Finansudvalget 2023-24
SB 5 1
Offentligt
2795147_0001.png
December 2023
— 5/2023
Rigsrevisionens beretning afgivet
til Folketinget med Statsrevisorernes
bemærkninger
Statens it-beredskab II
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
5/2023
Beretning om
statens it-beredskab II
Statsrevisorerne fremsender denne beretning med
deres bemærkninger til Folketinget og vedkommende
minister, jf. § 3 i lov om statsrevisorerne og § 18, stk. 1,
i lov om revisionen af statens regnskaber m.m.
København 2023
Denne beretning til Folketinget skal behandles ifølge lov om revisionen af statens regnskaber, § 18:
Statsrevisorerne fremsender med deres bemærkning Rigsrevisionens beretning til Folketinget og vedkom-
mende minister.
Ministrene afgiver en redegørelse til beretningen.
Rigsrevisor afgiver et notat med bemærkninger til ministrenes redegørelser.
På baggrund af ministrenes redegørelser og rigsrevisors notat tager Statsrevisorerne endelig stilling til beret-
ningen, hvilket forventes at ske i marts 2024.
Ministrenes redegørelser, rigsrevisors bemærkninger og Statsrevisorernes eventuelle bemærkninger samles
i Statsrevisorernes Endelig betænkning over statsregnskabet, som årligt afgives til Folketinget i februar må -
ned
i dette tilfælde Endelig betænkning over statsregnskabet 2023, som afgives i februar 2025.
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
2795147_0003.png
Statsrevisorernes bemærkning tager udgangspunkt i denne karakterskala:
Karakterskala
Positiv kritik
finder det meget/særdeles positivt
finder det positivt
finder det tilfredsstillende/er tilfredse med
finder det ikke helt tilfredsstillende
finder det utilfredsstillende/er utilfredse med
påpeger/understreger/henstiller/forventer
beklager/finder det bekymrende/foruroligende
kritiserer/finder det kritisabelt/kritiserer skarpt/indskærper
påtaler/påtaler skarpt
påtaler skarpt og henleder særligt Folketingets opmærksomhed på
Kritik under middel
Middel kritik
Skarp kritik
Skarpeste kritik
Henvendelse vedrørende
denne publikation rettes til:
Statsrevisorerne
Folketinget
Christiansborg
1240 København K
Tlf.: 3337 5987
[email protected]
www.ft.dk/statsrevisorerne
ISSN 2245-3008
ISBN online 978-87-7434-826-9
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
2795147_0004.png
Statsrevisorernes bemærkning
Statsrevisorernes
bemærkning
Statsrevisorerne
Beretning om statens it-beredskab II
Center for Cybersikkerhed under Forsvarets Efterretningstjeneste vurde-
rer, at truslen i Danmark fra cyberkriminalitet og cyberspionage er meget
høj, og at truslen fra cyberaktivisme er høj.
Denne beretning omhandler it-beredskabet for 12 samfundskritiske it-sy-
stemer i henholdsvis Indenrigs- og Sundhedsministeriet, Erhvervsstyrel-
sen, Søfartsstyrelsen og 4 andre anonymiserede myndigheder
1)
.
Dette er den anden undersøgelse af it-beredskabet for statens samfunds-
kritiske it-systemer, som i alt udgøres af ca. 90 it-systemer. Den første un-
dersøgelse,
beretning nr. 3/2022 om statens it-beredskab,
fra november
2022 omhandlede 13 samfundskritiske it-systemer. Statsrevisorerne kriti-
serede dengang, at der for ingen af de 13 it-systemer var sikret et tilfreds-
stillende it-beredskab. Statsrevisorerne sendte efterfølgende en opfor-
dring til alle ministre om at identificere ministerområdets samfundskriti-
ske it-systemer og styrke it-beredskabet. Derudover har Rigsrevisionen af-
holdt et informationsmøde for alle ministerier om, hvordan man kan styr-
ke it-beredskabet.
Statsrevisorerne kritiserer, at der for 7 af de 12 undersøgte samfunds-
kritiske it-systemer ikke er sikret et tilfredsstillende it-beredskab. Det
indebærer risiko for, at staten ikke kan opretholde eller markant får
forstyrret løsningen af samfundskritiske opgaver i tilfælde af større it-
nedbrud, hackerangreb, fysiske skader e.l.
Statsrevisorerne finder det særdeles nødvendigt, at de undersøgte
myndigheder hurtigst muligt får rettet op på de mangler i it-beredska-
bet, som Rigsrevisionen har påpeget. Det gælder især test af it-bered-
skabsplanerne og kvaliteten af planerne.
4. december 2023
Mette Abildgaard
Leif Lahn Jensen
Mikkel Irminger Sarbo
Serdal Benli
Lars Christian Lilleholt
Monika Rubin
1)
Alle 12 samfundskritiske it-systemer og 4 ud af 7 myndigheder er anonymiseret i beretningen, da myndighe-
derne vurderer, at oplysninger om myndighedernes it-beredskab er fortrolige, jf. forvaltningsloven og straffe-
loven.
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
2795147_0005.png
Statsrevisorernes bemærkning
Statsrevisorerne konstaterer, at Indenrigs- og Sundhedsministeriet
har etableret et it-beredskab, der i overvejende grad er tilfredsstillen-
de. Statsrevisorerne konstaterer også, at Erhvervsstyrelsen og Søfarts-
styrelsen delvist har etableret et tilfredsstillende it-beredskab, dog
med visse mangler.
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
Indholdsfortegnelse
1. Introduktion og konklusion
.......................................................................................................
1
1.1. Formål og konklusion
.......................................................................................................................
1
1.2. Baggrund
...............................................................................................................................................
4
1.3. Revisionskriterier, metode og afgrænsning
...........................................................................
6
2. Grundlaget for it-beredskabet
................................................................................................
8
2.1. Kortlægning af it-systemernes afhængigheder til andre it-systemer
........................
8
2.2. Risikovurderinger
..............................................................................................................................
9
2.3. Ministeriernes tilsyn med it-beredskabet
............................................................................
11
3. Krisestyringsplaner
..................................................................................................................
12
3.1. Myndighedernes krisestyringsplaner
....................................................................................
12
3.2. Test af krisestyringsplaner
.........................................................................................................
15
4. Nødplaner for it-systemerne
.................................................................................................
17
4.1. Nødplaner
...........................................................................................................................................
18
4.2. Test af nødplaner............................................................................................................................ 19
5. Reetableringsplaner for it-systemerne
.............................................................................
21
5.1. Reetableringsplaner
......................................................................................................................
22
5.2. Test af reetableringsplaner
........................................................................................................
26
Bilag 1. Metodisk tilgang
.................................................................................................................................
29
Bilag 2. Undersøgelsens revisionskriterier
.............................................................................................
35
Bilag 3. Myndighedernes samlede resultater
.......................................................................................
37
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
Rigsrevisionen har selv taget initiativ til denne undersøgelse og af-
giver derfor beretningen til Statsrevisorerne i henhold til § 17, stk. 2,
i rigsrevisorloven, jf. lovbekendtgørelse nr. 101 af 19. januar 2012.
Rigsrevisionens mandat til at gennemføre undersøgelsen følger af
§ 2, stk. 1, nr. 1, jf. § 3 i rigsrevisorloven.
Beretningen har i udkast været forelagt de undersøgte ministerier,
hvis bemærkninger i videst muligt omfang er afspejlet i beretningen.
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
2795147_0008.png
2
|
Introduktion og konklusion.. Introduktion og konklusion
|
1.
Introduktion og konklusion |
1
1. Introduktion og
konklusion
Anonymisering af myndigheder og systemnavne
Beretningen indeholder vurderinger af sikkerhedsmæssige procedurer i relation til offentlige it-systemer, der indgår i den
samfundskritiske it-infrastruktur. Nogle af de undersøgte myndigheder og alle systemnavne er anonymiseret i beretningen.
Det skyldes, at myndighederne konkret vurderer, at oplysninger om myndighedernes it-beredskab er fortrolige oplysninger,
jf. forvaltningslovens § 27 og straffelovens § 152. Da Rigsrevisionen ikke har grundlag for at tilsidesætte denne vurdering, vil
4 myndigheder og alle systemnavne være anonymiseret i beretningen. Anonymiseringen betyder, at de 4 myndigheder om-
tales som myndighed 1, 2, 3 og 4, og at it-systemerne omtales som system A-L, i beretningen.
1.1.
Formål og konklusion
Samfundskritisk it-system
1. Denne beretning handler om statens it-beredskab for udvalgte samfundskritiske it-
systemer.
Offentlige myndigheder er afhængige af it-systemer for at kunne løse deres opgaver.
Større it-nedbrud og tab af data i myndighedernes samfundskritiske it-systemer kan
have store konsekvenser for både staten, borgere og virksomheder. Det er derfor af-
gørende, at myndighederne har et tilstrækkeligt it-beredskab på plads, så de ved et
større it-nedbrud kan videreføre driften og minimere konsekvenserne af nedbruddet.
2. I staten er der ca. 90 it-systemer, som ministerierne vurderer er samfundskritiske.
Rigsrevisionen afgav i november 2022 en beretning til Statsrevisorerne, som handle-
de om it-beredskabet for 13 af statens samfundskritiske it-systemer. Undersøgelsen
viste, at der for ingen af de 13 it-systemer var implementeret et tilfredsstillende it-be-
redskab, og at det for størstedelen af systemerne ikke var testet, om systemerne kun-
ne reetableres ved et stort it-nedbrud. Rigsrevisionen har i oktober 2023 fulgt op på
beretningen. Opfølgningen viser, at der er sket forbedringer i it-beredskabet for de 13
undersøgte it-systemer.
Rigsrevisionen afdækker i denne nye beretning it-beredskabet for yderligere 12 sam-
fundskritiske it-systemer.
Et samfundskritisk it-system
er et it-system, hvor større
driftsforstyrrelser resulterer i
væsentlige udfordringer for
samfundet som helhed, fx:
økonomiske tab for staten,
borgere eller virksomheder
længerevarende nedbrud af
kritisk infrastruktur
trusler mod den nationale
sikkerhed.
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
2795147_0009.png
2
| Introduktion og konklusion
3. Figur 1 viser de myndigheder og antallet af it-systemer, som indgår i undersøgelsen.
Figur 1
Myndigheder og it-systemer i Rigsrevisionens undersøgelse
Indenrigs- og
Sundheds-
ministeriet
System A
Erhvervs-
styrelsen
System B
Myndighed
1
System C
System D
Myndighed
2
System E
Myndighed
3
System F
System G
Myndighed
4
System H
System I
Søfarts-
styrelsen
System J
System K
System L
Større it-hændelser, hvor
myndighederne har brug
for et it-beredskab
Større it-hændelser kan være
situationer, hvor et it-system
bliver utilgængeligt, fx ved
hackerangreb, fysiske skader
på datacentre eller fejl på ser-
vere.
Større it-hændelser kan også
indebære tab af data i et it-sy-
stem. Datatab kan opstå ved,
at data ikke kan genskabes ud
fra en backup, fx efter et it-
nedbrud eller hackerangreb.
Typer af it-beredskabs-
planer
Krisestyringsplan: Plan for
4. Formålet med undersøgelsen er at vurdere, om staten har et tilfredsstillende it-be-
redskab for 12 udvalgte samfundskritiske it-systemer, så staten kan opretholde sam-
fundskritiske funktioner i tilfælde af større it-hændelser. Vi besvarer følgende spørgs-
mål i beretningen:
Har staten et tilfredsstillende grundlag for at etablere et it-beredskab for de ud-
valgte samfundskritiske it-systemer?
(kapitel 2)
Har staten implementeret tilfredsstillende krisestyringsplaner for de udvalgte
samfundskritiske it-systemer?
(kapitel 3)
Har staten implementeret tilfredsstillende nødplaner for de udvalgte samfunds-
kritiske it-systemer?
(kapitel 4)
Har staten sikret, at der er implementeret tilfredsstillende reetableringsplaner for
de udvalgte samfundskritiske it-systemer?
(kapitel 5)
I kapitel 3, 4 og 5 har vi både undersøgt, om de 3 typer af it-beredskabsplaner er ud-
arbejdet, og om planerne er testet.
Rigsrevisionen har selv taget initiativ til undersøgelsen i februar 2023. Undersøgelsen
dækker perioden fra januar 2020 til og med marts 2023.
myndighedernes interne
krisestyring og kommunika-
tion til eksterne parter.
Nødplan: Plan for, hvordan
myndigheden viderefører
de opgaver, som påvirkes,
hvis der er nedbrud på kriti-
ske it-systemer.
Reetableringsplan: Plan for,
hvordan et it-system skal
reetableres efter et ned-
brud.
