Finansudvalget 2023-24
SB 5 5
Offentligt
2823635_0001.png
Statsrevisorernes Sekretariat
Folketinget
Christiansborg
1214 København K
ERHVERVSMINISTEREN
29-01-2024
Erhvervsministeriets redegørelse til Statsrevisorernes beretning nr.
5/2023 om statens it-beredskab II
Statsrevisorerne har anmodet om min redegørelse for de foranstaltninger
og overvejelser, som beretningen giver anledning til. Nedenfor redegøres
for den del af beretningen, som omhandler Erhvervsministeriet, herunder
de berørte styrelser (Erhvervsstyrelsen og Søfartsstyrelsen).
Statsrevisorerne finder, at der for 7 af de 12 undersøgte samfundskritiske
it-systemer ikke er sikret et tilfredsstillende it-beredskab. Jeg bemærker, at
Erhvervsstyrelsen og Søfartsstyrelsen vurderes delvist at have etableret et
tilfredsstillende it-beredskab, dog med visse mangler.
Erhvervsministeriet vil i lyset af beretningen samt brevet fra Statsreviso-
rerne generelt sætte øget fokus på beredskabsplanerne i tilsynet med de
samfundskritiske it-systemer.
For Erhvervsstyrelsen pågår et arbejde med risikovurderingerne, nød- og
reetableringsplan, leverandørstyring samt reetableringstest på baggrund af
Rigsrevisionens anbefalinger.
Risikovurderinger: Erhvervsstyrelsen har igangsat et arbejde med
henblik på forbedring af styrelsens risikovurderinger med fokus på
uddybning og beskrivelse af trusler og risici. På den baggrund er
der udarbejdet en ny risikovurdering for det samfundskritiske sy-
stem.
Nødplan: Rigsrevisionen bemærker i beretningen, at det fremgår af
Erhvervsstyrelsens generelle beredskabsplan, hvor beredskabspla-
ner skal være tilgængelige, men vurderer, at det er uhensigtsmæs-
sigt, at det ikke også fremgår af selve nødplanen fra marts 2023. På
den baggrund har styrelsen tydeliggjort i systemets nødplan, hvor
denne skal være tilgængelig. Herudover planlægges aktuelt test af
den nye nødplan inden udgangen af andet kvartal 2024 med henblik
på at sikre anvendelighed og kvalitet.
Reetableringsplan: Styrelsen har påbegyndt et arbejde med at fast-
lægge maksimalt tålt datatab (RPO) samt maksimal reetableringstid
ERHVERVSMINISTERIET
Slotsholmsgade 10-12
1216 København K
Tlf.
33 92 33 50
Fax.
33 12 37 78
CVR-nr. 10092485
EAN nr. 5798000026001
[email protected]
www.em.dk
Statsrevisorerne beretning SB5/2023 - Bilag 5: Erhvervsministerens redegørelse af 29. januar 2024.
2823635_0002.png
2/2
(RTO) kontraktuelt med leverandøren. Arbejdet forventes gennem-
ført i første kvartal 2024.
Leverandørstyring: Erhvervsstyrelsen har igangsat et arbejde for at
sikre, at den kontraktlige dækning af styrelsens krav til driftsleve-
randørens it-beredskab fremadrettet bliver håndteret gennem et nyt
ændringsformat til kontrakten. Arbejdet forventes afsluttet i første
kvartal 2024. For så vidt angår it-revisionserklæringer har styrelsen
bestilt en særskilt revisionserklæring for 2023 for hele Erhvervssty-
relsens portefølje.
Reetableringstest: For at imødekomme kravet om at teste, at data
kan tilgås efter reetablering, vil der fra 2024 inkluderes verifikation
af adgang til data i det samfundskritiske systems reetableringstest.
Herudover valgte styrelsen i 2023 at inkludere en fuld årlig reetab-
leringstest af det samfundskritiske aktiv i årshjulet for samarbejdet
med driftsleverandøren, hvormed Rigsrevisionens anbefaling er re-
aliseret.
Søfartsstyrelsen har ligeledes igangsat et arbejde med at imødekomme
Rigsrevisionens anbefalinger om krisestyrings- og nødplaner samt reetab-
leringstest.
Krisestyringsplan: Søfartsstyrelsen vil sikre, at der foretages en år-
lig test af krisestyringsplanen, idet der fra 2023 og frem planlægges
med årlige tests af hele krise-beredskabsplanen. Der foretages lige-
ledes evaluering og dokumentation af de årlige tests.
Nødplaner: Styrelsen har ved evaluering af beredskabet i 2023 iden-
tificeret et behov for at styrke test af nødplaner og indfører årlige
test af disse fra 2024, hvilket imødekommer beretningens anbefa-
ling.
Reetableringstest: Søfartsstyrelsen vil indføre en årlig retablerings-
test, så der bliver udført en retableringstest af alle kritiske systemer
inden for en 3 årig periode iht. gældende krav.
Erhvervsministeriet har fremsendt en kopi af denne redegørelse til Rigsre-
visionen.
Med venlig hilsen
Morten Bødskov