Statsrevisorerne beretning SB5/2023 - Bilag 6: Rigsrevisionens fortsatte notat af 26. november 2024 om beretning nr. 5/2023 om statens it-beredskab II

Finansudvalget 2024-25
SB 5 6
Offentligt

December 2024

Rigsrevisionens notat om

beretning om

statens it-beredskab II

Statsrevisorerne beretning SB5/2023 - Bilag 6: Rigsrevisionens fortsatte notat af 26. november 2024 om beretning nr. 5/2023 om statens it-beredskab II

Fortsat notat til Statsrevisorerne

Opfølgning i sagen om statens it-beredskab II

(beretning nr. 5/2023)

26. november 2024

RN 1118/24

I. Baggrund og konklusion

1. Rigsrevisionen følger i dette notat op på sagen om statens it-beredskab II, som blev

indledt med en beretning i december 2023. Opfølgningen sker med henblik på at vur-

dere, om ministeriernes initiativer adresserer den kritik, der fremgår af Statsrevisorer-

nes bemærkninger og Rigsrevisionens beretning. Vi har tidligere behandlet sagen i no-

tat til Statsrevisorerne af 5. marts 2024.

2. Beretningen handlede om, hvorvidt staten havde et tilfredsstillende it-beredskab for

12 udvalgte samfundskritiske it-systemer.

3. Da Statsrevisorerne behandlede beretningen, kritiserede de, at der for 7 af de 12 un-

dersøgte samfundskritiske it-systemer ikke var sikret et tilfredsstillende it-beredskab.

Det indebar risiko for, at staten ikke kunne opretholde eller markant fik forstyrret løs-

ningen af samfundskritiske opgaver i tilfælde af større it-nedbrud, hackerangreb, fysi-

ske skader e.l. Statsrevisorerne fandt det særdeles nødvendigt, at de undersøgte myn-

digheder hurtigst muligt fik rettet op på de mangler, som Rigsrevisionen havde påpe-

get. Det gjaldt især test af it-beredskabsplanerne og kvaliteten af planerne.

4. Figur 1 viser de myndigheder og it-systemer, der indgik i undersøgelsen.

Figur 1

Sagsforløb for en større

undersøgelse

Beretning

Ministerredegørelse

§ 18, stk. 4-notat

Fortsat notat

Sagen afsluttes

Du kan læse mere om

forløbet og de enkelte step

på

www.rigsrevisionen.dk

Myndigheder og it-systemer i Rigsrevisionens undersøgelse

INDENRIGS- OG

SUNDHEDS-

MINISTERIET

ERHVERVS-

STYRELSEN

MYNDIGHED 1

MYNDIGHED 2

MYNDIGHED 3

MYNDIGHED 4

SØFARTS-

STYRELSEN

CPR-systemet

(System A)

System B

System C

System D

System E

System F

System G

System H

System I

System J

System K

System L

Statsrevisorerne beretning SB5/2023 - Bilag 6: Rigsrevisionens fortsatte notat af 26. november 2024 om beretning nr. 5/2023 om statens it-beredskab II

Anonymisering

Notatet indeholder vurderin-

ger af sikkerhedsmæssige

procedurer i relation til offent-

lige it-systemer. Nogle af de

undersøgte myndigheder og

alle systemnavne med undta-

gelse af ét system er anony-

miseret i notatet. Det skyldes,

at myndighederne konkret

vurderer, at oplysninger om

myndighedernes it-beredskab

er fortrolige oplysninger. Rigs-

revisionen har ikke grundlag

for at tilsidesætte denne vur-

dering.

Ressortændringer

Digitalisereringsministeriet, som har overtaget ansvaret for CPR-systemet fra Inden-

rigs- og Sundhedsministeriet, har oplyst, at fortroligheden kan ophæves for systemet.

Siden afgivelsen af beretningen har myndighed 1 vurderet, at

system D

ikke længere

er samfundskritisk. Derfor indgår

system D

ikke i denne opfølgning.

Rigsrevisionen har på foranledning af Statsrevisorerne også fulgt op på Digitaliserings-

og Ligestillingsministeriets (nu Ministeriet for Samfundssikkerhed og Beredskab) vej-

ledninger om gennemførelse af reetableringstests og ministeriets initiativer, der skal

hjælpe myndighederne med at etablere et effektivt it-beredskab.

