Beretning om statens it-beredskab II

04-12-2023

Beretning nr. 5/2023

Beretningen handler om statens it-beredskab for udvalgte samfundskritiske it-systemer. 

Formålet med undersøgelsen er at vurdere, om staten har et tilfredsstillende it-beredskab for 12 udvalgte samfundskritiske it-systemer, så staten kan opretholde samfundskritiske funktioner i tilfælde af større it-hændelser. Rigsrevisionen besvarer følgende spørgsmål i beretningen: 

  • Har staten et tilfredsstillende grundlag for at etablere et it-beredskab for de udvalgte samfundskritiske it-systemer?
  • Har staten implementeret tilfredsstillende krisestyringsplaner for de udvalgte samfundskritiske it-systemer?
  • Har staten implementeret tilfredsstillende nødplaner for de udvalgte samfundskritiske it-systemer?
  • Har staten sikret, at der er implementeret tilfredsstillende reetableringsplaner for de udvalgte samfundskritiske it-systemer? 

Rigsrevisionen vurderer, at Indenrigs- og Sundhedsministeriet for sit samfundskritiske it-system har sikret et it-beredskab, der i overvejende grad er tilfredsstillende. Dele af it-beredskabet for Erhvervsstyrelsens og Søfartsstyrelsens 4 samfundskritiske it-systemer er ligeledes i overvejende grad tilfredsstillende, men der er dog mangler. For de resterende 7 samfundskritiske it-systemer er der ikke et tilfredsstillende it-beredskab. Særligt er it-beredskabet mangelfuldt for 5 af it-systemerne. Konsekvensen af manglerne i it-beredskabet er, at der er risiko for, at it-nedbrud og datatab medfører, at staten ikke kan opretholde eller markant får forstyrret løsningen af samfundskritiske opgaver. 

Rigsrevisionen har selv taget initiativ til undersøgelsen i februar 2023.

Kort fortalt (PDF) Hele beretningen (PDF)

Statsrevisorernes bemærkning til beretningen

Den 4. december 2023 behandlede Statsrevisorerne

Beretning nr. 5/2023 om statens it-beredskab II

Statsrevisorerne afgav beretningen til Folketinget med følgende bemærkning:

"Center for Cybersikkerhed under Forsvarets Efterretningstjeneste vur­de­rer, at truslen i Danmark fra cyberkriminalitet og cyberspionage er me­get høj, og at truslen fra cyberaktivisme er høj. 

Denne beretning omhandler it-beredskabet for 12 samfundskritiske it-sy­ste­mer i henholdsvis Indenrigs- og Sundhedsministeriet, Erhvervs­styrelsen, Søfartsstyrelsen og 4 andre anonymiserede myndigheder[1]

Dette er den anden undersøgelse af it-beredskabet for statens samfunds­kritiske it-systemer, som i alt udgøres af ca. 90 it-systemer. Den første un­dersøgelse, beretning nr. 3/2022 om statens it-beredskab, fra november 2022 omhandlede 13 samfundskritiske it-syste­mer. Statsrevisorerne kri­ti­se­rede dengang, at der for ingen af de 13 it-systemer var sikret et til­freds­stil­lende it-beredskab. Statsrevisorerne sendte efterfølgende en opfordring til alle ministre om at identificere minister­områdets samfunds­kri­tiske it-systemer og styrke it-beredskabet. Derudover har Rigsrevisionen afholdt et informationsmøde for alle ministerier om, hvordan man kan styr­­ke it-beredskabet. 

Statsrevisorerne kritiserer, at der for 7 af de 12 undersøgte sam­funds­­kritiske it-systemer ikke er sikret et tilfreds­stillende it-bered­skab. Det indebærer risiko for, at staten ikke kan opretholde eller mar­kant får forstyrret løsningen af samfundskritiske opgaver i til­fælde af større it-nedbrud, hackerangreb, fysiske skader e.l.

Statsrevisorerne finder det særdeles nødvendigt, at de undersøgte myndig­heder hurtigst muligt får rettet op på de mangler i it-bered­ska­bet, som Rigsrevisionen har påpeget. Det gælder især test af it-be­redskabs­planerne og kvaliteten af planerne.

Statsrevisorerne konstaterer, at Indenrigs- og Sundhedsministeriet har etableret et it-beredskab, der i overvejende grad er tilfreds­stil­len­­­de. Statsrevisorerne konstaterer også, at Erhvervsstyrelsen og Sø­farts­styrelsen delvist har etableret et tilfredsstillende it-bered­skab, dog med visse mangler.

[1] Alle 12 samfundskritiske it-systemer og 4 ud af 7 myndigheder er anonymiseret i beretningen, da myndighederne vurderer, at oplysninger om myndighedernes it-beredskab er fortrolige, jf. forvaltningsloven og straffeloven."

Beretningshistorik