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
2795147_0010.png
Introduktion og konklusion |
3
Hovedkonklusion
Indenrigs- og Sundhedsministeriet har for sit samfundskritiske it-system
sikret et it-beredskab, der i overvejende grad er tilfredsstillende. Dele af it-
beredskabet for Erhvervsstyrelsens og Søfartsstyrelsens 4 samfundskritiske
it-systemer er ligeledes i overvejende grad tilfredsstillende, men der er dog
mangler. For de resterende 7 samfundskritiske it-systemer er der ikke et til-
fredsstillende it-beredskab. Særligt er it-beredskabet mangelfuldt for 5 af
it-systemerne (system
C, D, E, F
og
G).
Konsekvensen af manglerne i it-bered-
skabet er, at der er risiko for, at it-nedbrud og datatab medfører, at staten
ikke kan opretholde eller markant får forstyrret løsningen af samfundskri-
tiske opgaver.
For halvdelen af it-systemerne har myndighederne etableret et tilstrækkeligt grundlag
for it-beredskabet i form af risikovurderinger og overblik over, hvilke andre it-systemer
der er afgørende for, at de udvalgte it-systemer kan fungere.
For hovedparten af it-systemerne har myndighederne udarbejdet it-beredskabsplaner,
men der er stor variation i planernes kvalitet. Enkelte af it-beredskabsplanerne er til-
fredsstillende, mens andre har betydelige mangler. Det gælder særligt for reetablerings-
planerne. Fx mangler der i over halvdelen af planerne beskrivelser af, hvordan it-syste-
merne teknisk kan reetableres efter et større it-nedbrud. For enkelte it-systemer er der
ikke udarbejdet it-beredskabsplaner.
Kun et fåtal af it-beredskabsplanerne er blevet testet. Det finder Rigsrevisionen utilfreds-
stillende, da det betyder, at myndighederne ikke har trænet beredskabet og dermed
ikke ved, om it-beredskabsplanerne virker efter hensigten. Fx har myndighederne for
hovedparten af it-systemerne ikke testet, om systemerne kan reetableres efter et stør-
re it-nedbrud.
Hovedparten af ministerierne har ført tilsyn med it-beredskabet. På trods heraf viser
undersøgelsen, at der er betydelige mangler i myndighedernes it-beredskabsplaner og
i myndighedernes tests af planerne.
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
2795147_0011.png
2
|
Reetableringsplaner for it-systemerne.. Reetableringsplaner for it-systemerne
|
1.
4
| Introduktion og konklusion
1.2. Baggrund
Eksempel på it-nedbrud
I juni 2022 var der et stort ned-
brud på NemID. Nedbruddet
varede i ca. 5 dage og betød,
at 30 % af brugerne ikke kun-
ne bruge tjenesten til at tilgå
fx e-Boks, borger.dk og net-
bank.
Kilde:
Digitaliseringsstyrelsen.
5. It-beredskabet er en del af myndighedernes samlede beredskab. Beredskabet skal
kunne håndtere ekstraordinære hændelser, der ikke kan klares gennem de normale
arbejdsgange og den daglige drift. It-beredskabet handler om, hvordan myndigheder-
ne kan opretholde eller reetablere de it-systemer, som myndighederne er afhængige
af for at kunne varetage deres kritiske funktioner. Figur 2 viser eksempler på hændel-
ser, hvor det kan være nødvendigt for myndighederne at aktivere deres it-beredskab.
Figur 2
Eksempler på hændelser, hvor myndigheder kan aktivere it-bered-
skabet
Fysiske
skader
Fejl på
serveren
Strømafbrydelse
og netværks-
afbrydelse
Hackerangreb
Kritisk
it-hændelse
Menneskelige
fejl
Kilde:
Rigsrevisionen.
6. Det overordnede princip for beredskabet (herunder it-beredskabet) i Danmark er
sektoransvarsprincippet. Det betyder, at den myndighed, som til daglig har ansvaret
for en opgave og de tilhørende it-systemer, også har ansvaret under en større it-hæn-
delse eller katastrofe. Det er derfor den enkelte myndighed, der har ansvaret for at
sikre et tilstrækkeligt it-beredskab på sit område.
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
Introduktion og konklusion |
5
Krav til it-beredskabet
7. Offentlige myndigheder har siden 2016 skullet følge den internationale standard for
informationssikkerhed ISO 27001. ISO 27001 består af en række kontrolmål inden for
informationssikkerhed. Flere af kontrolmålene vedrører it-beredskabet.
Ifølge ISO 27001 skal myndighederne planlægge it-beredskabet ved at vurdere, hvilke
forhold og elementer der er relevante at tage højde for i it-beredskabet, herunder kort-
lægge systemafhængigheder og væsentlige risici for it-systemerne. Myndighederne
skal udarbejde it-beredskabsplaner på baggrund af den viden, som myndighederne
har kortlagt. Endvidere skal myndighederne teste it-beredskabsplanerne for at vurde-
re, om procedurerne for beredskabet er på plads, og for at træne relevante medarbej-
dere i beredskabshåndteringen. Testen skal evalueres, og på baggrund heraf skal it-
beredskabsplanen eventuelt justeres.
8. Vi har valgt at fokusere på 3 typer af it-beredskabsplaner i undersøgelsen af sta-
tens it-beredskab:
krisestyringsplaner, nødplaner
og
reetableringsplaner,
som skal
håndtere forskellige opgaver inden for it-beredskabet. Myndighederne kan strukture-
re it-beredskabet på forskellige måder og kan derfor have en anden opdeling af it-be-
redskabsplanerne eller have andre betegnelser for planerne. Det er vigtigt, at it-be-
redskabsplanerne er på plads, før en beredskabssituation opstår, for at minimere
eventuelle følgevirkninger af et større it-nedbrud eller datatab.
Krisestyringsplaner
beskriver myndighedens interne krisestyring ved et større it-ned-
brud. En krisestyringsplan fastlægger, hvordan myndigheden skal håndtere et ned-
brud og sikre, at alle relevante personer bliver informeret og kender deres roller i en
beredskabssituation. Krisestyringsplanen omfatter også myndighedens plan for kom-
munikation til eksterne parter, som er afhængige af at anvende de it-systemer, der
utilgængelige. Det kan fx være borgere, virksomheder og andre offentlige myndighe-
der som fx kommuner og regioner.
Nødplaner
beskriver, hvilke nødprocedurer myndigheden eventuelt kan tage i brug i
tilfælde af et nedbrud på de it-systemer, som normalt varetager opgaverne. Det kan
fx betyde, at myndigheden må bruge manuelle procedurer eller alternative it-syste-
mer for at løse sine opgaver.
Reetableringsplaner
beskriver, hvordan it-systemer teknisk reetableres efter et ned-
brud. Ved it-systemer, der er driftet af myndigheden, er det myndigheden selv, som
skal udarbejde og teste reetableringsplanerne. Hvis et it-system er driftet af en eks-
tern leverandør, er det typisk leverandøren, som står for at reetablere systemet og ud-
arbejde en reetableringsplan. Det er myndighedens ansvar at sikre, at der er reetable-
ringsplaner, og at stille krav til leverandørernes reetableringsplaner.
Informationssikkerhed
It-beredskabet er en del af in-
formationssikkerheden, som
bl.a. har til formål at sikre in-
formationer i forhold til fortro-
lighed, integritet (ændring af
data) og tilgængelighed.
Eksempel på it-nedbrud
I juli 2023 blev 12 ud af 16 nor-
ske ministerier, herunder det
norske sundhedsministerium
og det norske finansministe-
rium, ramt af et stort hacker-
angreb. Hackerangrebet be-
tød, at ministerierne ikke
kunne arbejde som normalt.
Hackerne havde fået adgang
til en it-platform, som de fleste
af ministerierne anvender.
Ifølge Norges nationale sikker-
hedsmyndighed har hackerne
udnyttet en svaghed i syste-
merne, som leverandøren eller
producenten ikke kendte til på
forhånd.
Kilde:
Politiken og Nasjonal sik-
kerhetsmyndighet.
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
6
| Introduktion og konklusion
1.3. Revisionskriterier, metode og afgrænsning
Revisionskriterier
9. Undersøgelsens revisionskriterier tager udgangspunkt i den internationale standard
for informationssikkerhed ISO 27001:2017, som myndighederne skal følge. Revisions-
kriterierne tager desuden udgangspunkt i Digitaliseringsstyrelsens vejledninger og
skabeloner, der konkretiserer, hvordan myndighederne i praksis kan implementere
ISO 27001. Enkelte steder har vi operationaliseret, hvordan ISO 27001 eller vejlednin-
ger kan forstås i forhold til samfundskritiske it-systemer. Dette er nærmere beskrevet
i bilag 1 og bilag 2, hvor der også er en oversigt over de kriterier, som vi har anvendt til
at vurdere myndighedernes it-beredskabsplaner (krisestyringsplaner, nødplaner og
reetableringsplaner) og myndighedernes tests af planerne.
Undersøgelsen tager udgangspunkt i, at myndighederne skal indtænke ekstraordinæ-
re hændelser i planlægningen af it-beredskabet for samfundskritiske it-systemer
og-
så selv om sandsynligheden for hændelsen kan forekomme at være lille.
I
kapitel 2
har vi undersøgt myndighedernes grundlag for at etablere et tilfredsstillende
it-beredskab. Det har vi gjort ved at undersøge, om myndighederne har kortlagt it-sy-
stemernes afhængigheder til andre it-systemer, og om myndighederne har udarbejdet
risikovurderinger af de udvalgte it-systemer. Vi har også undersøgt, om ministerierne
har ført tilsyn med myndighedernes it-beredskab.
I
kapitel 3
har vi undersøgt, om myndighederne har udarbejdet krisestyringsplaner,
som skal bruges, hvis der er nedbrud på et af myndighedernes samfundskritiske it-sy-
stemer. Vi har også undersøgt, om krisestyringsplanerne indeholder en række centra-
le elementer, som tager udgangspunkt i ISO 27001 og i Digitaliseringsstyrelsens vejled-
ning i it-beredskab. Derudover har vi undersøgt, om krisestyringsplanerne er testet.
I
kapitel 4
har vi undersøgt, om myndighederne har udarbejdet nødplaner for de ud-
valgte samfundskritiske it-systemer, og om nødplanerne indeholder centrale elemen-
ter, som tager udgangspunkt i ISO 27001 og i Digitaliseringsstyrelsens vejledning i it-
beredskab. Vi har også undersøgt, om nødplanerne er testet.
I
kapitel 5
har vi undersøgt, om myndighederne har sikret, at der er tilfredsstillende re-
etableringsplaner for de udvalgte samfundskritiske it-systemer. Det har vi gjort ved at
undersøge, om der er reetableringsplaner, som indeholder en række centrale elemen-
ter, der tager udgangspunkt i ISO 27001 og i Digitaliseringsstyrelsens vejledning i it-be-
redskab. Derudover har vi undersøgt, om reetableringsplanerne er testet.
Metode
10. Vi har udvalgt 12 it-systemer, der understøtter forskellige samfundskritiske funktio-
ner og opgaver i staten. Ansvaret for de 12 it-systemer er placeret hos Indenrigs- og
Sundhedsministeriet, Erhvervsstyrelsen, Søfartsstyrelsen og 4 andre myndigheder,
som er anonymiseret i beretningen. De 4 myndigheder benævnes myndighed 1, 2, 3
og 4.
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
Introduktion og konklusion |
7
11. Vi har som grundlag for undersøgelsen indhentet og gennemgået dokumenter om
it-beredskabet for de 12 it-systemer. For it-systemerne har vi gennemgået myndighe-
dernes kortlægning af systemafhængigheder og risikovurderinger samt it-beredskabs-
planer (krisestyringsplaner, nødplaner og reetableringsplaner) og testrapporter for at
vurdere, om planerne og rapporterne indeholder de mest centrale elementer. Derud-
over har vi for de it-systemer, som er driftet af eksterne leverandører, indhentet kon-
traktbilag, som vedrører it-beredskabet.
Vi har holdt møder med relevante medarbejdere i myndighederne for at stille spørgs-
mål til it-beredskabet for de udvalgte it-systemer.
12. Revisionen er udført i overensstemmelse med standarderne for offentlig revision,
jf. bilag 1.
Afgrænsning
13. Undersøgelsen handler om planlægning og udarbejdelse af it-beredskabsplaner i
form af krisestyringsplaner, nødplaner, reetableringsplaner og test af planerne i perio-
den januar 2020 - marts 2023. Det betyder, at vi fx ikke har undersøgt, hvordan it-
beredskabet rent faktisk har fungeret i en beredskabssituation. Derudover har vi af-
grænset os fra at undersøge myndighedernes forebyggelse af, at der opstår et større
it-nedbrud, men har kun fokus på det it-beredskab, som myndighederne skal iværk-
sætte, hvis der opstår et større it-nedbrud.
14. Vi har som udgangspunkt ikke undersøgt myndighedernes generelle beredskabs-
planer, som også kan omfatte beredskabssituationer såsom brand og naturkatastro-
fer. Myndighedernes generelle beredskabsplaner har dog indgået i undersøgelsen,
hvis de omfatter it-beredskabssituationer vedrørende større nedbrud, datatab mv. i
myndighedernes it-systemer.