5. Det fremgik af beretningen, at ministerierne ikke havde sikret et tilfredsstillende it-

beredskab på forskellige områder. I dette notat følger vi op på følgende:

•

Indenrigs- og Sundhedsmini-

steriet og Digitaliserings- og

Ligestillingsministeriet var om-

fattet af den kongelige resolu-

tion af 29. august 2024. Det

betyder, at ansvaret for CPR-

systemet nu er overflyttet fra

Indenrigs- og Sundhedsmini-

steriet til det nye Digitalise-

ringsministerium. Arbejdet

med vejledninger for gennem-

førelse af reetableringstests

er overflyttet fra det gamle

Digitaliserings- og Ligestil-

lingsministerium til det nye

Ministerium for Samfunds-

sikkerhed og Beredskab.

•

myndighedernes arbejde med at udarbejde risikovurderinger af de udvalgte sam-

fundskritiske it-systemer (Erhvervsstyrelsen, myndighed 3 og myndighed 4)

myndighedernes arbejde med at implementere tilfredsstillende krisestyringspla-

ner og tests af planerne (Indenrigs- og Sundhedsministeriet, myndighed 1, myndig-

hed 2, myndighed 3, myndighed 4 og Søfartsstyrelsen)

myndighedernes arbejde med at implementere tilfredsstillende nødplaner og tests

af planerne (myndighed 1, myndighed 2, myndighed 3, myndighed 4 og Søfartssty-

relsen)

myndighedernes arbejde med at sikre tilfredsstillende reetableringsplaner, og at

der er udført tilfredsstillende reetableringstests (Indenrigs- og Sundhedsministe-

riet, Erhvervsstyrelsen, myndighed 1, myndighed 2, myndighed 3, myndighed 4 og

Søfartsstyrelsen)

Indenrigs- og Sundhedsministeriets tilsyn med it-beredskabet hos ministeriets

myndigheder

Digitaliserings- og Ligestillingsministeriets arbejde med vejledninger for gennem-

førelse af reetableringstests samt øvrige initiativer, der skal hjælpe myndigheder-

ne med at etablere et effektivt it-beredskab.

Konklusion

Myndighederne har på forskellige områder gennemført initiativer for at rette op på de-

res it-beredskab. Alle myndigheder har nu sikret tilfredsstillende risikovurderinger og

krisestyringsplaner. Indenrigs- og Sundhedsministeriet har derudover som den eneste

myndighed sikret en tilfredsstillende reetableringsplan og test for sit it-system

(CPR-sy-

stemet).

Rigsrevisionen vurderer på den baggrund, at en række af punkterne kan afslut-

tes. Figur 2 på s. 5 viser, hvor stor en andel af myndighedernes it-beredskab, som Rigs-

revisionen nu vurderer er tilfredsstillende.

Rigsrevisionens opfølgning viser, at nogle myndigheder næsten er i mål med at sikre et

tilfredsstillende it-beredskab, mens andre myndigheder fortsat har store mangler. På

tværs af myndighederne er manglerne særligt udtalte i forhold til at sikre tilstrækkelige

reetableringstests.

Statsrevisorerne beretning SB5/2023 - Bilag 6: Rigsrevisionens fortsatte notat af 26. november 2024 om beretning nr. 5/2023 om statens it-beredskab II

Rigsrevisionen vil fortsat følge udviklingen og orientere Statsrevisorerne om:

•

myndighedernes arbejde med at sikre tilfredsstillende tests af krisestyringsplanerne

(myndighed 1, myndighed 2 og myndighed 4)

myndighedernes arbejde med at implementere tilfredsstillende nødplaner og tests

af planerne (myndighed 1, myndighed 2, myndighed 4 og Søfartsstyrelsen)

myndighedernes arbejde med at sikre tilfredsstillende reetableringsplaner og tests

af planerne (Erhvervsstyrelsen, myndighed 1, myndighed 2, myndighed 3, myndig-

hed 4 og Søfartsstyrelsen)

Digitaliseringsministeriets tilsyn med it-beredskabet hos CPR-administrationen.

•

Rigsrevisionens opfølgning viser, at Digitaliserings- og Ligestillingsministeriet har udar-

bejdet en vejledning til myndighederne om, hvordan de kan indarbejde krav til bl.a.

beredskabet i deres kontrakter med eksterne leverandører. Rigsrevisionen vurderer, at

denne del af sagen kan afsluttes.

Rigsrevisionen vil dog fortsat følge udviklingen og orientere Statsrevisorerne om:

•

Ministeriet for Samfundssikkerhed og Beredskabs arbejde med en ny vejledning for

gennemførelse af reetableringstests for samfundskritiske it-systemer samt ministe-

riets arbejde med at implementere konkrete initiativer til håndtering af det fremti-

dige tilsyn med it-beredskabet i de statslige myndigheder og ministeriets initiativer

i forlængelse af den seneste modenhedsmåling.

