Den 9. november 2016 behandlede Statsrevisorerne
Beretning nr. 5/2016 om styring af it-sikkerhed hos it-leverandører
Statsrevisorerne afgav beretningen til Folketinget med følgende bemærkning:
"Finansministeriet stiller krav om, at statslige myndigheder følger it-sikkerhedsstandarden ISO 27001 til styring af it-sikkerheden, herunder it-sikkerheden hos eksterne it-leverandører. Myndighederne skal sikre en balanceret indsats, der vægter hensynet til brugervenlighed, sikkerhed og økonomi. Indsatsen skal være proportional med de risici, der er på det konkrete område.
Beretningen handler om, hvordan 5 myndigheder: Rigspolitiet (Det Centrale Pasregister), SKAT (TastSelv Borger og Nyt TastSelv Erhverv), Styrelsen for Arbejdsmarked og Rekruttering (Det fælles datagrundlag), Digitaliseringsstyrelsen (NemID) og Søfartsstyrelsen (Skibsregistret) styrer it-sikkerheden hos deres eksterne it-driftsleverandører.
Statsrevisorerne bemærker, at statslige myndigheder generelt kan outsource it-driften til eksterne it-leverandører, men ikke ansvaret for it-sikkerheden.
Statsrevisorerne finder det utilfredsstillende, at 4 ud af de 5 myndigheder ikke har udarbejdet en tilstrækkelig risikovurdering.
Statsrevisorerne finder det bekymrende, at myndighederne – med undtagelse af Rigspolitiet – ikke i tilstrækkelig grad stiller krav til it-leverandørernes sikkerhedsniveau. Kravene bør være klare og baseret på risikovurderinger, og myndighederne bør følge op herpå.
Statsrevisorerne finder det væsentligt, at Finansministeriet præciserer ansvaret for tilsynet med it-sikkerheden for de it-systemer, som drives af Statens It."