15. I bilag 1 er undersøgelsens metodiske tilgang beskrevet. Bilag 2 er en oversigt over
undersøgelsens revisionskriterier. Bilag 3 er en oversigt over myndighedernes sam-
lede resultater.
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
2795147_0015.png
8
| Grundlaget for it-beredskabet
2. Grundlaget for it-
beredskabet
Delkonklusion
De undersøgte myndigheder har for halvdelen af de udvalgte it-systemer etableret et
tilstrækkeligt grundlag for deres it-beredskab. Særligt har Indenrigs- og Sundhedsmini-
steriet, myndighed 2 og Søfartsstyrelsen et tilfredsstillende grundlag for it-beredskabet.
Myndighederne har generelt kortlagt, hvilke afhængigheder de udvalgte it-systemer har
til andre it-systemer, men flere af myndighederne har mangler i risikovurderingerne af
it-systemerne.
Alle ministerierne undtagen Indenrigs- og Sundhedsministeriet har ført tilsyn med it-be-
redskabet på ministerområderne. På trods af at de fleste ministerier har ført tilsyn, er
der betydelige mangler i myndighedernes it-beredskab.
Eksempel på systemaf-
hængigheder
Nedbrud på NemID i juni 2022
betød, at det ikke var muligt at
tilgå en lang række andre it-
systemer. Fx var det ikke mu-
ligt for sundhedsfaglige perso-
ner at logge på et it-system,
som giver adgang til medicin-
oplysninger. Nedbruddet be-
tød også, at domstole og ad-
vokater ikke kunne logge på
hjemmesiden minretssag.dk,
som anvendes til sagsbehand-
ling af civile retssager.
Kilde:
Digitaliseringsstyrelsen,
Sundhedsdatastyrelsen og
Danmarks Domstole.
16. Dette kapitel handler om, hvorvidt myndighederne har et tilfredsstillende grundlag
for at etablere et it-beredskab for de 12 udvalgte samfundskritiske it-systemer.
17. Vi har undersøgt:
om myndighederne har kortlagt it-systemernes afhængigheder til andre it-syste-
mer
om myndighederne har udarbejdet risikovurderinger
om de ansvarlige ministerier har ført tilsyn med myndighedernes it-beredskab.
2.1. Kortlægning af it-systemernes afhængigheder til
andre it-systemer
18. Vi har undersøgt, om myndighederne har kortlagt, hvilke andre it-systemer, støtte-
systemer, platforme mv. de udvalgte samfundskritiske it-systemer er afhængige af
for at kunne fungere. Det er vigtigt at have et overblik over disse afhængigheder, da
et nedbrud på støttesystemer, platforme mv. kan betyde, at de samfundskritiske it-
systemer ikke fungerer. Tabel 1 viser, om myndighederne for de 12 udvalgte it-syste-
mer har kortlagt, hvilke systemafhængigheder der er til andre it-systemer.
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
2795147_0016.png
Grundlaget for it-beredskabet |
9
Tabel 1
Myndighedernes kortlægning af de udvalgte it-systemers systemafhængigheder
Indenrigs-
og Sundheds-
ministeriet
It-system
Systemafhængig-
hederne er kortlagt
Ja
Delvist
Nej
Kilde:
Rigsrevisionen på baggrund af dokumentation fra myndighederne.
Erhvervs-
styrelsen
B
Myndighed
1
C
Myndighed
2
E
Myndighed
3
F
Myndighed
4
H
Søfarts-
styrelsen
J
A
D
G
I
K
L
Det fremgår af tabel 1, at 6 af de 7 myndigheder har kortlagt, hvilke andre it-systemer,
støttesystemer, platforme mv. der er afgørende for, at de udvalgte it-systemer kan re-
etableres efter et nedbrud. Fx har Indenrigs- og Sundhedsministeriet for
system A
sik-
ret, at systemarkitekturen, herunder afhængigheder og sammenhænge til andre it-sy-
stemer, er beskrevet.
Undersøgelsen viser også, at myndighed 4 har udarbejdet en rækkefølge for reetable-
ring af sine it-systemer i tilfælde af, at flere systemer er utilgængelige samtidigt. For de
2 systemer er der dog fejl og mangler i rækkefølgen for reetablering.
2.2. Risikovurderinger
19. Ifølge ISO 27001 skal myndighederne ved planlægningen af informationssikkerhe-
den, herunder it-beredskabet, tage udgangspunkt i risici, som skal vurderes i forhold
til en række sårbarheder, trusler, konsekvenser og sandsynligheder. Vi har derfor un-
dersøgt:
om myndighederne har udarbejdet risikovurderinger af de udvalgte samfundskri-
tiske it-systemer, som kortlægger sårbarheder og trusler
om risikovurderingerne forholder sig til konsekvenserne af og sandsynligheden for,
at sårbarheder og trusler bliver udnyttet eller indtræffer
om risikovurderingerne er blevet forelagt ledelsen.
20. Undersøgelsen viser, at alle myndighederne har en nedskrevet procedure eller po-
litik for risikovurderinger. Procesbeskrivelserne handler fx om, hvordan der skal fore-
tages risikovurderinger, eller hvilke sårbarheder og trusler der skal vurderes for it-sy-
stemerne.
Undersøgelsen viser også, at det ikke er alle myndigheder, som har udarbejdet risiko-
vurderinger af de udvalgte samfundskritiske it-systemer, jf. tabel 2.
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
2795147_0017.png
10
| Grundlaget for it-beredskabet
Tabel 2
Myndighedernes risikovurderinger af de udvalgte samfundskritiske it-systemer
Indenrigs-
og Sundheds-
ministeriet
It-system
Der er udarbejdet
risikovurderinger,
som indeholder
vurderinger af sår-
barheder, trusler,
konsekvenser og
sandsynligheder
Ja
Delvist
Nej
Kilde:
Rigsrevisionen på baggrund af dokumentation fra myndighederne.
Erhvervs-
styrelsen
B
Myndighed
1
C
D
Myndighed
2
E
Myndighed
3
F
G
Myndighed
4
H
I
Søfarts-
styrelsen
J
K
L
A
Det fremgår af tabel 2, at Indenrigs- og Sundhedsministeriet, myndighed 2 og Søfarts-
styrelsen har udarbejdet risikovurderinger af alle deres udvalgte it-systemer. Myndig-
hed 1 og myndighed 4 har dog ikke udarbejdet risikovurderinger af henholdsvis
sy-
stem D
og
system I.
Risikovurderingerne af 3 af systemerne (system
B, F
og
G)
er kun delvist tilfredsstillen-
de, da de kun består af talvurderinger og ikke indeholder forklarende tekst. Der er der-
med risiko for, at risikovurderingerne er indforståede, og at det er svært for ledelserne
at agere på baggrund af dem. Både Erhvervsstyrelsen og myndighed 3 har oplyst, at
de har igangsat et arbejde med at forbedre deres risikovurderinger med en mere ud-
bygget beskrivelse af trusler og risici for it-systemerne.
21. Risici og trusler kan løbende ændre sig, og derfor skal myndighederne i henhold til
ISO 27001 jævnligt ajourføre deres risikovurderinger. Da der er tale om samfundskri-
tiske it-systemer, har Rigsrevisionen lagt til grund for sin vurdering, at risikovurderin-
gerne som minimum bør ajourføres årligt.
Undersøgelsen viser, at Indenrigs- og Sundhedsministeriet, Erhvervsstyrelsen og Sø-
fartsstyrelsen årligt har ajourført deres risikovurderinger. De resterende myndigheder
har ikke ajourført risikovurderingerne årligt i undersøgelsesperioden.
Mitigerende tiltag
Der er tale om mitigerende til-
tag, når myndighederne redu-
cerer en risiko ved at lave
kompenserende tiltag.
22. Ifølge ISO 27001 skal myndighedernes ledelser forelægges risikovurderingerne for
at være orienterede om de identificerede risici og for at kunne iværksætte mitigeren-
de tiltag.
Undersøgelsen viser, at de seneste risikovurderinger har været forelagt ledelsen i 6 af
myndighederne. Kun risikovurderingen af
system C
har ikke været forelagt ledelsen.
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
Grundlaget for it-beredskabet |
11
2.3. Ministeriernes tilsyn med it-beredskabet
23. Vi har undersøgt, om ministeriernes tilsyn med informationssikkerhed inden for
en 3-årig periode har omfattet it-beredskabet hos myndighederne. Det har vi under-
søgt ved at gennemgå tilsynsrapporterne for de undersøgte myndigheder for perio-
den 2020-2022. Oftest vil det være ministeriernes departementer, der udfører tilsy-
net med deres underliggende myndigheder, men ministerierne kan uddelegere tilsy-
net til en underliggende myndighed eller oprette interne tilsynsenheder i departemen-
terne.
24. Undersøgelsen viser, at alle ministerierne i undersøgelsen undtagen Indenrigs- og
Sundhedsministeriet hvert år har ført tilsyn med informationssikkerheden hos de un-
dersøgte myndigheder. Undersøgelsen viser også, at tilsynet i løbet af en 3-årig perio-
de har omhandlet it-beredskabet hos de underliggende myndigheder på ministerom-
råderne. På trods af at hovedparten af ministerierne har ført tilsyn med it-beredska-
bet, er der betydelige mangler i myndighedernes it-beredskab.
I undersøgelsesperioden januar 2020 -marts 2023 er der ikke blevet ført tilsyn med
informationssikkerheden hos Indenrigs- og Sundhedsministeriet, som har ansvaret
for
system A.
Dog er ledelsen i departementet blevet forelagt relevante dokumenter
vedrørende it-beredskabet for
system A,
uden at der er tale om et egentlig tilsyn. Mi-
nisteriet har oplyst, at ministeriet er i gang med at udarbejde et koncept for det frem-
tidige tilsyn i ministeriets koncern.
Tilsyn med it-beredskabet
Tilsyn med it-beredskabet in-
debærer, at ministerierne har
forholdt sig til, om myndighe-
derne har udarbejdet og testet
krisestyringsplaner, nødplaner
og reetableringsplaner.
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
2795147_0019.png
12
| Krisestyringsplaner
3. Krisestyringsplaner
Delkonklusion
Myndighederne har generelt udarbejdet tilfredsstillende planer for den interne krise-
styring ved større it-nedbrud. Én af krisestyringsplanerne er dog for overordnet og er
ikke udarbejdet til krisestyring ved større it-nedbrud.
Kun 3 af de undersøgte myndigheder har testet deres krisestyringsplaner, og kun Er-
hvervsstyrelsen har testet sin plan årligt. De resterende 4 myndigheder har ikke testet
deres krisestyringsplaner i løbet af undersøgelsesperioden.
25. Dette kapitel handler om myndighedernes interne krisestyringsplaner ved et stør-
re it-nedbrud. En krisestyringsplan fastlægger, hvordan myndigheden skal håndtere et
it-nedbrud og sikre, at alle relevante personer bliver informeret og kender deres roller
i en beredskabssituation.
26. Vi har undersøgt:
om myndighederne har implementeret tilfredsstillende krisestyringsplaner for de
udvalgte it-systemer, og om planerne indeholder en række centrale elementer
om krisestyringsplanerne er testet.
3.1. Myndighedernes krisestyringsplaner
27. Vi har undersøgt, om myndighederne har udarbejdet krisestyringsplaner for, hvor-
dan myndighederne internt skal håndtere større hændelser, som påvirker myndighe-
dernes samfundskritiske it-systemer.
Sikkerdigital.dk
På sikkerdigital.dk kan myn-
digheder, borgere og virksom-
heder finde vejledninger og
konkrete værktøjer til en sik-
ker digital hverdag. Bag sik-
kerdigital.dk står Digitalise-
ringsstyrelsen og en række
samarbejdspartnere.
Vi har gennemgået myndighedernes krisestyringsplaner for at vurdere, om planerne
er tilfredsstillende. Vi har lagt til grund, at en krisestyringsplan skal indeholde 5 centra-
le elementer, som er baseret på ISO 27001, på Digitaliseringsstyrelsens anbefalinger
til beredskabsplaner og på skabeloner til it-beredskabsplaner på sikkerdigital.dk. Fi-
gur 3 viser de 5 centrale elementer, som en tilfredsstillende krisestyringsplan som mi-
nimum bør indeholde. En tilfredsstillende krisestyringsplan indeholder alle 5 centrale
elementer og opnår en maksimal score på 100 point.
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
2795147_0020.png
Krisestyringsplaner |
13
Figur 3
Centrale elementer i en krisestyringsplan
Aktivering af
krisestyringsplanen
Fysisk tilgængelighed
Beskrivelser af, hvornår og af
hvem it-beredskabet aktiveres
Krisestyringsplanen foreligger
i et fysisk eksemplar, så planen
kan tilgås ved større it-hændel-
ser
Rolle- og ansvarsfordeling
Beskrivelser af rolle- og ansvars-
fordelingen internt hos myndig-
heden
Kontaktpersoner
Kontaktoplysninger på interne
og eksterne nøglepersoner
Krisestyringsplan
Kommunikation til interne
og eksterne aktører
Beskrivelser af, hvornår og
hvordan der kommunikeres til
interne og eksterne aktører
Kilde:
Rigsrevisionen på baggrund af ISO 27001 og Digitaliseringsstyrelsens vejledning i it-beredskab.