II. Status på sagen

6. På baggrund af beretningen og Statsrevisorernes bemærkninger har vi fulgt op på

følgende punkter:

Opfølgningspunkt

1. Myndighedernes arbejde med at udarbejde risi-

kovurderinger af de udvalgte samfundskritiske it-

systemer.

2. Myndighedernes arbejde med at implementere

tilfredsstillende krisestyringsplaner og tests af pla-

nerne.

Status

Behandles og afsluttes i dette notat.

Et opfølgningspunkt afsluttes,

når Statsrevisorerne på bag-

grund af indstilling fra Rigsre-

visionen vurderer, at myndig-

hedernes initiativer er tilfreds-

stillende.

Behandles i dette notat.

Opfølgningen på Indenrigs- og Sund-

hedsministeriets, myndighed 3’s og Sø-

fartsstyrelsens arbejde afsluttes med

dette notat, mens myndighed 1’s, myn-

dighed 2’s og myndigheds 4’s arbejde

fortsat følges.

Behandles i dette notat.

Opfølgningen på myndighed 3’s arbejde

afsluttes med dette notat, mens myndig-

hed 1’s, myndighed 2’s, myndighed 4’s

og Søfartsstyrelsens arbejde fortsat føl-

ges.

3. Myndighedernes arbejde med at implementere

tilfredsstillende nødplaner og tests af planerne.

Statsrevisorerne beretning SB5/2023 - Bilag 6: Rigsrevisionens fortsatte notat af 26. november 2024 om beretning nr. 5/2023 om statens it-beredskab II

Opfølgningspunkt

4. Myndighedernes arbejde med at sikre tilfreds-

stillende reetableringsplaner, og at der er udført

tilfredsstillende reetableringstests.

Status

Behandles i dette notat.

Opfølgningen på Indenrigs- og Sund-

hedsministeriets arbejde afsluttes med

dette notat, mens Erhvervsstyrelsens,

myndighed 1’s, myndighed 2’s, myndig-

heds 3’s, myndigheds 4’s og Søfartssty-

relsens arbejde fortsat følges.

Behandles i dette notat og følges fortsat.

Vi vil desuden følge de supplerende initia-

tiver, som Statsrevisorerne bad digitalise-

rings- og ligestillingsministeren om at re-

degøre for i forlængelse af deres behand-

ling af notat af 5. marts 2024.

5. Indenrigs- og Sundhedsministeriets tilsyn med

it-beredskabet hos deres myndigheder.

6. Digitaliserings- og Ligestillingsministeriets arbej-

de med vejledninger for gennemførelse af reetable-

ringstests.

III. Ministeriernes initiativer

7. Vi gennemgår i det følgende ministeriernes initiativer i forhold til opfølgningspunk-

terne.

8. Opfølgningen er baseret på Rigsrevisionens gennemgang af dokumentation for

ministeriernes initiativer, bl.a. vedrørende krisestyringsplaner, nødplaner og reetable-

ringsplaner. Rigsrevisionen har desuden gennemgået tests af myndighedernes planer.

Rigsrevisionens opfølgning omfatter initiativer og forbedringer, der er foretaget siden

afgivelsen af beretningen og frem til og med oktober 2024.

9. Figur 2 viser, hvor stor en andel af de undersøgte myndigheders it-beredskab, der

blev vurderet tilfredsstillende i beretningen, og hvor stor en andel af myndighedernes

it-beredskab der vurderes at være tilfredsstillende ved denne opfølgning. Myndighe-

dernes resultater inden for de forskellige dele af it-beredskabet er udfoldet nedenfor.

Statsrevisorerne beretning SB5/2023 - Bilag 6: Rigsrevisionens fortsatte notat af 26. november 2024 om beretning nr. 5/2023 om statens it-beredskab II

Figur 2

Status på myndighedernes it-beredskab

Indenrigs- og

Sundheds-

ministeriet

29 %

100 %

90 %

80 %

70 %

Erhvervs-

styrelsen

15 %

Myndighed 1

Myndighed 2

Myndighed 3

Myndighed 4

Søfarts-

styrelsen

30 %

45 %

70 %

25 %

32 %

44 %

36 %

29 %

65 %

60 %

90 %

73 %

50 %

40 %

30 %

94 %

71 %

70 %

85 %

75 %

55 %

30 %

35 %

56 %

68 %

64 %

71 %

20 %

10 %

28 %

Beretning

Opfølgning

Tilfredsstillende

Ikke tilfredsstillende

Note: Tallene er baseret på antallet af punkter, som myndighederne skal leve op til. Vi har vægtet punkterne ligeligt.

