Beretning om 5 statslige myndigheders efterlevelse af 20 tekniske minimumskrav til it-sikkerheden

17-01-2022

Beretning nr. 9/2021

Beretningen handler om 5 statslige myndigheders efterlevelse af 20 tekniske minimumskrav til it-sikkerheden. 

Rigsrevisionen vurderer, at Finansministeriet, Justitsministeriet, Sundhedsministeriet, Ministeriet for Fødevarer, Landbrug og Fiskeri og Klima-, Energi- og Forsyningsministeriet ikke har sikret, at de 5 udvalgte myndigheder efterlevede alle 20 tekniske minimumskrav til it-sikkerheden, da Rigsrevisionen foretog en revision af området i 2021. Det finder Rigsrevisionen utilfredsstillende, da de fleste af kravene skulle være implementeret den 1. januar 2020. Konsekvensen er, at myndighederne har haft sårbarheder i deres it-systemer og på deres mobiltelefoner og tablets, hvilket har medført en øget risiko for cyberangreb og misbrug. 

Rigsrevisionen har selv taget initiativ til undersøgelsen i juni 2021. Undersøgelsen bygger på 5 it-revisioner, der er gennemført i perioden marts-september 2021.

Kort fortalt (PDF) Hele beretningen (PDF)

Statsrevisorernes bemærkning til beretningen

Den 17. januar 2022 behandlede Statsrevisorerne

Beretning nr. 9/2021 om 5 statslige myndigheders efterlevelse af 20 tekniske minimumskrav til it-sikkerheden

Statsrevisorerne afgav beretningen til Folketinget med følgende bemærkning:

"Statsrevisorerne og Rigsrevisionen har i en række beretninger over en længere årrække på­peget vigtigheden af, at statslige myndigheder har iværksat it-sik­ker­heds­mæssige foranstaltninger, der kan imødegå risici for cyber­angreb og misbrug, fx uberet­tiget adgang til it-systemer samt hacker- og ransom­ware­angreb. Siden den 1. januar 2020 har alle statslige myn­dig­heder skullet efterleve 17 tekniske krav til it-sikkerhed, hvortil der den 1. juli 2020 er føjet yderligere 3 krav, dvs. at staten skal efterleve 20 tekniske minimumskrav til it-sikkerhed.

Denne beretning handler om, hvorvidt 5 samfundsvigtige statslige myn­dig­heder – Statens It (Finansministeriet), Kriminalforsorgen (Justits­mini­steriet), Sundhedsdatastyrelsen (Sundhedsministeriet), Energistyrelsen (Klima-, Energi- og Forsyningsministeriet) og Fødevarestyrelsen (Ministe­riet for Fødevarer, Landbrug og Fiskeri) efterlevede de 20 minimums­krav i 2021. De 5 myndigheder er udvalgt, fordi de varetager samfunds­vigtige opgaver og/eller håndterer føl­somme oplysninger om borgerne.

Statsrevisorerne finder det utilfredsstillende, at hverken Statens It eller nogen af de 4 andre stats­lige myndigheder har efterlevet alle de tekniske minimumskrav til it-sikkerheden i staten, på trods af at de trådte i kraft for 1-1½ år siden. Sårbarhed i myndighedernes it-systemer, hjemmesider, mobil­tele­foner og tablets har således medført øget risiko for cyberangreb og mis­brug.

Statsrevisorerne har hæftet sig ved disse undersøgelsesresultater: 

  • Sundhedsdatastyrelsen har efterlevet færrest minimumskrav (12 ud af de 20 minimumskrav), mens Energistyrelsen har efterlevet 15 krav, Kriminalforsorgen har efterlevet 16 krav, og Fødevarestyrelsen har efterlevet 17 krav. Statens It, som er professionel aktør og leverandør af it-ydelser til 19 ministerområder, har kun efterlevet 18 af de 20 minimumskrav.
  • Ingen af myndighederne har levet op til minimumskravet om regel­mæssig opdatering af mobile enheder, hvorved risikoen for uberet­tiget adgang og aflytning er øget.
  • 4 ud af de 5 statslige myndigheder har haft handlingsplaner for imple­mentering af minimumskrav, som de ikke efterlevede.
  • Statens It har som leverandør af it-ydelser til Energistyrelsen og Føde­varestyrelsen sikret, at 13 ud af de 20 minimumskrav er efter­levet i styrelserne for de systemer, der er overdraget til Statens It. Af de krav, som styrelserne selv har været ansvar­lige for, har Energistyrelsen kun efterlevet 3 ud af 7 krav, og Føde­vare­styrelsen har efterlevet 5 ud af 8 krav.
  • Statens It har ikke koordineret tilstrækkeligt med Fødevarestyrelsen og Energistyrelsen i forhold til krav 18, mens Energistyrelsen ikke har koordineret tilstrækkeligt med Statens It i forhold til krav 20. 

Statsrevisorerne finder, at der er brug for, at Finansministeriet stiller sig i spidsen for vedvarende fokus på it-sikkerheden i staten. 

Statsrevisorerne konstaterer, at 4 minimumskrav er upræcise og har givet anledning til fortolkning og tvivl om, hvordan man efterlever kravene. Statsrevisorerne skal derfor tilslutte sig Rigsrevisionens anbefa­ling om, at Finansministeriet konkretiserer og uddyber minimums­krav 6, 13, 15 og 18."

Rigsrevisionens notat af 22. april 2022

Rigsrevisionen følger i dette notat op på beretning nr. 9/2021 om 5 statslige myndigheders efterlevelse af 20 tekniske minimumskrav til it-sikkerheden. 

Notatet er baseret på redegørelser fra finansministeren, sundhedsministeren, ministeren for fødevarer, landbrug og fiskeri, klima-, energi- og forsyningsministeren og justitsministeren og handler om de initiativer, som ministrene har iværksat eller vil iværksætte som følge af beretningen.

Rigsrevisionen vil fortsat følge udviklingen og vil i 2023 orientere Statsrevisorerne om: 

  • de 5 myndigheders efterlevelse af de tekniske minimumskrav, der udestod, da Rigsrevisionen afgav beretningen til Statsrevisorerne
  • Finansministeriets arbejde med at vurdere, om enkelte krav skal præciseres yderligere.

Hele notatet (PDF)

Rigsrevisionens notat af 2. april 2024

Rigsrevisionen følger i dette notat op på beretning nr. 9/2021 om 5 statslige myndigheders efterlevelse af 20 tekniske minimumskrav til it-sikkerheden. 

Der er i notatet fulgt op på følgende områder: 

  • de 5 myndigheders efterlevelse af de tekniske minimumskrav, der udestod, da Rigsrevisionen afgav beretningen til Statsrevisorerne
  • Digitaliserings- og Ligestillingsministeriets arbejde med at vurdere, om enkelte krav skal præciseres yderligere. 

Rigsrevisionen vil fortsat følge udviklingen og orientere Statsrevisorerne om: 

  • Kriminalforsorgens og Sundhedsdatastyrelsens efterlevelse af de tekniske minimumskrav. 

Hele notatet (PDF)

Beretningshistorik