Den 17. januar 2022 behandlede Statsrevisorerne
Beretning nr. 9/2021 om 5 statslige myndigheders efterlevelse af 20 tekniske minimumskrav til it-sikkerheden
Statsrevisorerne afgav beretningen til Folketinget med følgende bemærkning:
"Statsrevisorerne og Rigsrevisionen har i en række beretninger over en længere årrække påpeget vigtigheden af, at statslige myndigheder har iværksat it-sikkerhedsmæssige foranstaltninger, der kan imødegå risici for cyberangreb og misbrug, fx uberettiget adgang til it-systemer samt hacker- og ransomwareangreb. Siden den 1. januar 2020 har alle statslige myndigheder skullet efterleve 17 tekniske krav til it-sikkerhed, hvortil der den 1. juli 2020 er føjet yderligere 3 krav, dvs. at staten skal efterleve 20 tekniske minimumskrav til it-sikkerhed.
Denne beretning handler om, hvorvidt 5 samfundsvigtige statslige myndigheder – Statens It (Finansministeriet), Kriminalforsorgen (Justitsministeriet), Sundhedsdatastyrelsen (Sundhedsministeriet), Energistyrelsen (Klima-, Energi- og Forsyningsministeriet) og Fødevarestyrelsen (Ministeriet for Fødevarer, Landbrug og Fiskeri) efterlevede de 20 minimumskrav i 2021. De 5 myndigheder er udvalgt, fordi de varetager samfundsvigtige opgaver og/eller håndterer følsomme oplysninger om borgerne.
Statsrevisorerne finder det utilfredsstillende, at hverken Statens It eller nogen af de 4 andre statslige myndigheder har efterlevet alle de tekniske minimumskrav til it-sikkerheden i staten, på trods af at de trådte i kraft for 1-1½ år siden. Sårbarhed i myndighedernes it-systemer, hjemmesider, mobiltelefoner og tablets har således medført øget risiko for cyberangreb og misbrug.
Statsrevisorerne har hæftet sig ved disse undersøgelsesresultater:
- Sundhedsdatastyrelsen har efterlevet færrest minimumskrav (12 ud af de 20 minimumskrav), mens Energistyrelsen har efterlevet 15 krav, Kriminalforsorgen har efterlevet 16 krav, og Fødevarestyrelsen har efterlevet 17 krav. Statens It, som er professionel aktør og leverandør af it-ydelser til 19 ministerområder, har kun efterlevet 18 af de 20 minimumskrav.
- Ingen af myndighederne har levet op til minimumskravet om regelmæssig opdatering af mobile enheder, hvorved risikoen for uberettiget adgang og aflytning er øget.
- 4 ud af de 5 statslige myndigheder har haft handlingsplaner for implementering af minimumskrav, som de ikke efterlevede.
- Statens It har som leverandør af it-ydelser til Energistyrelsen og Fødevarestyrelsen sikret, at 13 ud af de 20 minimumskrav er efterlevet i styrelserne for de systemer, der er overdraget til Statens It. Af de krav, som styrelserne selv har været ansvarlige for, har Energistyrelsen kun efterlevet 3 ud af 7 krav, og Fødevarestyrelsen har efterlevet 5 ud af 8 krav.
- Statens It har ikke koordineret tilstrækkeligt med Fødevarestyrelsen og Energistyrelsen i forhold til krav 18, mens Energistyrelsen ikke har koordineret tilstrækkeligt med Statens It i forhold til krav 20.
Statsrevisorerne finder, at der er brug for, at Finansministeriet stiller sig i spidsen for vedvarende fokus på it-sikkerheden i staten.
Statsrevisorerne konstaterer, at 4 minimumskrav er upræcise og har givet anledning til fortolkning og tvivl om, hvordan man efterlever kravene. Statsrevisorerne skal derfor tilslutte sig Rigsrevisionens anbefaling om, at Finansministeriet konkretiserer og uddyber minimumskrav 6, 13, 15 og 18."