28. Undersøgelsen viser, at alle myndighederne med undtagelse af én myndighed
(myndighed 1) har udarbejdet krisestyringsplaner, der gælder på tværs af myndighe-
dernes it-systemer. Myndighed 1 har en generel beredskabsplan, som ifølge myndig-
heden ikke er designet specifikt til it-krisestyring. Enkelte dele af den generelle be-
redskabsplan kan dog tages i brug ved it-hændelser, og derfor indgår myndighedens
generelle beredskabsplan i vores vurderinger.
29. Figur 4 viser vores gennemgang af myndighedernes krisestyringsplaner.
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
2795147_0021.png
14
| Krisestyringsplaner
Figur 4
Samlet vurdering af myndighedernes krisestyringsplaner
100
80
60
Point
100
100
40
20
20
90
100
80
100
0
Indenrigs-
og Sundheds-
ministeriet
Erhvervs-
styrelsen
Myndighed Myndighed
1
2
Myndighed
3
Myndighed
4
Søfarts-
styrelsen
Elementer, der indgår i krisestyringsplanen
Elementer, der mangler i krisestyringsplanen
Kilde:
Rigsrevisionen vurdering på baggrund af dokumentation fra myndighederne.
Sammenligning af krise-
styringsplaner
For at vi kan sammenligne
myndighedernes krisesty-
ringsplaner, har vi tildelt pla-
nerne point efter, hvor mange
af de 5 centrale elementer der
indgår i planerne. En krisesty-
ringsplan opnår en score på
100 point, hvis planen indehol-
der alle 5 elementer. Vi har
vægtet de 5 elementer ligeligt,
og myndighederne kan derfor
opnå en score på maks. 20
point for hvert element.
Det fremgår af figur 4, at 4 af krisestyringsplanerne (Indenrigs- og Sundhedsministe-
riet, Erhvervsstyrelsen, myndighed 4 og Søfartsstyrelsen) indeholder alle de relevante
elementer. Vi gennemgår nedenfor undersøgelsens resultater for de resterende myn-
digheder.
Krisestyringsplanen for myndighed 1 mangler størstedelen af de elementer, der skal
fremgå af en krisestyringsplan. Både aktivering af krisestyringsplanen og kommunika-
tionsrammerne er delvist beskrevet i planen. Myndighed 1 har oplyst, at myndigheden
på baggrund af Rigsrevisionens undersøgelse er gået i gang med at udarbejde en it-kri-
sestyringsplan, som dog ikke dækker hele myndigheden, men ét af de udvalgte sam-
fundskritiske it-systemer.
Krisestyringsplanerne for myndighed 2 og myndighed 3 indeholder hovedparten af
de centrale elementer. Krisestyringsplanerne mangler dog kontaktoplysninger på in-
terne og eksterne nøglepersoner.
Årlig ajourføring
30. Vi har undersøgt, om krisestyringsplanerne er ajourført årligt. Krisestyringsplaner-
ne skal ajourføres for at sikre, at planerne indeholder de korrekte oplysninger.
31. Undersøgelsen viser, at krisestyringsplanerne for Indenrigs- og Sundhedsministe-
riet, Erhvervsstyrelsen og Søfartsstyrelsen er blevet ajourført årligt. Krisestyringspla-
nen for myndighed 4 er først blevet udarbejdet i 2021 og er derefter blevet ajourført
årligt. Krisestyringsplanerne for de øvrige 3 myndigheder (myndighed 1, 2 og 3) er ikke
blevet ajourført i undersøgelsesperioden.
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
2795147_0022.png
Krisestyringsplaner |
15
3.2. Test af krisestyringsplaner
32. Vi har undersøgt, om myndighederne har testet deres krisestyringsplaner i perio-
den januar 2020 - marts 2023. Krisestyringsplanerne skal med jævne mellemrum te-
stes og trænes af relevante personer for at sikre, at planerne understøtter en effektiv
intern krisestyring, hvis der er nedbrud på et af myndighedens it-systemer.
Vi har undersøgt, om krisestyringsplanerne er testet tilstrækkeligt, herunder:
om krisestyringsplanen er testet årligt
enten ved en planlagt test eller ved, at pla-
nen har været aktiveret ved en hændelse
om testrapporten indeholder testresultater
om testrapporten beskriver eventuelle forbedringsforslag.
33. Tabel 3 viser vores gennemgang af myndighedernes tests af krisestyringsplaner-
ne i perioden januar 2020 - marts 2023.
Tabel 3
Rigsrevisionens gennemgang af myndighedernes tests af krisestyringsplanerne
Indenrigs-
og Sundheds-
ministeriet
Krisestyringsplanen
er testet årligt
Resultater af testen
fremgår af testrap-
porten
Testrapporten
beskriver eventuelle
forbedringsforslag
Ja
Delvist
Nej
Note:
Ved ”-” er kriteriet ikke vurderet, da
krisestyringsplanen ikke er blevet testet.
Kilde:
Rigsrevisionen på baggrund af dokumentation fra myndighederne.
Erhvervs-
styrelsen
Myndighed
1
Myndighed
2
Myndighed
3
Myndighed
4
Søfarts-
styrelsen
-
-
-
-
-
-
-
-
Det fremgår af tabel 3, at Erhvervsstyrelsen, myndighed 4 og Søfartsstyrelsen har te-
stet deres krisestyringsplaner i undersøgelsesperioden. Indenrigs- og Sundhedsmini-
steriet og 3 myndigheder (myndighed 1, 2 og 3) har ikke testet deres krisestyringspla-
ner i undersøgelsesperioden.
Kun Erhvervsstyrelsen har testet sin krisestyringsplan hvert år i undersøgelsesperio-
den. Myndighed 4 har testet sin krisestyringsplan i 2021 og 2022, da planen først blev
udarbejdet i 2021.
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
16
| Krisestyringsplaner
Søfartsstyrelsens krisestyringsplan har været aktiveret 2 gange i undersøgelsesperio-
den og er i den forbindelse blevet testet.
Testrapporterne for Erhvervsstyrelsen og myndighed 4 indeholder både resultater
og forbedringsforslag. Søfartsstyrelsen har i forbindelse med én af it-hændelserne
udarbejdet en evaluering, hvor der fremgår forbedringsforslag, men ikke resultater af
myndighedens krisehåndtering af hændelsen.
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
2795147_0024.png
Nødplaner for it-systemerne |
17
4. Nødplaner for it-
systemerne
Delkonklusion
Myndighederne har udarbejdet tilfredsstillende nødplaner for størstedelen af de ud-
valgte it-systemer. For
system C, D
og
E
er der ikke udarbejdet nødplaner. Erhvervssty-
relsen har for
system B
kun haft en dækkende og tilfredsstillende nødplan i den sidste
måned af undersøgelsesperioden.
Kun 2 af de nødplaner, der er blevet udarbejdet, er blevet testet. Det er kun Erhvervs-
styrelsens nødplan, der er blevet testet tilstrækkeligt.
34. Dette kapitel handler om myndighedernes nødplaner. En nødplan beskriver, hvilke
nødprocedurer myndigheden eventuelt kan tage i brug i tilfælde af et nedbrud på de
it-systemer, som normalt varetager opgaverne. Fx kan myndigheden bruge manuelle
procedurer eller alternative it-systemer til at løse opgaverne.
35. Vi har undersøgt:
om myndighederne har implementeret tilfredsstillende nødplaner for de udvalgte
samfundskritiske it-systemer
om nødplanerne er testet.
36. Ansvaret for at udarbejde nødplaner ligger hos de aktører, som anvender it-syste-
merne. For 11 af de 12 udvalgte it-systemer er det myndighederne selv, der anvender
systemerne og derfor har ansvaret for at udarbejde nødplaner. Indenrigs- og Sund-
hedsministeriet anvender ikke selv
system A,
men ministeriet stiller systemet til rådig-
hed for en lang række eksterne aktører.
System A
indgår derfor ikke i denne del af un-
dersøgelsen.
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
2795147_0025.png
18
| Nødplaner for it-systemerne
4.1. Nødplaner
37. Vi har undersøgt, om myndighederne har udarbejdet nødplaner for de udvalgte it-
systemer. Vi har med udgangspunkt i ISO 27001 undersøgt:
om myndighedernes nødplaner beskriver de procedurer, der skal iværksættes for
at opretholde kritiske opgaver og forretningsprocesser ved nedbrud på it-syste-
merne
om det er beskrevet i nødplanerne, hvor planerne er tilgængelige
om nødplanerne er ajourført årligt.
38. Tabel 4 viser vores gennemgang af myndighedernes nødplaner.
Tabel 4
Rigsrevisionens gennemgang af myndighedernes nødplaner
Indenrigs-
og Sundheds-
ministeriet
It-system
Nødplanen beskri-
ver, hvilke procedu-
rer der skal iværk-
sættes for at opret-
holde kritiske opga-
ver og forretnings-
processer
Det er beskrevet i
nødplanen, hvor den
er tilgængelig
Nødplanen er ajour-
ført årligt
A
Erhvervs-
styrelsen
B
Myndighed
1
C
D
Myndighed
2
E
Myndighed
3
F
G
Myndighed
4
H
I
Søfarts-
styrelsen
J
K
L
1)
Ingen
plan
Ingen
plan
Ingen
plan
1)
-
-
-
-
-
-
Ja
Delvist
Nej
Ikke relevant
1)
Erhversstyrelsens nødplan for
system B,
som ligger til grund for vurderingen, er fra marts 2023. Nødplanen har dermed først været gældende fra
den sidste måned af undersøgelsesperioden.
Note:
Ved ”-” er kriteriet ikke vurderet, da der ikke er udarbejdet en nødplan.
Kilde:
Rigsrevisionen på baggrund af dokumentation fra myndighederne.
Det fremgår af tabel 4, at Søfartsstyrelsen har udarbejdet tilfredsstillende nødplaner
for de 3 udvalgte it-systemer. Myndighed 1 og myndighed 2 har ikke udarbejdet nød-
planer for
system C, D
og
E.
Myndighed 1 har oplyst, at myndigheden er ved at udar-
bejde en nødplan for
system C,
som forventes at være færdig i 4. kvartal 2023. Rigs-
revisionens vurderinger af de øvrige nødplaner gennemgås nedenfor.
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
Nødplaner for it-systemerne |
19
Erhvervsstyrelsen
39. Undersøgelsen viser, at Erhvervsstyrelsens nødplan fra marts 2023 for
system B
indeholder de procedurer, der skal iværksættes for at opretholde kritiske opgaver og
forretningsprocesser. Frem til marts 2023 har en tidligere version af nødplanen kun
indeholdt procedurer for nedbrud på understøttende it-systemer, som
system B
er
afhængig af. Nødplanen frem til marts 2023 har derfor ikke været tilfredsstillende.
Det fremgår af Erhvervsstyrelsens generelle beredskabsplan, hvor styrelsens bered-
skabsplaner skal være tilgængelige. Det er Rigsrevisionens vurdering, at det er uhen-
sigtsmæssigt, at det ikke også fremgår af selve nødplanen fra marts 2023. Erhvervs-
styrelsen har oplyst, at styrelsen vil angive i nødplanen, hvor den skal være tilgænge-
lig.
Myndighed 3
40. Undersøgelsen viser, at myndighed 3 har udarbejdet en nødplan for
system F.
Nødplanen forelå ved undersøgelsestidspunktet i en foreløbig version og var ikke ble-
vet forelagt ledelsen. I forlængelse af undersøgelsen har myndighed 3 oplyst, at myn-
digheden stiller systemet til rådighed for en anden offentlig myndighed, som anvender
systemet. Myndigheden vil derfor overveje, om det fremover er myndigheden selv el-
ler andre aktører, som skal udarbejde en nødplan for systemet.
Nødplanen for
system G
er udarbejdet i november 2022, og der har derfor ikke været
en nødplan for systemet i hovedparten af undersøgelsesperioden.
Ingen af nødplanerne for
system F
og
G
beskriver, hvor planerne skal være tilgænge-
lige. Myndighed 3 har opdateret nødplanen for
system G,
efter undersøgelsen er af-
sluttet, så det fremgår, hvor planen opbevares.
Myndighed 4
41. Myndighed 4 har udarbejdet nødplaner for myndighedens 2 it-systemer (system
H
og
I).
Det første udkast til en nødplan for
system H
er dog først udarbejdet i oktober
2022 og i en endelig version i marts 2023. Der har dermed ikke været en nødplan for
system H
i hovedparten af undersøgelsesperioden. Det fremgår ikke af nødplanen,
hvor planen er tilgængelig. Nødplanen for
system I
er blevet ajourført, dog ikke hvert
år i undersøgelsesperioden.
