Finansudvalget 2022-23 (2. samling)
SB 3 5
Offentligt
2755443_0001.png
Beretning Nr. 3 Rigsrevisionens fortsatte notat af 19. september 2023
Oktober 2023
Rigsrevisionens notat om
beretning om
statens it-beredskab
 Statsrevisorerne beretning SB3/2022 - Bilag 5: Rigsrevisionens fortsatte notat af 19. september 2023
2755443_0002.png
2.. 1.
Fortsat notat til Statsrevisorerne
1
Opfølgning i sagen om statens it-beredskab
(beretning nr. 3/2022)
19. september 2023
RN 1115/23
I. Baggrund og konklusion
1. Rigsrevisionen følger i dette notat op på sagen om statens it-beredskab, som blev
indledt med en beretning i november 2022. Opfølgningen sker med henblik på at vur-
dere, om ministeriernes initiativer adresserer den kritik, der fremgår af Statsrevisorer-
nes bemærkninger og Rigsrevisionens beretning. Vi har tidligere behandlet sagen i no-
tat til Statsrevisorerne af 10. februar 2023. Både beretningen, notatet fra februar 2023
og dette notat er også afgivet i fortrolige udgaver til Statsrevisorerne.
2. Beretningen handlede om, hvorvidt staten havde et tilfredsstillende it-beredskab
for 13 udvalgte samfundskritiske it-systemer, så staten kan opretholde samfundskri-
tiske funktioner i tilfælde af større it-hændelser.
3. Da Statsrevisorerne behandlede beretningen, kritiserede de, at de undersøgte myn-
digheder ikke havde et tilfredsstillende it-beredskab, der kunne sikre, at en række
samfundskritiske opgaver uforstyrret og fortsat kunne løses, selv om der skulle ske
større it-nedbrud eller datatab.
Beretningen viste, at ministerierne ikke havde sikret et tilfredsstillende it-beredskab
på følgende områder, som vi har fulgt op på:
Sagsforløb for en større
undersøgelse
Beretning
Ministerredegørelse
§ 18, stk. 4-notat
Fortsat notat
Sagen afsluttes
Du kan læse mere om
forløbet og de enkelte step
www.rigsrevisionen.dk
myndighedernes grundlag for it-beredskabet
myndighedernes it-krisestyringsplaner og test heraf
myndighedernes reetableringsplaner
myndighedernes test af reetableringsplanerne
ministeriernes tilsyn med de undersøgte myndigheders it-beredskab.
Typer af it-beredskabs-
planer
Reetableringsplan: Plan for,
hvordan et it-system rent
teknisk skal reetableres i en
beredskabssituation.
Krisestyringsplan: Plan for
myndighedernes interne kri-
sestyring i en beredskabs-
situation med større it-ned-
brud.
 Statsrevisorerne beretning SB3/2022 - Bilag 5: Rigsrevisionens fortsatte notat af 19. september 2023
2755443_0003.png
2
Konklusion
Generelt finder Rigsrevisionen det tilfredsstillende, at myndighederne har gennemført
initiativer til at rette op på deres it-beredskab. Myndighederne er dog ikke færdige med
at løse alle problemer, bl.a. har myndighederne stadig ikke sikret, at it-systemernes re-
etableringsplaner er tilstrækkeligt testet.
Rigsrevisionen finder det tilfredsstillende, at alle myndigheder nu har etableret et til-
fredsstillende grundlag for it-beredskabet ved at udarbejde risikovurderinger og kort-
lægge systemafhængigheder for de undersøgte samfundskritiske it-systemer. Rigsrevi-
sionen finder det desuden tilfredsstillende, at alle myndigheder har implementeret til-
fredsstillende it-krisestyringsplaner og har testet planerne. Rigsrevisionen vurderer på
den baggrund, at disse dele af sagen kan afsluttes.
Rigsrevisionens opfølgning viser, at myndighederne har forbedret deres reetablerings-
planer for de undersøgte it-systemer, men at nogle af planerne stadig mangler én eller
flere centrale elementer, som bør fremgå af en reetableringsplan. Alle myndighederne
mangler fortsat at få testet systemernes reetableringsplaner tilstrækkeligt, men flere af
myndighederne har planer om at teste dem i 2023 og 2024. Endelig har ministerierne
planer om at føre tilsyn med it-beredskabet hos de undersøgte myndigheder, men til-
synene er endnu ikke udført.
Rigsrevisionen vil fortsat følge udviklingen og orientere Statsrevisorerne om:
myndighedernes arbejde med at sikre tilfredsstillende reetableringsplaner for de
undersøgte samfundskritiske it-systemer
myndighedernes arbejde med at sikre tilfredsstillende tests af reetableringsplaner -
ne for de undersøgte samfundskritiske it-systemer
ministeriernes tilsyn med it-beredskabet hos de undersøgte myndigheder.
4. Hele sagen kan følges på www.rigsrevisionen.dk og på www.ft.dk/Statsrevisorerne.
Birgitte Hansen