Kilde:

Rigsrevisionens vurdering på baggrund af dokumentation fra myndighederne.

Grundlaget for it-beredskabet

10. Det fremgik af beretningen, at Erhvervsstyrelsen, myndighed 3 og myndighed 4 ik-

ke havde udarbejdet tilstrækkelige risikovurderinger for alle deres undersøgte it-sy-

stemer.

11. Vores opfølgning viser, at alle myndighederne nu har udarbejdet risikovurderinger

for de undersøgte it-systemer. Rigsrevisionen vurderer, at denne del af sagen kan af-

sluttes.

Opfølgning

Statsrevisorerne beretning SB5/2023 - Bilag 6: Rigsrevisionens fortsatte notat af 26. november 2024 om beretning nr. 5/2023 om statens it-beredskab II

Krisestyringsplaner

12. Det fremgik af beretningen, at krisestyringsplanerne for myndighed 1, myndighed 2

og myndighed 3 ikke indeholdt alle de centrale elementer, som bør indgå i en krisesty-

ringsplan. Det fremgik også, at alle myndighederne med undtagelse af Erhvervsstyrel-

sen ikke havde sikret tilfredsstillende tests af deres krisestyringsplaner.

13. Tabel 1 viser status for myndighedernes krisestyringsplaner og tests ved vores op-

følgning.

Tabel 1

Rigsrevisionens gennemgang af myndighedernes krisestyringsplaner og tests

Indenrigs-

og Sundheds-

ministeriet

Er der implementeret

en tilfredsstillende

krisestyringsplan

Er krisestyrings-

planen blevet testet?



Delvist



Nej

Erhvervs-

styrelsen

Myndighed

Søfarts-

styrelsen



Myndighedernes krisestyringsplaner indeholder alle de centrale elementer, der bør fremgå af en krisestyringsplan.

Note: Tabellen er en opdatering af figur 4 og tabel 3 i beretningen.

Kilde:

Rigsrevisionens vurdering på baggrund af dokumentation fra myndighederne.

Rigsrevisionen vil fortsat

følge

Krisestyrings-

plan

Indenrigs- og

Sundheds-

ministeriet

Erhvervs-

styrelsen

Myndighed 1

Myndighed 2

Myndighed 3

Myndighed 4

Plan Test

Nej

Det fremgår af tabel 1, at krisestyringsplanerne for alle myndigheder nu indeholder alle

de centrale elementer, som bør indgå i en krisestyringsplan.

Vores opfølgning viser desuden, at Indenrigs- og Sundhedsministeriet og myndighed

3 i maj 2024 har testet sine krisestyringsplaner. Søfartsstyrelsen har testet sin krise-

styringsplan i marts 2024.

Endelig viser opfølgningen, at myndighed 1, myndighed 2 og myndighed 4 ikke siden

afgivelsen af beretningen har testet deres krisestyringsplaner. Myndighed 1 og myn-

dighed 2 oplyser, at de forventer at teste deres krisestyringsplaner i 4. kvartal 2024.

Myndighed 4 oplyser, at de har testet krisestyringsplanen, men Rigsrevisionen har ik-

ke modtaget dokumentation for testen.

Nødplaner for it-systemerne

Nej

Søfartsstyrelsen Nej

14. Det fremgik af beretningen, at myndighed 1 og myndighed 2 slet ikke havde udar-

bejdet nødplaner for deres undersøgte it-systemer, mens myndighed 3 og myndig-

hed 4 ikke havde sikret tilfredsstillende nødplaner for deres it-systemer. Det fremgik

også, at det kun var Erhvervsstyrelsens nødplan, der var testet tilstrækkeligt.

15. Tabel 2 viser status for myndighedernes nødplaner og tests ved vores opfølgning.

Statsrevisorerne beretning SB5/2023 - Bilag 6: Rigsrevisionens fortsatte notat af 26. november 2024 om beretning nr. 5/2023 om statens it-beredskab II

Tabel 2

Rigsrevisionens gennemgang af myndighedernes nødplaner og tests

Indenrigs-

og Sundheds-

ministeriet

It-system

Er der en nødplan,

som beskriver, hvilke

procedurer der skal

iværksættes for at

opretholde kritiske

opgaver og forret-

ningsprocesser?

Er det beskrevet i

nødplanen, hvor den

er tilgængelig?

Er nødplanen blevet

testet?

CPR-systemet

Erhvervs-

styrelsen

Myndighed

Søfarts-

styrelsen



Delvist



Nej



Ikke relevant

Note:

Ved ”-” er kriteriet ikke vurderet, da der ikke er udarbejdet en nødplan.

