Udvalget for Digitalisering og It 2024-25
DIU Alm.del
Offentligt
Ministeriet for
Samfundssikkerhed og Beredskab
Dato:
Kontor:
29. november 2024
Kontor for Cyber- og In-
formationssikkerhed
Sagsbeh: Josefine Boolsen
Sagsnr.: Sagsnummer
Dok.:
Dokumentnummer
Besvarelse af spørgsmål nr. 21 (Alm. del) fra Udvalget for Digitalisering
og It
Hermed sendes besvarelse af spørgsmål nr. 21 (Alm. del), som Folketingets
Udvalg for Digitalisering og It har stillet til ministeren for samfundssikker-
hed og beredskab den 1. november 2024. Spørgsmålet er stillet efter ønske
fra Dina Raabjerg (KF).
Torsten Schack Pedersen
Side 1/3
DIU, Alm.del - 2024-25 - Endeligt svar på spørgsmål 21: Spm., om man i dag foretager tests lokalt for at vurdere og sikre, at virksomheder, installationer og organisationer i samfundskritiske sektorer er modstandsdygtige overfor cyberangreb
Spørgsmål nr. 21 (Alm. del) fra Folketingets Udvalg for Digitalisering og
It:
”Vil
ministeren oplyse, om man i dag foretager tests lokalt for
at vurdere og sikre, at virksomheder, installationer og organisa-
tioner i samfundskritiske sektorer er modstandsdygtige overfor
cyberangreb
eksempelvis på hospitaler, men også energikraft-
værker, myndigheder med ansvar for udbetaling af sociale ydel-
ser og forsyningsselskaber? Der henvises til, at blandt andet
visse typer af finansielle virksomheder er pålagt at foretage tests
af it- og cybersikkerheden, jf. § 333 i Lov om finansiel virksom-
hed. Såfremt man ikke udfører konkrete sikkerhedstests (penet-
rationstests), kan ministeren så bekræfte, at vurderingen af cy-
bersikkerheden alene baserer sig på formel overholdelse af krav
og regler og ikke virkelighedsnære test, der sikrer, at offentlige
virksomheder reelt er modstandsdygtige overfor cyberangreb?
Svar:
Ministeriet for Samfundssikkerhed og Beredskab har med den kongelige re-
solution den 29. august 2024 fået ressortoverført en række sagsområder fra
blandt andet Forsvarsministeriet og det daværende Digitaliserings- og Lige-
stillingsministerium vedrørende cybersikkerhed og digital informationssik-
kerhed. Det omfatter bl.a. opgaven med at vejlede og rådgive borgere, virk-
somheder og myndigheder inden for området. Det er en vigtig opgave, som
bl.a. implementeringen af NIS 2-direktivet vil være med til at sætte ram-
merne for.
Tilrettelæggelsen af beredskabet omkring den samfundskritiske infrastruk-
tur er afgørende for at skabe et sikkert og robust samfund. I Danmark følger
det grundlæggende af sektoransvarsprincippet, at den enkelte sektor skal
vurdere det konkrete risikobillede og træffe passende foranstaltninger. Det
vil dog være en central opgave for Ministeriet for Samfundssikkerhed og
Beredskab at rådgive og vejlede virksomheder og myndigheder på tværs af
sektorerne for at sikre et ensartet og tilfredsstillende niveau af cybersikker-
hed i Danmark.
Ministeriet for Samfundssikkerhed og Beredskab har til brug for besvarel-
sen af spørgsmålet indhentet en udtalelse fra Center for Cybersikkerhed
(CFCS), der har oplyst følgende:
Side 2/3
DIU, Alm.del - 2024-25 - Endeligt svar på spørgsmål 21: Spm., om man i dag foretager tests lokalt for at vurdere og sikre, at virksomheder, installationer og organisationer i samfundskritiske sektorer er modstandsdygtige overfor cyberangreb
”CFCS er bekendt med, at nogle myndigheder og virksomheder
som led i varetagelsen af ansvaret for deres cyber- og infor-
mationssikkerhed
anvender sikkerhedstest, herunder penetra-
tionstest. CFCS har dog ikke nærmere kendskab til anvendelsen
af test i de enkelte sektorer.
Det følger af § 1, stk. 1, i lov om Center for Cybersikkerhed, at
centeret har til opgave at understøtte et højt informationssikker-
hedsniveau i den informations- og kommunikationsteknologi-
ske infrastruktur som samfundsvigtige funktioner er afhængige
af.”
Herudover har Ministeriet for Samfundssikkerhed og Beredskab indhentet
en udtalelse fra Forsvarsministeriet, der har oplyst følgende:
”Forsvarsministeriet har den 21. november 2024 anmodet
For-
svarets Efterretningstjeneste (FE) om at bidrage til besvarelsen
af spørgsmål nr. 21 (alm. del) fra Udvalget for Digitalisering og
It, som er stillet til ministeren for samfundssikkerhed og bered-
skab.
FE kan til brug for besvarelsen oplyse følgende:
”Med henblik på at kunne rådgive myndigheder og
virksomheder om forebyggelse af sikkerhedshæn-
delser kan FE gennemføre forebyggende sikker-
hedstekniske undersøgelser, herunder penetrations-
test, når en myndighed eller en virksomhed har an-
modet centeret herom, jf. § 6 a. i lov om Center for
Cybersikkerhed.
Som led i en penetrationstest kan der udføres et si-
muleret angreb på et system eller netværk, hvor sår-
barheder og potentielle angrebsvektorer identifice-
res. På baggrund af undersøgelsen kan myndighe-
den eller virksomheden rådgives om, hvilke kon-
krete tiltag der kan gennemføres for at opnå et hø-
jere sikkerhedsniveau.””
Side 3/3