4.2. Test af nødplaner
42. Vi har undersøgt, om myndighederne har testet nødplanerne i perioden januar
2020 - marts 2023. Nødplanerne skal testes med jævne mellemrum for at sikre, at
planerne er ajourførte og indeholder de relevante informationer, samt for at sikre, at
procedurerne trænes af relevante medarbejdere.
43. Vi har lagt Digitaliseringsstyrelsens vejledning i it-beredskab til grund for vurde-
ringen af myndighedernes tests af nødplanerne. Vi har for hver nødplan undersøgt:
om nødplanen er testet årligt
enten ved en planlagt test eller ved, at planen har
været aktiveret ved en hændelse
om testrapporten beskriver eventuelle forbedringsforslag.
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
2795147_0027.png
20
| Nødplaner for it-systemerne
44. Tabel 5 viser vores gennemgang af myndighedernes tests af nødplaner i perio-
den januar 2020 - marts 2023.
Tabel 5
Rigsrevisionens gennemgang af myndighedernes tests af nødplaner
Indenrigs-
og Sundheds-
ministeriet
It-system
Nødplanen er testet
årligt
Testrapporten
beskriver eventuelle
forbedringsforslag
A
Erhvervs-
styrelsen
B
Myndighed
1
C
Ingen
plan
-
Myndighed
2
E
Ingen
plan
-
Myndighed
3
F
Myndighed
4
H
Søfarts-
styrelsen
J
D
Ingen
plan
-
G
I
K
L
-
-
-
-
-
-
Ja
Delvist
Nej
Ikke relevant
Note:
Ved ”-” er kriteriet ikke vurderet,
da nødplanen ikke er blevet testet.
Kilde:
Rigsrevisionen på baggrund af dokumentation fra myndighederne.
Det fremgår af tabel 5, at det kun er Erhvervsstyrelsen, som har testet sin nødplan år-
ligt. I den seneste testrapport fra Erhvervsstyrelsen er der beskrevet konkrete forbed-
ringsforslag. Fx anbefales det, at styrelsen skal udarbejde en mere operationel nød-
plan for systemet. På den baggrund har Erhvervsstyrelsen udarbejdet en ny nødplan
i marts 2023. Den nye nødplan er endnu ikke blevet testet. Erhvervsstyrelsen har op-
lyst, at styrelsen forventer at teste den nye nødplan i løbet af 2023.
DDoS-angreb
Et DDoS-angreb er et digitalt
angreb, hvor en aktør med vil-
je fx overbelaster en hjemme-
side, så siden ikke kan svare
eller bryder sammen.
Kilde:
Sikkerdigital.dk.
Myndighed 4 er i undersøgelsesperioden blevet ramt af et DDoS-angreb, som betød,
at nødplanen for
system I
blev aktiveret. I den forbindelse blev der udarbejdet en hæn-
delsesrapport, som dog kun beskriver den tekniske løsning. Myndighed 4 har derud-
over ikke testet nødplanerne for sine it-systemer.
Myndighed 3 og Søfartsstyrelsen har ikke testet nødplanerne for deres it-systemer.
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
2795147_0028.png
Reetableringsplaner for it-systemerne |
21
5. Reetableringsplaner
for it-systemerne
Delkonklusion
Hovedparten af reetableringsplanerne for it-systemerne er ikke tilfredsstillende. Fx
mangler over halvdelen af reetableringsplanerne beskrivelser af, hvordan it-systemer-
ne teknisk kan reetableres efter et større it-nedbrud. Det er kun Indenrigs- og Sundheds-
ministeriet, der har en tilfredsstillende reetableringsplan for sit it-system. For 2 af it-sy-
stemerne er der slet ikke udarbejdet reetableringsplaner.
Kun Indenrigs- og Sundhedsministeriet, Erhvervsstyrelsen og Søfartsstyrelsen har tes-
tet reetableringsplanerne for 3 af de udvalgte it-systemer. For de øvrige 9 it-systemer
er det hverken blevet testet, om systemerne kan reetableres delvist, eller om systemer-
ne kan reetableres fuldt efter et større it-nedbrud.
45. Dette kapitel handler om reetableringsplaner for it-systemerne. En reetablerings-
plan beskriver, hvordan et it-system teknisk reetableres efter et nedbrud.
46. Vi har undersøgt:
om myndighederne for de udvalgte it-systemer har sikret, at der er implementeret
tilfredsstillende reetableringsplaner, der indeholder en række centrale elementer
om reetableringsplanerne er testet.
Statens It
47. Ét udvalgt it-system hos myndighed 4 og alle udvalgte it-systemer hos Søfartssty-
relsen er ressortoverført til Statens It. Det betyder bl.a., at det er Statens It, som har
ansvaret for at udarbejde reetableringsplaner for it-systemerne. Vi har derfor ikke un-
dersøgt reetableringsplanerne for
system I, J, K
og
L.
Vi har dog undersøgt, om det er
blevet testet, om it-systemerne kan reetableres, da det fortsat er myndighed 4 og Sø-
fartsstyrelsen, der har ansvaret for at sikre, at dette bliver testet.
Statens It leverer it-drift og
servicer til ministerier, styrel-
ser og selvejende uddannel-
sesinstitutioner. Statens It va-
retager også driftsansvaret
for de it-systemer, der er res-
sortoverført fra statslige myn-
digheder.
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
2795147_0029.png
22
| Reetableringsplaner for it-systemerne
5.1. Reetableringsplaner
48. Vi har gennemgået reetableringsplanerne for de udvalgte it-systemer for at vur-
dere, om planerne er tilfredsstillende. Vi har lagt til grund, at reetableringsplanerne
skal indeholde 6 centrale elementer, som er baseret på ISO 27001, på Digitaliserings-
styrelsens anbefalinger til it-beredskabsplaner og på skabeloner til it-beredskabs-
planer på sikkerdigital.dk. De centrale elementer kan enten fremgå af reetablerings-
planen, kontrakten for systemet eller andre centrale dokumenter.
49. Figur 5 viser de 6 centrale elementer, som en tilfredsstillende reetableringsplan
som minimum bør indeholde.
Figur 5
Centrale elementer i en reetableringsplan
Maksimal reetableringstid
Krav om, hvor lang tid der maksi-
malt må gå, før systemet skal
være reetableret efter et it-ned-
brud.
Aktivering og deaktivering
af reetableringsplanen
Maksimalt tålt datatab
Krav til den maksimale tids-
periode, hvor der må være
tab af data i it-systemet ved
it-nedbrud
Beskrivelser af, hvornår, af hvem
og hvordan it-beredskabet akti-
veres, og hvornår it-systemet
betragtes som reetableret, og
beredskabet derfor kan deakti-
veres
Tekniske aktiviteter til
reetablering af it-systemet
Rolle- og ansvarsfordeling
Beskrivelser af rolle- og ansvars-
fordelingen hos myndigheden
og en eventuel leverandør ved
it-nedbrud
Reetableringsplan
Beskrivelser af eller henvisninger
til, hvilke tekniske aktiviteter der
er nødvendige for at kunne re-
etablere systemet
Kontaktoplysninger
Kontaktoplysninger på nøgle-
personer hos myndigheden eller
en eventuel leverandør
Note: De centrale elementer kan enten fremgå af reetableringsplanen, kontrakten eller andre centrale dokumenter. I bilag 1 og 2 uddyber vi baggrun-
den for de revisionskriterier, som vi har anvendt til at vurderere reetableringsplanerne.
Kilde:
Rigsrevisionen på baggrund af ISO 27001 og Digitaliseringsstyrelsens vejledning i it-beredskab.
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
2795147_0030.png
Reetableringsplaner for it-systemerne |
23
50. Figur 6 viser Rigsrevisionens samlede vurdering af reetableringsplanerne for de
udvalgte it-systemer på baggrund af de 6 centrale elementer.
Figur 6
Samlet vurdering af reetableringsplanerne for de udvalgte it-systemer
Indenrigs-
og sundheds- Erhvervs- Myndighed Myndighed Myndighed
ministeriet styrelsen
1
2
3
100
80
60
100
INGEN PLAN
INGEN PLAN
Myndighed
4
Søfarts-
styrelsen
Point
40
20
0
A
67
58
17
D
E
F G
System
58
Sammenligning af reetab-
leringsplaner
B
8
C
H
I
J
K
L
Elementer, der indgår i reetableringsplanen
Elementer, der mangler i reetableringsplanen
Ikke relevant, da ansvaret for it-systemet er ressortoverført til Statens It
Kilde:
Rigsrevisionen på baggrund af dokumentation fra myndighederne.
Det fremgår af figur 6, at der ikke er udarbejdet reetableringsplaner for
system F
og
G
hos myndighed 3.
51. I det følgende gennemgår vi Rigsrevisionens vurdering af reetableringsplanerne
nærmere.
For at vi kan sammenligne
myndighedernes reetable-
ringsplaner, har vi tildelt re-
etableringsplanerne point ef-
ter, hvor mange af de 6 cen-
trale elementer der indgår i
planerne. En reetablerings-
plan opnår en score på 100
point, hvis planen indeholder
alle 6 elementer. Vi har væg-
tet de 6 elementer ligeligt, og
myndighederne kan derfor
opnå en score på maks. 16,7
point for hvert element. I figur
6 og 7 har vi dog afrundet til
nærmeste hele tal.
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
2795147_0031.png
24
| Reetableringsplaner for it-systemerne
52. Figur 7 viser, om reetableringsplanerne indeholder de 6 centrale elementer.
Manglerne i reetableringsplanerne er illustreret ved hvide felter.
Figur 7
Reetableringsplaner for myndighedernes it-systemer
Indenrigs-
og Sundheds- Erhvervs-
ministeriet styrelsen
Myndighed
1
Myndighed
2
Myndighed
3
Myndighed
4
Aktivering og deaktivering
af reetableringsplanen
Rolle- og ansvarsfordeling
INGEN PLAN
100/100
System
A
67/100
System
B
8/100 58/100
System System
C
D
17/100
System
E
Kontaktoplysninger
Tekniske aktiviteter til
reetablering af systemet
Maksimalt tålt datatab
Maksimal reetableringstid
Mangler
0/100 0/100
System System
F
G
58/100
System
H
Kilde:
Rigsrevisionen på baggrund af dokumentation fra myndighederne.
Det fremgår af figur 7, at reetableringsplanen for Indenrigs- og Sundhedsministeriets
system A
indeholder alle de 6 centrale elementer, som bør indgå i en reetableringsplan.
Reetableringsplanerne for de øvrige it-systemer mangler flere af de centrale elemen-
ter, som bør indgå i en reetableringsplan. Som det fremgår af figuren, er det særligt 3
af de centrale elementer, som mangler i flere af reetableringsplanerne:
aktivering og
deaktivering af reetableringsplanen, tekniske aktiviteter til reetablering af it-systemet
og
maksimal reetableringstid.
Det fremgår desuden af figuren, at Erhvervsstyrelsens reetableringsplan for
system B
mangler 2 af de centrale elementer, som en reetableringsplan bør indeholde. Under-
søgelsen viser, at der først i marts 2023 er udarbejdet en reetableringsplan for syste-
met. Erhvervsstyrelsen har oplyst, at styrelsens eksterne it-leverandør har beskrivel-
ser af aktiviteterne til reetablering af systemet, men at beskrivelserne er fortrolige.
Rigsrevisionen har derfor ikke haft adgang til leverandørens beskrivelser i undersø-
gelsen.
INGEN PLAN
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
Reetableringsplaner for it-systemerne |
25
Undersøgelsen viser desuden, at reetableringsplanerne for
system C
og
D
hos myn-
dighed 1 og
system E hos
myndighed 2 er særdeles mangelfulde. Fx er der for 2 af sy-
stemerne ikke beskrivelser af tekniske aktiviteter til reetablering af systemerne.
Årlig ajourføring
53. Vi har undersøgt, om reetableringsplanerne for it-systemerne er ajourført årligt.
Det er vigtigt, at reetableringsplanerne løbende ajourføres for at sikre, at planerne in-
deholder de korrekte oplysninger. Vi har lagt til grund, at reetableringsplaner for sam-
fundskritiske it-systemer som minimum skal ajourføres én gang årligt for at sikre, at
fx kontaktoplysninger på nøglepersoner er korrekte.
54. Undersøgelsen viser, at det kun er Indenrigs- og Sundhedsministeriet, der har
ajourført reetableringsplanen for
system A
årligt i perioden januar 2020 - marts 2023,
men den seneste reetableringsplan er dog ikke ajourført korrekt.
Reetableringsplanerne for
system C
og
E
er blevet ajourført i løbet af undersøgelses-
perioden, men planerne er meget mangelfulde. For Erhvervsstyrelsens it-system er
der først udarbejdet en reetableringsplan i marts 2023. Reetableringsplanen for
sy-
stem D
er slet ikke opdateret i undersøgelsesperioden. Reetableringsplanen for
sy-
stem H
er først blevet udarbejdet i 2021 og er derefter blevet ajourført årligt.