Grå baggrund betyder, at systemet ikke længere vurderes som sam-

fundskritisk. Tabellen er en opdatering af tabel 4 og tabel 5 i beretningen.

Kilde:

Rigsrevisionens vurdering på baggrund af dokumentation fra myndighederne.

Det fremgår af tabel 2, at myndighed 1, myndighed 3 og myndighed 4 siden afgivelsen

af beretningen har udarbejdet tilfredsstillende nødplaner for alle deres undersøgte it-

systemer.

Vores opfølgning viser desuden, at myndighed 3 har testet nødplanerne for begge sine

systemer. For begge de testrapporter, som Rigsrevisionen har modtaget fra myndig-

hed 3, gælder det dog, at testrapporterne ikke er dateret.

Endelig viser opfølgningen, at myndighed 2 fortsat ikke har udarbejdet en nødplan, og

at myndighed 1, myndighed 4 og Søfartsstyrelsen fortsat ikke har testet nødplanerne

for alle deres undersøgte it-systemer. Myndighed 1 og myndighed 4 oplyser, at de for-

venter at teste nødplanenerne for

system C

system I

i 4. kvartal 2024.

Reetableringsplaner for it-systemerne

Rigsrevisionen vil fortsat

følge

Nødplan

Erhvervs-

styrelsen

Myndighed 1

Myndighed 2

Myndighed 3

Myndighed 4

Plan Test

Nej

Søfartsstyrelsen Nej

16. Det fremgik af beretningen, at hovedparten af reetableringsplanerne for it-syste-

merne ikke var tilfredsstillende, og at der for 2 af it-systemerne

(system F

system G)

slet ikke var udarbejdet reetableringsplaner.

17. Tabel 3 viser status for myndighedernes reetableringsplaner ved vores opfølgning.

Statsrevisorerne beretning SB5/2023 - Bilag 6: Rigsrevisionens fortsatte notat af 26. november 2024 om beretning nr. 5/2023 om statens it-beredskab II

Tabel 3

Rigsrevisionens gennemgang af myndighedernes reetableringsplaner

Indenrigs-

og Sundheds-

ministeriet

It-system

Aktivering og

deaktivering af re-

etableringsplanen

Tekniske aktiviteter

til reetablering af

systemet

Maksimal reetable-

ringstid (RTO)

Maksimalt tålt

datatab (RPO)

Kontaktoplysninger

Rolle- og ansvars-

fordeling

CPR-systemet



Erhvervs-

styrelsen



Myndighed



Myndighed



Myndighed



Myndighed



Søfarts-

styrelsen



Delvist



Nej



Ikke relevant, da ansvaret for it-systemerne er ressortoverført til Statens It

Siden afgivelsen af beretningen er ansvaret for at udarbejde en reetableringsplan for

system H

overflyttet til Statens It. Rigsrevisionen har derfor

ikke undersøgt reetableringsplanen for dette system.

Note: Grå baggrund betyder, at systemet ikke længere vurderes som samfundskritisk. Tabellen er en opdatering af figur 6 og figur 7 i beretningen.

Kilde:

Rigsrevisionens vurdering på baggrund af dokumentation fra myndighederne.

Det fremgår af tabel 3, at der for 4 af it-systemerne fortsat er flere mangler i reetable-

ringsplanerne

(system C, E, F

G).

Vores opfølgning viser desuden, at Erhvervsstyrelsen siden afgivelsen af beretningen

har sikret, at reetableringsplanen for styrelsens undersøgte it-system

(system B)

blevet opdateret, så den nu indeholder alle de centrale elementer, som bør fremgå af

en reetableringsplan.

Endelig viser opfølgningen, at myndighed 1 og myndighed 2 siden afgivelsen af beret-

ningen ikke har fået udarbejdet eller opdateret reetableringsplanerne for

system C

system E.

Myndighed 1 oplyser, at reetableringsplanen for

system C

skal udarbejdes i

4. kvartal 2024. Myndighed 2 oplyser, at en reetableringsplan for

system E

forventes

udarbejdet i 2. halvår 2024.

Myndighed 3 har nu sikret, at der er udarbejdet reetableringsplaner for

system F

sy-

stem G,

mens der på undersøgelsestidspunktet slet ikke forelå reetableringsplaner.

Reetableringsplanerne indeholder nu en del af de centrale elementer, der bør fremgå

af en reetableringsplan, men der er fortsat nogle mangler i begge planer. Rigsrevisio-

nen bemærker, at reetableringsplanerne for

system F

system G

ikke er daterede.

