Transportudvalget 2024-25
SB 7 2
Offentligt
2976270_0001.png
Transportministeriets Logo
Transportministeren
Statsrevisorernes Sekretariat
Folketinget
Christiansborg
1240 København K
4. februar 2025
2024-4907
Frederiksholms Kanal 27 F
1220 København K
Telefon 41 71 27 00
Transportministerens redegørelse til Statsrevisorernes
beretning nr. 7/2024 om it-sikkerheden i Banedan-
marks nye signalsystem
I brev af 20. november 2024 har Statsrevisorerne anmodet mig om
at redegøre for de foranstaltninger og overvejelser, som beretning
nr. 7/2024 om it-sikkerheden i Banedanmarks nye signalsystem gi-
ver anledning til.
I lighed med de fleste andre dele af samfundet bliver jernbanen
stadig mere digitaliseret. Samtidig er der ingen tvivl om, at truslen
fra cyberangreb er stigende. Beretningen berører derfor vigtige
problemstillinger. Det er afgørende, at passagererne kan have tillid
til, at det er sikkert at rejse med toget, og derfor er det tilfredsstil-
lende at se, at der ikke er fundet forhold, som omhandler passage-
rernes sikkerhed, men alene infrastrukturens tilgængelighed og
dermed risikoen for afbrydelser af driften.
Der er ud over risikoen for cyberangreb en række andre forhold,
der har betydning for infrastrukturens tilgængelighed. Først og
fremmest af den generelle vedligeholdelse af spor og kørestrøm,
hvor der som bekendt i disse år opbygges et efterslæb. Klimaforan-
dringer udgør en stigende trussel. Banedanmark har netop været
nødt til at lukke banen mellem Engesvang og Silkeborg for at fore-
bygge et begyndende dæmningsskred, som antagelig er forårsaget
af de store mængder af nedbør. Endelig kan nævnes risikoen for
hærværk og sabotage af den fysiske infrastruktur.
Banedanmark tilstræber at anlægge en risikobaseret tilgang, hvor
den samlede tilgængelighed søges optimeret inden for de givne be-
villingsmæssige rammer. Størrelsen af de enkelte risici kan være
vanskelig at vurdere præcist, men der er desværre ikke tvivl om, at
alle de ovennævnte risici er stigende i disse år.
De retlige rammer for håndteringen af truslen fra cyberangreb er
lagt i lovgivningen om net- og informationssikkerhed. Med
 Statsrevisorerne beretning SB7/2024 - Bilag 2: Transportministeriets redegørelse af 4. februar 2025 om beretning nr. 7/2024 om it-sikkerheden i Banedanmarks nye signalsystem
2976270_0002.png
Side 2/3
direktivet om net- og informationssikkerhed EU 2016/1148 (NIS-
direktivet) har EU fastlagt en fælles standard for it-sikkerhed for
samfundskritiske systemer. Direktivet er i Danmark på transport-
området udmøntet i lov om sikkerhed i net- og informationssyste-
mer i transportsektoren, jf. lov nr. 441 af 8. maj 2018. Med hjem-
mel heri har Trafikstyrelsen udstedt bekendtgørelse nr. 1042 af 6.
august 2018 om sikkerhed i net- og informationssystemer i trans-
portsektoren, som fastlægger de nærmere krav til de omfattede
operatører af væsentlige transporttjenester.
Det følger af bekendtgørelsen, at kravet til Banedanmark er, at Ba-
nedanmark skal opnå en akkrediteret certificering efter ISO 27001
eller tilsvarende. Det følger endvidere, at Trafikstyrelsen fører til-
syn med Banedanmark i forhold til overholdelse af bekendtgørel-
sen og dermed NIS-direktivet. Tilsynet er baseret på, at Banedan-
mark møder kravene i NIS-direktivet via sin ISO 27001 certifice-
ring.
ISO 27001 som ledelsessystem for it-sikkerhed er en risikobaseret
tilgang. Banedanmark auditeres i den forbindelse hvert halve år af
en ekstern auditor. Trafikstyrelsen foretager tilsvarende et halvår-
ligt tilsyn, som baseres på den eksterne auditors tilsynsrapporte-
ring. Dermed sikrer den halvårlige audit, at Banedanmark priorite-
rer de rigtige tiltag.
Banedanmark har været ISO 27001 certificeret siden 2021. Ba-
nedanmark er blevet recertificeret i november 2024, og Banedan-
mark opfylder således kravene i ISO 27001 i henhold til lovgivnin-
gen herom.
IT-sikkerhed er et mål i stadig bevægelse som følge af de løbende
ændringer i dels trusselsbilledet, dels de relevante systemer. Derfor
er handlingsplaner en integreret del af certificeringen, og opfølg-
ning på handlingsplanerne er en integreret del af tilsynet.
Rigsrevisionen har i beretningen peget på en række relevante om-
råder, hvor Banedanmark konkret skal løfte sit sikkerhedsniveau,
ligesom Banedanmark også har understreget, at Banedanmark på
en række andre områder har behov for at løfte sikkerhedsniveauet.
Med hensyn til beretningens observationer inden for de 19 vurde-
ringskriterier, som Rigsrevisionen har anvendt, har Banedanmark
oplyst, at langt størstedelen enten allerede er håndteret, eller også
er der lagt en plan herfor. Der er dog nogle enkelte punkter, hvor
der er en faglig uenighed mellem Rigsrevisionen og Banedanmark
om, hvordan forhold bør håndteres.
 Statsrevisorerne beretning SB7/2024 - Bilag 2: Transportministeriets redegørelse af 4. februar 2025 om beretning nr. 7/2024 om it-sikkerheden i Banedanmarks nye signalsystem
2976270_0003.png
Side 3/3
Der er aktuelt ikke midler til at opretholde en jernbane uden efter-
slæb. Det gælder også på it- og teleområdet. Observationerne i be-
retningen skal derfor balanceres med henblik på at sikre den højst
mulige driftsstabilitet og jernbanesikkerhed inden for den givne
bevilling. Banedanmark prioriterer ud fra, at passagerernes sikker-
hed samt overholdelse af lovkrav altid prioriteres først, mens der
derefter prioriteres med henblik på at sikre størst mulige oppetid
på jernbanen og dermed højst mulig punktlighed for passagerne.
Derfor kan tiltag til for eksempel klimasikring af spor blive priori-
teret over tiltag inden for it-sikkerhed ud fra en samlet risikobase-
ret vurdering.
Ministeriet har noteret sig, at Banedanmarks prioritering af aktivi-
teterne tager udgangspunkt i en tværgående, risikobaseret priorite-
ring samt på en sikring af fremdriften i udrulningen af de nye sig-
nalsystemer, som er forudsætningen for indsættelse af de nye el-
tog til Aarhus og Aalborg.
Kopi af nærværende ministerredegørelse er sendt til rigsrevisio-
nen, [email protected].
Med venlig hilsen
Thomas Danielsen