Myndighedernes leverandørstyring
55.
System A
hos Indenrigs- og Sundhedsministeriet,
system B
hos Erhvervsstyrelsen
og
system F
hos myndighed 3 driftes af eksterne leverandører. Det er de eksterne le-
verandører, der udarbejder reetableringsplaner for it-systemerne og tester planerne,
men det er myndighedernes ansvar at stille krav i kontrakterne til leverandørernes it-
beredskab, herunder reetableringsplaner og test af planerne. Derudover bør myndig-
hederne stille krav om, at leverandørerne får udarbejdet it-revisorerklæringer for it-
systemerne, som omhandler leverandørens it-beredskab.
56. Undersøgelsen viser, at Indenrigs- og Sundhedsministeriet har sikret sig adgang til
leverandørens reetableringsplaner og testrapporter for
system A.
Ministeriet har des-
uden årligt fået udarbejdet systemspecifikke it-revisorerklæringer.
Undersøgelsen viser også, at Erhvervsstyrelsen ikke har stillet krav til leverandørens
it-beredskab og heller ikke har modtaget systemspecifikke it-revisorerklæringer for
system B.
Myndighed 3 har ikke stillet krav i kontrakten til leverandørens it-beredskab for
sy-
stem F,
og der er ikke udarbejdet systemspecifikke it-revisorerklæringer vedrørende
it-beredskabet.
It-revisorerklæring
En it-revisorerklæring er et
redskab for myndigheden til
at få viden om leverandørens
it-miljø, herunder leverandø-
rens it-beredskab. Revisor-
erklæringen kan enten være
en ISAE 3402-erklæring eller
en ISAE 3000-erklæring og
skal omhandle det specifikke
it-system. I begge typer erklæ-
ringer udtaler en ekstern revi-
sor sig om, hvorvidt leverandø-
rens it-kontroller er hensigts-
mæssigt udformet, og om kon-
trollerne har fungeret tilfreds-
stillende i en given periode.
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
2795147_0033.png
26
| Reetableringsplaner for it-systemerne
5.2. Test af reetableringsplaner
57. Vi har undersøgt, om myndighederne har sikret, at reetableringsplanerne er testet
i perioden januar 2020 - marts 2023. Beredskabsplaner skal testes, trænes og evalue-
res for at sikre viden om, hvordan beredskabsplanerne virker i en konkret beredskabs-
situation, og for at sikre, at it-systemerne kan reetableres i tilfælde af nedbrud på sy-
stemerne. Test af reetableringsplanerne er således en vigtig del af it-beredskabet. Vi
har med udgangspunkt i ISO 27001 undersøgt:
om der i undersøgelsesperioden er udført en fuld reetableringstest, herunder om
der er fulgt op på, hvor lang tid det tager at reetablere it-systemet, og om systemet
fungerer efter reetablering
om der er udført delvise tests af reetableringsplanen årligt.
58. Af boks 1 fremgår de 2 typer af reetableringstests, som vi har undersøgt.
Boks 1
Forskellige tests
Fuld reetableringstest
En fuld reetableringstest er en test, hvor it-systemet reetableres på baggrund af den se-
neste fulde backup, fx på en tom server i et testmiljø e.l., så det almindelige driftsmiljø ik-
ke påvirkes ved testen. En fuld reetableringstest bør omfatte tests af, at it-systemet fun-
gerer sammen med de øvrige komponenter i it-infrastrukturen. Omfanget af tests med
den øvrige it-infrastruktur vil variere, afhængigt af om it-systemet driftes internt i myn-
digheden eller hos en ekstern leverandør. Testen kaldes også en disaster recovery test.
Delvis reetableringstest
En delvis reetableringstest er en test af reetablering af dele af it-systemet (en delmæng-
de af en fuld test), fx at genskabe en database. Testen kaldes også en restore test.
59. For
system I
hos myndighed 4 og for de 3 it-systemer (system
J, K
og
L)
hos Sø-
fartsstyrelsen, som er ressortoverført til Statens It, er det de 2 myndigheders ansvar
at sikre, at det er testet, om systemerne kan reetableres. Vi har derfor undersøgt, om
myndighed 4 og Søfartsstyrelsen har bestilt delvise tests og fulde tests af reetablering
af deres it-systemer hos Statens It.
60. Tabel 6 viser Rigsrevisionens gennemgang af myndighedernes tests af reetable-
ringen af de udvalgte it-systemer i perioden januar 2020 - marts 2023.
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
2795147_0034.png
Reetableringsplaner for it-systemerne |
27
Tabel 6
Rigsrevisionens gennemgang af myndighedernes tests af reetableringsplaner
Indenrigs-
og Sundheds-
ministeriet
It-system
Der er udført en fuld
reetableringstest
Der er udført en del-
vis reetableringstest
årligt
Ja
Delvist
Nej
Kilde:
Rigsrevisionen på baggrund af dokumentation fra myndighederne.
Erhvervs-
styrelsen
B
Myndighed
1
C
Myndighed
2
E
Myndighed
3
F
Ingen
plan
Ingen
plan
G
Ingen
plan
Ingen
plan
Myndighed
4
H
Søfarts-
styrelsen
J
A
D
I
K
L
Fuld reetableringstest
61. Som det fremgår af tabel 6, er der kun udført fulde reetableringstests af
system A
og
B.
De 2 tests har dog ikke været fyldestgørende.
Indenrigs- og Sundhedsministeriet har udført en fuld reetableringstest af
system A,
men ministeriet har ikke testet, hvor lang tid det tager at reetablere systemet, eller
om systemets funktionalitet virker, som det skal, efter reetablering.
Erhvervsstyrelsen har også udført en fuld reetableringstest af
system B,
men har ikke
testet, at systemets funktionalitet fungerer, fx integrationen til andre systemer. Styrel-
sen har således testet, at data kan genskabes i systemet, men har ikke testet, at data
kan tilgås efter en reetablering via et af de programmer, som styrelsen normalt anven-
der til at læse data.
For 10 ud af 12 it-systemer er der dermed ikke udført en fuld reetableringstest i under-
søgelsesperioden. Det betyder, at myndighederne for de 10 it-systemer ikke har sik-
kerhed for, at de kan reetablere systemerne, så de virker efter et nedbrud. Søfarts-
styrelsen har dog oplyst, at styrelsen efter undersøgelsesperioden har gennemført en
fuld reetableringstest i forbindelse med en opgradering af
system J.
Delvis reetableringstest
62. Det fremgår af tabel 6, at der for 3 ud af 12 it-systemer er udført en delvis reetable-
ringstest i undersøgelsesperioden. Kun Indenrigs- og Sundhedsministeriet har hvert
år udført delvise reetableringstests af
system A.
Erhvervsstyrelsen og Søfartsstyrel-
sen har for
system B
og
K
gennemført delvise reetableringstests i undersøgelsesperio-
den, dog ikke hvert år.
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
2
|
Metodisk tilgang.. Metodisk tilgang
|
1.
28
| Reetableringsplaner for it-systemerne
For de resterende 9 it-systemer er der ikke udført delvise reetableringstests. Myndig-
hederne har dermed ikke sikkerhed for, at de kan genskabe data i it-systemerne i til-
fælde af et nedbrud på et af systemerne.
Rigsrevisionen, den 23. november 2023
Birgitte Hansen
/Niels Kjøller Petersen
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
Metodisk tilgang |
29
Bilag 1. Metodisk tilgang
Formålet med undersøgelsen er at vurdere, om staten har et tilfredsstillende it-be-
redskab for 12 udvalgte samfundskritiske it-systemer, så staten kan opretholde sam-
fundskritiske funktioner i tilfælde af større it-hændelser. Derfor har vi undersøgt føl-
gende:
Har staten et tilfredsstillende grundlag for at etablere et it-beredskab for de ud-
valgte samfundskritiske it-systemer?
Har staten implementeret tilfredsstillende krisestyringsplaner for de udvalgte
samfundskritiske it-systemer?
Har staten implementeret tilfredsstillende nødplaner for de udvalgte samfunds-
kritiske it-systemer?
Har staten sikret, at der er implementeret tilfredsstillende reetableringsplaner for
de udvalgte samfundskritiske it-systemer?
I undersøgelsen indgår 7 myndigheder: Indenrigs- og Sundhedsministeriet, Erhvervs-
styrelsen og Søfartsstyrelsen under Erhvervsministeriet samt 4 andre anonymisere-
de myndigheder.
Undersøgelsen bygger på en gennemgang af dokumenter. Vi har desuden holdt mø-
der med de undersøgte ministerier og myndigheder. Vi har holdt møder med:
myndighederne om afhængigheder til andre it-systemer og risikovurderinger af
de udvalgte samfundskritiske it-systemer
systemansvarlige og forretningsansvarlige mv. fra de undersøgte myndigheder,
som har ansvaret for it-beredskabet for de udvalgte samfundskritiske it-systemer
ministerierne om tilsynet med informationssikkerhed, herunder it-beredskabet.
Formålet med møderne har været at stille spørgsmål til det udleverede materiale og
at få en dybere forståelse af de forhold, vi har undersøgt.
Undersøgelsen omhandler perioden fra januar 2020 til og med marts 2023. Vi har dog
primært behandlet og vurderet de seneste risikovurderinger, krisestyringsplaner, nød-
planer, reetableringsplaner og tests i undersøgelsen.
Nedenfor beskrives vores kvalitetssikring og metode mere detaljeret.
Udvælgelse af samfundskritiske it-systemer
For at undersøge it-beredskabet i staten har vi valgt at gå i dybden med it-beredska-
bet for myndigheder, som har ansvaret for it-systemer, der er nødvendige for at kun-
ne opretholde samfundskritiske opgaver.
På den baggrund har vi udvalgt it-systemer hos Indenrigs- og Sundhedsministeriet, Er-
hvervsstyrelsen og Søfartsstyrelsen samt hos 4 myndigheder (myndighed 1, 2, 3 og 4),
som er anonymiseret i beretningen. For hver myndighed har vi udvalgt en række sam-
fundskritiske it-systemer. På tværs af staten er ca. 90 it-systemer vurderet som sam-
fundskritiske af myndighederne selv. Vi har udvalgt 12 af de 90 it-systemer.
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
30
| Metodisk tilgang
Grundlaget for undersøgelsens revisionskriterier
Undersøgelsens revisionskriterier tager udgangspunkt i de internationale standarder
for informationssikkerhed ISO 27001:2017 og ISO 27002:2017. Med
National strategi
for cyber- og informationssikkerhed 2015-2016
skal alle offentlige myndigheder følge
ISO 27001.
ISO 27001:2017 består af et hovedafsnit, der beskriver de ledelsesprocesser, som
myndigheden skal implementere for at leve op til standarden. Hertil hører Anneks A,
der beskriver en række kontrolmål inden for informationssikkerhed med underliggen-
de kontroller. De enkelte kontroller bør implementeres, hvis myndighederne vurderer,
at kontrollerne er nødvendige. Flere af kontrolmålene er relevante i forhold til it-be-
redskabet, og område 17 i Anneks A vedrører it-beredskabet. Under område 17 er der
3 kontroller, som fastsætter de overordnede krav til myndighedernes it-beredskab.
ISO 27002:2017 er en vejledning i den praktiske udmøntning af kontrollerne i Anneks A
til ISO 27001.
Der er i 1. kvartal 2022 kommet en ny og opdateret version af ISO 27001 (ISO 27001:
2022). Statslige myndigheder har fra udgivelsestidspunktet 12 måneder til at imple-
mentere den opdaterede version. Implementeringsperioden har dermed varet indtil
1. kvartal 2023. Det har derfor ikke været relevant for Rigsrevisionen at lægge denne
version til grund for undersøgelsen.
I kapitel 2 om myndighedernes grundlag for it-beredskabet er ISO 27001 udgangs-
punktet for vores revisionskriterier. Det fremgår fx af ISO 27001, at myndighederne
ved planlægningen af informationssikkerheden, herunder it-beredskabet, skal tage
udgangspunkt i risici, som skal vurderes i forhold til en række trusler, konsekvenser
og sandsynligheder. Som det fremgår af Digitaliseringsstyrelsens
Vejledning til risiko-
styring inden for informationssikkerhed,
skal risikovurderinger gøre ledelsen bekendt
med de aktuelle risici, så organisationen ikke udsætter sig for større risici, end hvad
der er acceptabelt. Derfor har vi lagt til grund, at risikovurderingerne skal være i en
form, hvor ledelsen kan forholde sig til og agere på de identificerede trusler og sårbar-
heder. Derfor er det ikke tilstrækkeligt alene med talvurderinger uden yderligere for-
klaringer i risikovurderingen.
Revisionskriteriet vedrørende ministeriernes tilsyn med informationssikkerheden på
ministerområderne bygger på Digitaliseringsstyrelsens vejledning
Departementets til-
syn med informationssikkerhed på ministerområdet.