Statsrevisorerne beretning SB5/2023 - Bilag 6: Rigsrevisionens fortsatte notat af 26. november 2024 om beretning nr. 5/2023 om statens it-beredskab II

18. Det fremgik også af beretningen, at reetableringsplanerne kun var blevet testet for

3 af de undersøgte it-systemer

(CPR-systemet, system B

system K).

Ingen af disse

tests var dog tilstrækkelige. De øvrige 9 it-systemer var ikke blevet testet.

19. Tabel 4 viser status for myndighedernes tests af reetableringsplanerne ved vores

opfølgning.

Tabel 4

Rigsrevisionens gennemgang af myndighedernes tests af reetableringsplaner

Indenrigs-

og Sundheds-

ministeriet

It-system

Er der udført en fuld

reetableringstest?

Er reetableringstiden

(RTO) testet efter

fuld reetablering?

Er systemets funk-

tionalitet testet efter

fuld reetablering?



Delvist



Nej

Erhvervs-

styrelsen



Myndighed



Myndighed



Myndighed



Myndighed



Søfarts-

styrelsen



CPR-systemet



Gul betyder, at der kun har været foretaget delvise reetableringstests, hvor dele af it-systemerne er reetableret i perioden januar 2020 - oktober

2024.

Note: Grå baggrund betyder, at systemet ikke længere vurderes som samfundskritisk. Tabellen er en opdatering af tabel 6 i beretningen.

Kilde:

Rigsrevisionen på baggrund af dokumentation fra myndighederne.

Det fremgår af tabel 4, at Indenrigs- og Sundhedsministeriet som den eneste myndig-

hed nu har sikret tilfredsstillende tests af sin reetableringsplan

(CPR-systemet).

Vores opfølgning viser desuden, at reetableringsplanerne for de resterende 10 it-sy-

stemer fortsat ikke er testet tilstrækkeligt, herunder at reetableringsplanerne for

sy-

stem C, E, F, G, H, I, J

slet ikke er testet i perioden januar 2020 - oktober 2024.

For Erhvervsstyrelsens undersøgte it-system er der ikke foretaget yderligere tests si-

den afgivelsen af beretningen. Erhvervsstyrelsen oplyser, at styrelsen forventer at fo-

retage en fuld test af systemet i slutningen af 4. kvartal 2024.

Endelig viser opfølgningen, at de øvrige myndigheder ikke har testet deres 9 under-

søgte it-systemer siden afgivelsen af beretningen. Myndighed 1 oplyser, at de har plan-

lagt en test af reetableringsplanen for

system C

i 1. kvartal 2025. Myndighed 2 oplyser,

at de forventer at teste reetableringsplanen for

system E

i 4. kvartal 2024. Samtidig

oplyser myndighed 3, at de forventer at teste reetableringsplanerne for

system F

system G

i 2. halvår 2024. Myndighed 4 oplyser, at de planlægger reetableringstests

system H

system I,

som de forventer at gennemføre i 1. halvår 2025.

Rigsrevisionen vil fortsat

følge

Reetablerings- Plan Test

plan

Indenrigs- og

Sundheds-

ministeriet

Erhvervs-

styrelsen

Myndighed 1

Myndighed 2

Myndighed 3

Myndighed 4

Nej

Søfartsstyrelsen Nej

Statsrevisorerne beretning SB5/2023 - Bilag 6: Rigsrevisionens fortsatte notat af 26. november 2024 om beretning nr. 5/2023 om statens it-beredskab II

Indenrigs- og Sundhedsministeriets tilsyn

Rigsrevisionen vil fortsat

følge

Tilsyn

Digitaliserings-

ministeriet

Erhvervsstyrelsen

Myndighed 1

Myndighed 2

Myndighed 3

Myndighed 4

Søfartsstyrelsen

Nej

20. Det fremgik af beretningen, at alle ministerier undtagen Indenrigs- og Sundheds-

ministeriet havde ført tilsyn med it-beredskabet hos de undersøgte myndigheder.

21. Vores opfølgning viser, at Indenrigs- og Sundhedsministeriet ikke siden afgivelsen

af beretningen har ført tilsyn med CPR-administrationen. Opfølgningen viser også, at

Digitaliseringsministeriet, som den 29. august 2024 overtog ansvaret for området, ik-

ke har udført et tilsyn med it-beredskabet hos CPR-administrationen. Rigsrevisionen

vil fortsat følge Digitaliseringsministeriets tilsyn med it-beredskabet hos CPR-admini-

strationen.

