

(nr.

7/2024)

09-12-2024

Minister-

redegørelser:

Transport-

ministeren:

04-02-2025

Transport-

ministeren:

(supplerende):

17-02-2024

24-02-2025

Behandlet i

udvalg

Gennemgang ved

Statsrevisorerne

og Rigsrevisionen

Udvalgs-

spørgsmål (nr.)

Indkaldt til

samråd

Statsrevisorerne

har holdt møde

med ministeren

§ 20-spørgsmål

Finansudvalget:

12-12-2024

Transport-

udvalget:

10-12-2024

Udvalget for

Digitalisering og It:

12-12-2024

05-02-2025

Transport-

udvalget:

14-01-2025

Udvalget for

Digitalisering og It:

22-01-2025

Transport-

ministeren:

16-01-2025

(156)

16-01-2025

(158)

16-01-2025

(160)

25-02-2025

(235)

Transport-

udvalget:

23-01-2025