Derudover bygger revisionskri-
teriet også på ISO 27001, pkt. A.18.2, hvoraf det fremgår, at myndighedernes metode
til styring af informationssikkerhed og implementering heraf med jævne mellemrum
eller i tilfælde af væsentlige ændringer skal gennemgås af en uafhængig part. Oftest
vil det være ministeriernes departementer, der udfører tilsynet med deres underlig-
gende myndigheder, men ministerierne kan uddelegere tilsynet til en underliggende
myndighed eller oprette interne tilsynsenheder i departementerne.
Af Digitaliseringsstyrelsens vejledning fremgår beredskabsplanlægning som et emne,
som ministerierne kan vælge at stille spørgsmål til i forbindelse med tilsynet. Det frem-
går ikke, hvor ofte de forskellige dele af informationssikkerheden skal indgå i tilsynet.
I vores undersøgelse har vi lagt til grund, at ministeriernes tilsyn som minimum inden
for en 3-årig periode bør omhandle myndighedernes it-beredskab for samfundskriti-
ske it-systemer.
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
Metodisk tilgang |
31
I kapitel 3, 4 og 5 om krisestyringsplaner, nødplaner og reetableringsplaner for it-sy-
stemerne tager vores revisionskriterier udgangspunkt i ISO 27001. Det fremgår af
ISO 27001, pkt. A.17.1, at myndighederne skal udarbejde og teste processer og proce-
durer, herunder beredskabsplaner, for at sikre informationskontinuitet i en kritisk si-
tuation. ISO 27001 er konkretiseret i Digitaliseringsstyrelsens vejledning på sikkerdi-
gital.dk og i Digitaliseringsstyrelsens vejledninger og skabeloner til, hvordan myndig-
hederne i praksis skal implementere et it-beredskab. Disse vejledninger og skabelo-
ner er ligeledes udgangspunktet for vores revisionskriterier.
For nogle af vores revisionskriterier i undersøgelsen er ISO 27001 og vejledningerne
for generelle eller forholder sig til beredskabet på et mere overordnet niveau. For dis-
se revisionskriterier har det derfor været nødvendigt at konkretisere, hvad vi har lagt
til grund for vores vurderinger. Vi har derfor også fastsat revisionskriterierne ud fra
en rimelighedsbetragtning og ud fra en konkret vurdering af, hvad der er god praksis
på området. I bilag 2 findes en liste over ophænget til de revisionskriterier, som vi har
anvendt til at vurdere de undersøgte myndigheders it-beredskabsplaner og myndig-
hedernes tests af planerne.
Væsentlige dokumenter i undersøgelsen
Vi har gennemgået en række dokumenter, herunder:
myndighedernes dokumentation af de udvalgte it-systemers afhængigheder til an-
dre it-systemer
procesbeskrivelser eller politikker for risikovurdering samt risikovurderinger af de
udvalgte samfundskritiske it-systemer
it-beredskabsplaner, herunder krisestyringsplaner, nødplaner, reetableringsplaner
og tests af de 3 typer af it-beredskabsplaner
it-revisorerklæringer (ISAE 3402-erklæringer eller ISAE 3000-erklæringer) og kon-
traktbilag vedrørende it-beredskabet for de udvalgte it-systemer i perioden januar
2020 - marts 2023
tilsynsrapporter om informationssikkerhed for de undersøgte myndigheder
ISO 27001:2017 og ISO 27002:2017 om informationssikkerhed, herunder it-bered-
skab
Digitaliseringsstyrelsens og sikkerdigital.dk’s vejledninger om it-beredskab.
Metode til vurdering af beredskabsplaner
Vi har i vores gennemgang af krisestyringsplaner, nødplaner og reetableringsplaner
vurderet planerne ud fra en række elementer, som vi vurderer er de mest centrale ele-
menter, der som minimum bør indgå i en it-beredskabsplan. Elementerne foreslås som
kontroller i Anneks A til ISO 27001 eller i Digitaliseringsstyrelsens vejledninger om be-
redskabsplaner.
Vi er opmærksomme på, at myndighederne kan strukturere it-beredskabet på forskel-
lige måder og derfor kan have en anden opdeling af it-beredskabsplanerne eller have
andre betegnelser for it-beredskabsplanerne end krisestyringsplaner, nødplaner og
reetableringsplaner. Vi har i undersøgelsen drøftet med de undersøgte myndigheder,
hvilke af deres planer der kan karakteriseres som henholdsvis krisestyringsplaner,
nødplaner og reetableringsplaner.
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
32
| Metodisk tilgang
I ISO 27001 og i Digitaliseringsstyrelsens vejledninger indgår der flere anbefalinger til
it-beredskabet end de elementer, som vi har udvalgt. Vi har vurderet, hvilke elementer
der er de mest centrale, og som it-beredskabsplanerne som minimum bør indeholde
for at være tilfredsstillende. I bilag 2 har vi oplistet alle de elementer, som indgår i vo-
res vurdering af krisestyringsplaner, nødplaner, reetableringsplaner og tests af planer-
ne, og vi har redegjort for, hvor elementerne stammer fra. For både krisestyringsplaner
og reetableringsplaner har vi undersøgt de samme elementer, som blev undersøgt i
Rigsrevisionens beretning om statens it-beredskab fra november 2022.
For bedre at kunne sammenligne henholdsvis krisestyringsplaner og reetableringspla-
ner og på en enkel måde formidle vores vurdering af indholdet af planerne, har vi valgt
at tildele planerne point efter, hvor mange af de udvalgte centrale elementer der ind-
går i planerne. Vi har undersøgt 5 centrale elementer for krisestyringsplanerne og 6
centrale elementer for reetableringsplanerne. En krisestyringsplan opnår en score på
100 point, hvis planen indeholder alle 5 elementer, og en reetableringsplan opnår en
score på 100 point, hvis planen indeholder alle 6 elementer. Vi har vægtet elementer-
ne i både krisestyringsplanerne og reetableringsplanerne lige højt, da de alle er vigtige,
for at myndighederne har tilfredsstillende krisestyringsplaner og reetableringsplaner.
Hvert af de 5 elementer i krisestyringsplanerne vægter 20 point ud af 100 point, mens
hvert af de 6 elementer i reetableringsplanerne vægter 16,7 point ud af 100 point. Hvis
vi har vurderet, at indholdet og omfanget af et element ikke er helt tilstrækkeligt, har
vi tildelt elementet halvdelen af den mulige score, dvs. en score på 10 point for krise-
styringsplanerne og en score på 8,35 point for retableringsplanerne. Det kan fx være,
at der mangler oplysninger i beskrivelsen af de nødvendige aktiviteter for at reetable-
re it-systemet eller i beskrivelsen af rolle- og ansvarsfordelingen.
For de it-systemer, der er driftet af en ekstern leverandør, har vi ud over reetablerings-
planen bl.a. gennemgået kontrakten med leverandøren. Det skyldes, at nogle af de
centrale elementer kan fremgå af andre dokumenter, som myndighederne og eventu-
elle leverandører vil benytte i en beredskabssituation.
Ifølge ISO 27001 skal myndighederne regelmæssigt overvåge, gennemgå og auditere
leverandørydelser. Vi har derfor lagt til grund, at myndighederne som en del af tilsynet
med leverandørerne også bør stille krav om, at leverandørerne hvert år får et revisions-
firma til at udarbejde it-revisorerklæringer for de samfundskritiske it-systemer. Revi-
sorerklæringerne afdækker, om leverandørerne lever op til kravene i kontrakten, her-
under kravene til leverandørernes it-beredskab. Revisorerklæringerne kan udarbejdes,
så de omhandler et specifikt it-system.
For ét af systemerne hos myndighed 4 og for de 3 it-systemer hos Søfartsstyrelsen er
driftsansvaret for it-systemerne, herunder ansvaret for reetableringsplanerne, blevet
ressortoverført til Statens It. Det er derfor ikke myndighed 4 og Søfartsstyrelsen, men
Statens It, der har ansvaret for at sikre en tilfredsstillende reetableringsplan. Det bety-
der, at de 2 myndigheder ikke er involveret i arbejdet med at udarbejde reetablerings-
planer, der gælder for de systemer, som Statens It har driftsansvaret for. Derfor har
vi ikke undersøgt reetableringsplanerne for disse 4 it-systemer. I forhold til test er det
dog fortsat myndighed 4 og Søfartsstyrelsen, der har ansvaret for at sikre, at det er
testet, om it-systemerne kan reetableres. Det sikrer de ved at bestille tests hos Sta-
tens It.
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
Metodisk tilgang |
33
I kapitel 2, 3, 4 og 5 har vi anvendt grøn, gul og rød til at vise resultatet af vores under-
søgelse. Fx har vi undersøgt indholdet af tests af krisestyringsplaner, nødplaner og re-
etableringsplaner. Grøn angiver, at vi har vurderet, at kriteriet er opfyldt. Rød angiver,
at kriteriet ikke er opfyldt. Gul angiver, at kriteriet delvist er opfyldt. Et element er vur-
deret som delvist opfyldt, hvis det fx findes i testen, men ikke er tilstrækkeligt beskre-
vet i indhold og omfang.
Test af it-beredskabsplanerne
Ifølge ISO 27001 skal myndighederne teste beredskabsplanerne regelmæssigt. Vi har
lagt til grund, at det er vigtigt, at myndighederne løbende træner it-beredskabet, her-
under sikrer, at procedurer og oplysninger i beredskabsplanerne er ajour. På den bag-
grund har vi undersøgt, om it-beredskabsplanerne (krisestyringsplaner, nødplaner og
reetableringsplaner) er blevet testet årligt.
Vurderingen af test af krisestyringsplaner, nødplaner og reetableringsplaner bygger
på en gennemgang af de seneste testrapporter. Hvis der har været større it-hændel-
ser, hvor beredskabsplanerne er blevet aktiveret, indgår hændelsesrapporter og eva-
lueringer af hændelseshåndteringen i vores vurderinger af test af it-beredskabet.
I forhold til test af reetablering af systemerne har vi lagt til grund, at det for samfunds-
kritiske it-systemer ikke er tilstrækkeligt at udføre tests, som kun vedrører reetable-
ring af dele af it-systemet (restore tests), men at der også bør udføres fulde reetable-
ringstests, hvor hele it-systemet reetableres (disaster recovery tests). Ved en fuld test
reetableres hele it-systemet på baggrund af den seneste fulde backup, og den maksi-
male reetableringstid og systemets funktionalitet efter reetablering testes. En fuld test
bør foretages på en tom server eller på ny hardware, så det almindelige driftsmiljø ikke
påvirkes ved testen. Ved flere datacentre testes også switch mellem datacentre for at
sikre en optimal oppetid.
Ifølge ISO 27001 skal risikovurderingerne danne grundlag for ledelsens beslutning om,
hvor ofte der er behov for at teste it-beredskabet. Det fremgår ikke af risikovurderin-
gerne af de udvalgte it-systemer, hvor ofte der bør foretages fulde reetableringstests.
For enkelte af de udvalgte it-systemer følger det af risikovurderingerne eller af kon-
traktgrundlagene med leverandørerne, at reetableringsplanerne skal testes regelmæs-
sigt. I Digitaliseringsstyrelsens vejledninger er der ikke anbefalinger til, hvor ofte der
bør foretages en fuld reetableringstest af it-systemerne. Ved samfundskritiske it-sy-
stemer er det særligt vigtigt, at man har viden om, hvorvidt reetableringsplanerne vir-
ker efter hensigten. Da det kan være omfattende at foretage en fuld reetableringstest,
og da der ikke er fastsat specifikke anbefalinger eller krav i Digitaliseringsstyrelsens
vejledninger, har vi undersøgt, om der er foretaget en fuld reetableringstest inden for
en 3-årig periode.
Derudover har vi undersøgt, om der som en del af en fuld test af reetableringsplanen
følges op på, hvor lang tid det tager at reetablere hele it-systemet. Ligeledes har vi un-
dersøgt, om det som led i testen tjekkes, om systemets funktionalitet virker, som det
skal, efter reetablering, fx om integrationer med andre it-systemer fungerer.
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
2
|
Undersøgelsens revisionskriterier.. Undersøgelsens revisionskriterier
|
1.
34
| Metodisk tilgang
Kvalitetssikring
Denne undersøgelse er kvalitetssikret via vores interne procedurer for kvalitetssik-
ring, som omfatter høring hos de reviderede myndigheder samt ledelsesbehandling
og sparring på forskellige tidspunkter i undersøgelsesforløbet med chefer og medar-
bejdere i Rigsrevisionen med relevante kompetencer.
Standarderne for offentlig revision
Revisionen er udført i overensstemmelse med standarderne for offentlig revision, her-
under standarderne for større undersøgelser (SOR 3). Standarderne fastlægger, hvad
brugerne og offentligheden kan forvente af revisionen, for at der er tale om en god fag-
lig ydelse. Standarderne er baseret på de grundlæggende revisionsprincipper i Rigs-
revisionernes internationale standarder (ISSAI 100-999).
