Statsrevisorernes Sekretariat
Folketinget, Christiansborg
1240 København K
Stormgade 2-6
1470 København K
Telefon 72 28 24 00
Sagsnr.
2023-4303
Doknr.
57753
Dato
22-01-2024
Ministerredegørelse vedrørende Statsrevisorernes beretning nr. 5/2023 om statens it-be-
redskab II
Den 12. december 2023 modtog jeg Statsrevisorernes bemærkninger til Rigsrevisionens be-
retning nr. 5/2023 om statens it-beredskab II. I det følgende redegøres for de overvejelser,
som beretningen giver anledning til jf. mit virke som digitaliserings- og ligestillingsminister.
Redegørelsen forholder sig til såvel beretningens indhold og konklusioner som Statsrevisorer-
nes bemærkninger.
Først og fremmest vil jeg gerne kvittere for Statsrevisorernes bemærkninger og Rigsrevisio-
nens anden beretning om it-beredskabet i staten. Det er helt afgørende, at de statslige myn-
digheder har etableret et effektivt it-beredskab for samfundets kritiske it-systemer, så sam-
fundsvigtige processer kan opretholdes eller genoprettes i tilfælde af et større it-nedbrud.
Jeg noterer mig, at Rigsrevisionen konkluderer, at der for enkelte samfundskritiske it-syste-
mer ikke er udarbejdet risikovurderinger eller it-beredskabsplaner, mens der for andre sam-
fundskritiske it-systemer findes betydelige mangler i myndighedernes it-beredskabsplaner,
eksempelvis manglende beskrivelse af, hvordan it-systemerne skal reetableres. I beretningen
kritiserer Rigsrevisionen desuden også, at flere myndigheder ikke har gennemført tilstrække-
lige test af deres it-beredskabsplaner. Det er afgørende for it-beredskabets effektivitet, at
myndighederne tester deres forskellige typer af beredskabsplaner for at sikre, om de forud-
sætninger, som planerne bygger på, holder i praksis.
Som digitaliserings- og ligestillingsminister ser jeg alvorligt på disse forhold og finder mang-
lerne utilfredsstillende. Jeg vil derfor på baggrund af beretningen orientere alle ministerierne
om nødvendigheden af at få rettet op på forholdene, da det er de enkelte ministeriers ansvar,
at der er styr på it-beredskabet på deres område grundet sektoransvarsprincippet.
I beretningen kritiserer Rigsrevisionen desuden også, at der for 10 ud af de 12 samfundskriti-
ske it-systemer ikke er udført en fuld reetableringstest, hvilket kan betyde, at myndighederne
ikke har sikkerhed for, om it-systemerne reelt kan reetableres efter et nedbrud. Sådanne tek-
niske genopretningstests er vigtige, og jeg er enig i, at reetableringstests af samfundskritiske
it-systemer som udgangspunkt skal foretages regelmæssigt. Det bør dog samtidig bemærkes,
at der er andre hensyn, som myndighederne skal tilgodese, hvilket beretningen ikke forholder
sig til. Behovet for reetableringstests skal eksempelvis balanceres i forhold til driftsstabilitet,
økonomi og andre typer af sikkerhedstests, der kan være vigtigere at bruge ressourcer på i
forhold til systemets generelle sikkerhed.
Desuden er det vigtigt for mig at understrege, at selvom it-beredskabet er et væsentligt ele-
ment i sikkerheden, indgår der også andre sikkerhedselementer, som skal forhindre fx an-
grebsforsøg i overhovedet at komme så vidt, at beredskabet bliver aktiveret. Det er vigtigt at