Finansudvalget 2023-24
SB 5 2
Offentligt
2823633_0001.png
Statsrevisorernes Sekretariat
Folketinget, Christiansborg
1240 København K
Stormgade 2-6
1470 København K
Telefon 72 28 24 00
[email protected]
Sagsnr.
2023-4303
Doknr.
57753
Dato
22-01-2024
Ministerredegørelse vedrørende Statsrevisorernes beretning nr. 5/2023 om statens it-be-
redskab II
Den 12. december 2023 modtog jeg Statsrevisorernes bemærkninger til Rigsrevisionens be-
retning nr. 5/2023 om statens it-beredskab II. I det følgende redegøres for de overvejelser,
som beretningen giver anledning til jf. mit virke som digitaliserings- og ligestillingsminister.
Redegørelsen forholder sig til såvel beretningens indhold og konklusioner som Statsrevisorer-
nes bemærkninger.
Først og fremmest vil jeg gerne kvittere for Statsrevisorernes bemærkninger og Rigsrevisio-
nens anden beretning om it-beredskabet i staten. Det er helt afgørende, at de statslige myn-
digheder har etableret et effektivt it-beredskab for samfundets kritiske it-systemer, så sam-
fundsvigtige processer kan opretholdes eller genoprettes i tilfælde af et større it-nedbrud.
Jeg noterer mig, at Rigsrevisionen konkluderer, at der for enkelte samfundskritiske it-syste-
mer ikke er udarbejdet risikovurderinger eller it-beredskabsplaner, mens der for andre sam-
fundskritiske it-systemer findes betydelige mangler i myndighedernes it-beredskabsplaner,
eksempelvis manglende beskrivelse af, hvordan it-systemerne skal reetableres. I beretningen
kritiserer Rigsrevisionen desuden også, at flere myndigheder ikke har gennemført tilstrække-
lige test af deres it-beredskabsplaner. Det er afgørende for it-beredskabets effektivitet, at
myndighederne tester deres forskellige typer af beredskabsplaner for at sikre, om de forud-
sætninger, som planerne bygger på, holder i praksis.
Som digitaliserings- og ligestillingsminister ser jeg alvorligt på disse forhold og finder mang-
lerne utilfredsstillende. Jeg vil derfor på baggrund af beretningen orientere alle ministerierne
om nødvendigheden af at få rettet op på forholdene, da det er de enkelte ministeriers ansvar,
at der er styr på it-beredskabet på deres område grundet sektoransvarsprincippet.
I beretningen kritiserer Rigsrevisionen desuden også, at der for 10 ud af de 12 samfundskriti-
ske it-systemer ikke er udført en fuld reetableringstest, hvilket kan betyde, at myndighederne
ikke har sikkerhed for, om it-systemerne reelt kan reetableres efter et nedbrud. Sådanne tek-
niske genopretningstests er vigtige, og jeg er enig i, at reetableringstests af samfundskritiske
it-systemer som udgangspunkt skal foretages regelmæssigt. Det bør dog samtidig bemærkes,
at der er andre hensyn, som myndighederne skal tilgodese, hvilket beretningen ikke forholder
sig til. Behovet for reetableringstests skal eksempelvis balanceres i forhold til driftsstabilitet,
økonomi og andre typer af sikkerhedstests, der kan være vigtigere at bruge ressourcer på i
forhold til systemets generelle sikkerhed.
Desuden er det vigtigt for mig at understrege, at selvom it-beredskabet er et væsentligt ele-
ment i sikkerheden, indgår der også andre sikkerhedselementer, som skal forhindre fx an-
grebsforsøg i overhovedet at komme så vidt, at beredskabet bliver aktiveret. Det er vigtigt at
Statsrevisorerne beretning SB5/2023 - Bilag 2: Digitaliserings- og ligestillingsministerens redegørelse af 22. januar 2024
2823633_0002.png
holde sig for øje, inden der drages konklusioner om den samlede sikkerhed omkring statens
samfundskritiske it-systemer.
Som digitaliserings- og ligestillingsminister er det min rolle at sikre, at myndighederne får den
rette vejledning til at løse opgaven. It-beredskabet er et af de områder, hvor myndigheder
ofte har tilkendegivet, at de har udfordringer i Digitaliseringsstyrelsens årlige ISO 27001-mo-
denhedsmålinger. Derfor er der også i regi af den nationale cyber- og informationsstrategi
2022-2024 blevet iværksat en række tiltag, som skal hjælpe myndighederne med at etablere
et effektivt it-beredskab, herunder nye krav til kontrakt- og leverandørstyring af samfundskri-
tiske it-systemer samt udviklingen af en ny vejledning for gennemførelse af reetablerings-
tests.
Samlet set er det således min vurdering, at der fra Digitaliserings- og Ligestillingsministeriet
gives gode forudsætninger for, at alle statslige myndigheder kan implementere et tilstrække-
ligt it-beredskab. Denne vurdering understøttes af, at Rigsrevisionen i beretningen fra novem-
ber 2022 konkluderede, at Digitaliseringsstyrelsen på tilfredsstillende vis havde vejledt de
statslige myndigheder i it-beredskabet.
Slutteligt noterer jeg mig, at Rigsrevisionen konkluderer, at selvom de fleste ministerier har
ført tilsyn med underliggende myndigheder, er der fortsat betydelige mangler i myndigheder-
nes it-beredskab, hvilket indikerer, at tilsynene har været mangelfulde. Med implementerin-
gen af det nye EU-direktiv om cyber- og informationssikkerhed, NIS2, kommer der øget fokus
på tilsynet med myndighederne. Eksempelvis skal der i forbindelse med implementeringen
udpeges en tilsynsmyndighed, som får reelle sanktionsmuligheder over for bl.a. ledelsen i de
myndigheder, som er omfattet af kravene i NIS2.
En kopi af denne redegørelse er sendt til Rigsrevisionen.
Med venlig hilsen
Marie Bjerre
2