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
2795147_0042.png
Undersøgelsens revisionskriterier |
35
Bilag 2. Undersøgelsens revisionskriterier
Tabel A-D viser, hvilke revisionskriterier vi har anvendt til at vurdere indholdet af it-
beredskabsplanerne og myndighedernes tests af planerne. Desuden viser tabellerne
hvor revisionskriterierne stammer fra.
Tabel A
Revisionskriterier til at vurdere myndighedernes it-beredskabsplaner
Elementer, som vi har under-
søgt i it-beredskabsplanerne
Planen er ajourført årligt
Krisesty-
ringsplan
X
Nødplan
X
Reetable-
ringsplan
X
Ophæng til revisionskriterier
Baseret på ISO 27001 og ISO 27002
Sikkerdigital.dk – skabelon til it-beredskabsplan
ved outsourcet drift
Digitaliseringsstyrelsens vejledning i it-beredskab.
Planen beskriver, hvornår og af
hvem it-beredskabet den aktive-
res
Planen beskriver, hvornår it-be-
redskabet deaktiveres
Planen indeholder kontaktoplys-
ninger på interne og eksterne
nøglepersoner, herunder hos
eventuel it-leverandør
Planen beskriver rolle- og an-
svarsfordelingen internt i myndig-
heden samt for eventuel it-leve-
randør
Planen indeholder beskrivelser af,
hvornår og hvordan der kommu-
nikeres til interne og eksterne ak-
tører
Planen er fysisk tilgængelig
Der er krav til den maksimale re-
etableringstid i reetableringspla-
nen, i kontrakten med eventuel
leverandør eller i andre centrale
dokumenter
Der er krav til det maksimalt tålte
datatab i reetableringsplanen, i
kontrakten med eventuel leve-
randør eller i andre centrale do-
kumenter
Planen beskriver, hvilke tekniske
aktiviteter der er nødvendige for
at reetablere it-systemet
Planen beskriver, hvilke procedu-
rer der skal iværksættes for at
opretholde kritiske opgaver og
forretningsprocesser
X
X
X
X
Sikkerdigital.dk – skabelon til it-beredskabsplan
ved outsourcet drift
Digitaliseringsstyrelsens vejledning i it-beredskab.
Rigsrevisionens kriterie. Det er vigtigt, at det er af-
X
X
talt, hvornår man vender tilbage til normal drift.
Sikkerdigital.dk – skabelon til it-beredskabsplan
ved outsourcet drift
Digitaliseringsstyrelsens vejledning i it-beredskab.
Sikkerdigital.dk (beredskabsstyring/implemente-
X
X
ring)
Digitaliseringsstyrelsens vejledning i it-beredskab.
Digitaliseringsstyrelsens guide til kommunikation i
X
en beredskabssituation.
X
X
X
Sikkerdigital.dk – skabelon til it-beredskabsplan
ved outsourcet drift.
Sikkerdigital.dk – skabelon til it-beredskabsplan
ved outsourcet drift
Digitaliseringsstyrelsens vejledning i it-beredskab.
Sikkerdigital.dk – skabelon til it-beredskabsplan
Digitaliseringsstyrelsens vejledning i it-beredskab.
X
ved outsourcet drift
X
Baseret på ISO 27001 og ISO 27002.
Baseret på ISO 27001 og ISO 27002.
Note: X angiver de it-beredskabsplaner, hvor elementet er undersøgt.
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
2795147_0043.png
2
|
Myndighedernes samlede resultater.. Myndighedernes samlede resultater
|
1.
36
| Undersøgelsens revisionskriterier
Tabel B
Revisionskriterier til at vurdere test af krisestyringsplaner
Elementer, som vi har undersøgt ved
test af krisestyringsplaner
Krisestyringsplanen er testet årligt i perioden fra
januar 2020 til og med marts 2023
Ophæng til revisionskriterier
Baseret på ISO 27001 og ISO 27002
Digitaliseringsstyrelsens vejledning i
it-beredskab
Sikkerdigital.dk
skabelon til it-beredskabs-
plan ved outsourcet drift.
Resultater af testen fremgår af testrapporten
Rigsrevisionens kriterie baseret på ISO 27001
og ISO 27002. Ifølge ISO 27001 skal myndig-
hederne afprøve og teste, om beredskabspla-
nerne virker. For at sikre læring, som kan
indgå i opdaterede planer, finder Rigsrevisio-
nen, at resultaterne af testen skal fremgå af
testrapporten.
it-beredskab.
Testrapporten beskriver eventuelle forbedrings-
forslag
Digitaliseringsstyrelsens vejledning i
Tabel C
Revisionskriterier til at vurdere test af nødplaner
Elementer, som vi har undersøgt ved
test af nødplaner
Nødplanen er testet årligt i perioden fra januar
2020 til og med marts 2023
Ophæng til revisionskriterier
Baseret på ISO 27001 og ISO 27002
Digitaliseringsstyrelsens vejledning i
it-beredskab
Sikkerdigital.dk
skabelon til it-beredskabs-
plan ved outsourcet drift.
Testrapporten beskriver eventuelle forbedrings-
forslag
Digitaliseringsstyrelsens vejledning i
it-beredskab.
Tabel D
Revisionskriterier til at vurdere test af reetableringsplanerne
Elementer, som vi har undersøgt ved
test af reetableringsplaner
Reetablering af it-systemet er blevet testet årligt
i perioden fra januar 2020 til og med marts 2023
Ophæng til revisionskriterier
Baseret på ISO 27001 og ISO 27002
Digitaliseringsstyrelsens vejledning i
it-beredskab
Sikkerdigital.dk
skabelon til it-beredskabs-
plan ved outsourcet drift.
Der er udført fulde og delvise tests af reetable-
ring af it-systemet
Rigsrevisionens kriterie baseret på ISO 27001
og ISO 27002. Yderligere beskrivelse af Rigs-
revisionens kriterie om test af reetableringen
af systemerne fremgår af bilag 1 i afsnittet om
test af it-beredskabsplanerne.
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
2795147_0044.png
Myndighedernes samlede resultater |
37
Bilag 3. Myndighedernes samlede resultater
Tabel E
Indenrigs- og Sundhedsministeriet
System A
Grundlaget for it-beredskabet
Systemafhængighederne er kortlagt
Der er udarbejdet risikovurderinger, som indeholder vurderinger af
sårbarheder, trusler, konsekvenser og sandsynligheder
Krisestyringsplan
Nødplan
1)
Reetableringsplan
Krisestyringsplanens pointscore
Krisestyringsplanen er testet årligt
-
Reetableringsplanens pointscore
Der er udført en fuld reetableringstest
Der er udført en delvis reetableringstest årligt
Ja
Delvist
Nej
1)
100/100
-
100/100
Nødplan er ikke relevant, da myndigheden ikke selv er bruger af it-systemet.
Kilde:
Rigsrevisionen på baggrund af oplysninger fra Indenrigs- og Sundhedsministeriet.
Tabel F
Erhvervsstyrelsen
System B
Grundlaget for it-beredskabet
Systemafhængighederne er kortlagt
Der er udarbejdet risikovurderinger, som indeholder vurderinger af
sårbarheder, trusler, konsekvenser og sandsynligheder
Krisestyringsplan
Nødplan
Krisestyringsplanens pointscore
Krisestyringsplanen er testet årligt
Nødplanen beskriver, hvilke procedurer der skal iværksættes for at
opretholde kritiske opgaver og forretningsprocesser
Nødplanen er testet årligt
Reetableringsplan
Reetableringsplanens pointscore
Der er udført en fuld reetableringstest
Der er udført en delvis reetableringstest årligt
Ja
Delvist
Nej
Kilde:
Rigsrevisionen på baggrund af oplysninger fra Erhvervsstyrelsen.
100/100
67/100
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
2795147_0045.png
38
| Myndighedernes samlede resultater
Tabel G
Myndighed 1
System C
Grundlaget for it-beredskabet
Systemafhængighederne er kortlagt
Der er udarbejdet risikovurderinger, som indeholder
vurderinger af sårbarheder, trusler, konsekvenser og
sandsynligheder
Krisestyringsplan
Nødplan
Krisestyringsplanens pointscore
Krisestyringsplanen er testet årligt
Nødplanen beskriver, hvilke procedurer der skal iværk-
sættes for at opretholde kritiske opgaver og forretnings-
processer
Nødplanen er testet årligt
Reetableringsplan
Reetableringsplanens pointscore
Der er udført en fuld reetableringstest
Der er udført en delvis reetableringstest årligt
Ja
Delvist
Nej
Kilde:
Rigsrevisionen på baggrund af oplysninger fra myndighed 1.
System D
20/100
20/100
Ingen plan
Ingen plan
Ingen plan
8/100
Ingen plan
58/100
Tabel H
Myndighed 2
System E
Grundlaget for it-beredskabet
Systemafhængighederne er kortlagt
Der er udarbejdet risikovurderinger, som indeholder vurderinger af
sårbarheder, trusler, konsekvenser og sandsynligheder
Krisestyringsplan
Nødplan
Krisestyringsplanens pointscore
Krisestyringsplanen er testet årligt
Nødplanen beskriver, hvilke procedurer der skal iværksættes for at
opretholde kritiske opgaver og forretningsprocesser
Nødplanen er testet årligt
Reetableringsplan
Reetableringsplanens pointscore
Der er udført en fuld reetableringstest
Der er udført en delvis reetableringstest årligt
Ja
Delvist
Nej
Kilde:
Rigsrevisionen på baggrund af oplysninger fra myndighed 2.
90/100
Ingen plan
Ingen plan
17/100
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
2795147_0046.png
Myndighedernes samlede resultater |
39
Tabel I
Myndighed 3
System F
Grundlaget for it-beredskabet
Systemafhængighederne er kortlagt
Der er udarbejdet risikovurderinger, som indeholder
vurderinger af sårbarheder, trusler, konsekvenser og
sandsynligheder
Krisestyringsplan
Nødplan
Krisestyringsplanens pointscore
Krisestyringsplanen er testet årligt
Nødplanen beskriver, hvilke procedurer der skal iværk-
sættes for at opretholde kritiske opgaver og forretnings-
processer
Nødplanen er testet årligt
Reetableringsplan
Reetableringsplanens pointscore
Der er udført en fuld reetableringstest
Der er udført en delvis reetableringstest årligt
Ja
Delvist
Nej
Kilde:
Rigsrevisionen på baggrund af oplysninger fra myndighed 3.
System G
80/100
80/100
Ingen plan
Ingen plan
Ingen plan
Ingen plan
Ingen plan
Ingen plan
Tabel J
Myndighed 4
System H
Grundlaget for it-beredskabet
Systemafhængighederne er kortlagt
Der er udarbejdet risikovurderinger, som indeholder
vurderinger af sårbarheder, trusler, konsekvenser og
sandsynligheder
Krisestyringsplan
Nødplan
Krisestyringsplanens pointscore
Krisestyringsplanen er testet årligt
Nødplanen beskriver, hvilke procedurer der skal iværk-
sættes for at opretholde kritiske opgaver og forretnings-
processer
Nødplanen er testet årligt
Reetableringsplan
Reetableringsplanens pointscore
Der er udført en fuld reetableringstest
Der er udført en delvis reetableringstest årligt
Ja
Delvist
Nej
1)
System I
100/100
100/100
58/100
Ikke undersøgt
1)
System I er ressortoverført til Statens It og indgår derfor ikke i denne del af undersøgelsen.
Kilde:
Rigsrevisionen på baggrund af oplysninger fra myndighed 4.
 Statsrevisorerne beretning SB5/2023 - Bilag 1: Statsrevisorernes beretning nr. 5/2023 om statens it-beredskab II
2795147_0047.png
40
| Myndighedernes samlede resultater
Tabel K
Søfartsstyrelsen
System J
Grundlaget for
it-beredskabet
Systemafhængighederne er kortlagt
Der er udarbejdet risikovurderinger, som indeholder
vurderinger af sårbarheder, trusler, konsekvenser og
sandsynligheder
Krisestyringsplanens pointscore
Krisestyringsplanen er testet årligt
Nødplan
Nødplanen beskriver, hvilke procedurer der skal
iværksættes for at opretholde kritiske opgaver og
forretningsprocesser
Nødplanen er testet årligt
Reetableringsplan
Reetableringsplanens pointscore
Der er udført en fuld reetableringstest
Der er udført en delvis reetableringstest årligt
Ja
Delvist
Nej
1)
System K
System L
Krisestyringsplan
100/100
100/100
100/100
Ikke undersøgt
1)
Ikke undersøgt
1)
Ikke undersøgt
1)
System J, K og L er ressortoverført til Statens It og indgår derfor ikke i denne del af undersøgelsen.
Kilde:
Rigsrevisionen på baggrund af oplysninger fra Søfartsstyrelsen.