Digitaliserings- og Ligestillingsministeriets arbejde med vejledninger

for gennemførelse af reetableringstests

22. Det fremgik af notat til Statsrevisorerne af 5. marts 2024, at Rigsrevisionen fortsat

ville følge Digitaliserings- og Ligestillingsministeriets arbejde med vejledninger for gen-

nemførelse af reetableringstests. I forlængelse af behandlingen af notatet bad Stats-

revisorerne i april 2024 digitaliserings- og ligestillingsministeren om at redegøre for

status for en række initiativer. Det drejer sig om følgende initiativer:

nye krav til kontrakt- og leverandørstyring af samfundskritiske it-systemer

en ny vejledning for gennemførelse af reetableringstests for samfundskritiske it-

systemer

•

implementering af EU-direktivet om cyber- og informationssikkerhed (NIS 2-direk-

tivet), særligt i forhold til tilsynet med myndighedernes it-beredskab

•

en opfølgning på de modenhedsmålinger, som Digitaliseringsstyrelsen modtager

fra alle myndigheder, og hvilke initiativer målingerne har givet anledning til på it-be-

redskabsområdet.

•

Rigsrevisionen vil fortsat

følge

Vejledning

Krav til kontrakt- og

leverandørstyring

Vejledning for gen-

nemførelse af reeta-

bleringstests for sam-

fundskritiske it-sy-

stemer

Nej

Implementering af

ini-

tiativer vedrørende det

fremtidige tilsyn med

it-beredskabet i de

statslige myndigheder

Initiativer som følge af

den seneste moden-

hedsmåling

23. Opgaver relateret til vejledninger i it-sikkerhed er pr. 29. august 2024 ressortover-

ført til det nyoprettede Ministerium for Samfundssikkerhed og Beredskab. Denne op-

følgning er primært baseret på oplysninger fra Digitaliserings- og Ligestillingsministe-

riet, dvs. forud for ressortoverdragelsen.

24. Vores opfølgning viser, at Digitaliserings- og Ligestillingsministeriet har udarbejdet

et katalog over krav til kontrakt- og leverandørstyring for samfundskritiske it-syste-

mer, der blev offentliggjort i januar 2023. Kravene i kataloget retter sig mod samfunds-

kritiske it-systemer, hvor opgaven med drift af it-systemet er outsourcet til en ekstern

leverandør.

Det fremgår bl.a. i forbindelse med krav til leverandørstyring, at myndigheden med in-

put fra leverandøren skal udarbejde en beredskabsplan og sikre, at leverandørens it-

beredskabsplan for det samfundskritiske it-system understøtter planen. Ligeledes

fremgår det, at myndigheden i samarbejde med leverandøren skal teste beredskabs-

planen og øve it-beredskabet for det samfundskritiske it-system minimum én gang

om året eller ved væsentlige ændringer. Det er angivet i kataloget over krav, at det er

myndighedens eget ansvar at sikre, at kravene implementeres, herunder at der indfø-

jes relevante bestemmelser i myndighedernes kontrakter. Rigsrevisionen vurderer, at

denne del af sagen kan afsluttes.

Statsrevisorerne beretning SB5/2023 - Bilag 6: Rigsrevisionens fortsatte notat af 26. november 2024 om beretning nr. 5/2023 om statens it-beredskab II

25. Vores opfølgninger viser også, at Digitaliserings- og Ligestillingsministeriet har ud-

arbejdet et udkast til en ny vejledning for gennemførelse af reetableringstests for sam-

fundskritiske it-systemer. Digitaliserings- og Ligestillingsministeriet oplyser, at vejled-

ningen forventes offentliggjort på sikkerdigital.dk inden udgangen af 2024. Ministeriet

for Samfundssikkerhed og Beredskab oplyser, at ministeriet ligeledes forventer at of-

fentliggøre vejledningen i 2024.

26. Vores opfølgning viser, at der endnu ikke er implementeret konkrete initiativer til

håndtering af det fremtidige tilsyn med de statslige myndigheders it-beredskab, hvil-

ket sker som led i implementeringen af NIS 2-direktivet. Digitaliserings- og Ligestillings-

ministeriet oplyser, at det bl.a. skyldes, at det endnu ikke er endeligt afklaret, hvor og

hvordan tilsynsansvaret og de øvrige opgaver skal fordeles mellem forskellige myn-

digheder. Digitaliseringsstyrelsen oplyser, at styrelsen afventer den endelige NIS 2-lov

og forventer, at tilrettelæggelsen af tilsynet skal afstemmes mellem de forskellige sek-

tormyndigheder, så der kan udarbejdes en ensartet tilsynspraksis på tværs af sekto-

rer. Ministeriet for Samfundssikkerhed og Beredskab oplyser, at ministeriet forventer,

at loven om gennemførelse af NIS 2-direktivet træder i kraft den 1. juli 2025. Ministeriet

for Samfundssikkerhed og Beredskab oplyser desuden, at ministeriet etablerer en

NIS 2-taskforce, som får til opgave at sikre en bred inddragelse af myndigheder, virk-

somheder og brancheorganisationer. Derudover skal taskforcen påse udarbejdelse af

relevante vejledninger.

27. I relation til modenhedsmålingerne viser vores opfølgning, at den seneste ISO

27001-modenhedsmåling vedrørende it-beredskab blev udført i april 2024. Andelen

af myndigheder, som selv vurderer, at de har opnået fuld implementering af ISO 27001-

standarden for området

”beredskabsplaner”,

er steget lidt siden modenhedsmålingen

i 2023.

Digitaliseringsstyrelsen oplyser, at styrelsen på baggrund af den seneste ISO 27001-

modenhedsmåling har gennemført en række interviews med cyber- og informations-

sikkerhedskoordinatorer i udvalgte myndigheder. Styrelsen oplyser også, at styrelsen

har igangsat en opdatering af det samlede vejledningsmateriale om beredskabssty-

ring for offentlige myndigheder. I den proces oplyser styrelsen, at der vil blive afholdt

brugerworkshops med repræsentanter fra statslige, kommunale og regionale myndig-

heder. Det er forventningen, at materialet opdateres i løbet af 2. halvår 2024. Ministe-

riet for Samfundssikkerhed og Beredskab oplyser, at ministeriet ligeledes forventer, at

den planlagte opdatering gennemføres i 2024. Derudover oplyser ministeriet, at der

inden udgangen af 2024 vil blive foretaget en begrænset opfølgning over for enkelte

myndigheder i forhold til myndighedernes ISO-målinger.

Digitaliseringsstyrelsen oplyser, at der i foråret og sommeren 2024 blev igangsat et ar-

bejdet med en ny national strategi for cyber- og informationssikkerhed. I den forbindel-

se er der overvejelser om et selvstændigt initiativ, hvor vejledningen om beredskab

bredes yderligere ud i forskellige temaer, fx nødplaner. Digitaliseringsstyrelsen oply-

ser også, at arbejdet med en ny strategi er sat på hold på grund af ressortændringen

som følge af regeringsomdannelsen den 29. august 2024.

Sikkerdigital.dk

På sikkerdigital.dk kan borge-

re og myndigheder finde vi-

den, vejledninger og konkrete

værktøjer til en sikker digital

hverdag. Bag sikkerdigital.dk

står Ministeriet for Samfunds-

sikkerhed og Beredskab samt

en række samarbejdspartnere.

Statsrevisorerne beretning SB5/2023 - Bilag 6: Rigsrevisionens fortsatte notat af 26. november 2024 om beretning nr. 5/2023 om statens it-beredskab II

Som følge af ressortændringen oplyser Ministeriet for Samfundssikkerhed og Bered-

skab, at tilrettelæggelsen af den fremtidige opgaveløsning vedrørende vejledning ge-

nerelt er ved at blive afklaret.

28. Hele sagen kan følges på www.rigsrevisionen.dk og på www.ft.dk/Statsrevisorerne.

29. Bilag 1 viser Folketingets behandling af beretningen.

Birgitte Hansen

Statsrevisorerne beretning SB5/2023 - Bilag 6: Rigsrevisionens fortsatte notat af 26. november 2024 om beretning nr. 5/2023 om statens it-beredskab II

Bilag 1. Folketingets behandling af beretningen

Beretning (nr.),

dato for Stats-

revisorernes

mødebehandling

og minister-

redegørelse(r)

Statens it-bered-

skab II

(nr.

5/2023)

04-12-2023

Minister-

redegørelser:

Flere minister-

redegørelser

Behandlet i

udvalg

Teknisk gennem-

gang ved Stats-

revisorerne og

Rigsrevisionen

Udvalgs-

spørgsmål (nr.)

Indkaldt til

samråd

Statsrevisorerne

har holdt møde

med ministeren

§ 20-spørgsmål

Udvalget for

Digitalisering og It:

06-12-2023

Finansudvalget:

14-12-2023

Digitaliserings-

og ligestillings-

ministeren:

09-01-2024

(77)

Finansministeren:

09-01-2024

(78)

Udvalget for

Digitalisering og It:

09-01-2024

Finansministeren

og digitaliserings-

og ligestillings-

ministeren:

22-02-2024