Den 9. oktober 2023 behandlede Statsrevisorerne
Beretning nr. 1/2023 om porteføljestyring af statens kritiske it-systemer
Statsrevisorerne afgav beretningen til Folketinget med følgende bemærkning:
"Statslige myndigheder har ansvaret for, at deres it-systemer er vedligeholdt, opdaterede og sikre. Det gælder i særdeleshed de it-systemer inden for fx sundheds-, transport- og finanssektoren, der er kritiske, fordi nedbrud kan have store konsekvenser for borgere, virksomheder, myndigheder og samfundet som helhed.
Siden 2018 har statslige myndigheder skullet anvende en obligatorisk model for porteføljestyring af it-systemer. Modellen er udarbejdet af Finansministeriet og foreskriver, at myndighederne hvert 3. år skal kortlægge alle deres it-systemer, herunder samfunds- og forretningskritiske systemer. Myndighederne skal på den baggrund udarbejde en handlingsplan med prioritering og beskrivelse af de udfordringer, som kortlægningen har vist. Handlingsplanen danner udgangspunkt for myndighedernes review ved Statens It-råd.
I denne beretning vurderes det, om Erhvervsministeriet, Justitsministeriet, Udlændinge- og Integrationsministeriet, Børne- og Undervisningsministeriet samt Klima-, Energi- og Forsyningsministeriet har haft en tilfredsstillende porteføljestyring af deres kritiske it-systemer i perioden november 2018 - januar 2023.
Statsrevisorerne finder, at de statslige myndigheders porteføljestyring af deres kritiske it-systemer ikke har været helt tilfredsstillende. Kortlægningen af de kritiske it-systemer har ikke i alle tilfælde givet et tilstrækkeligt grundlag for strategiske beslutninger om, hvilke systemer der skal forbedres.
Statsrevisorerne og Rigsrevisionen har i flere beretninger påpeget, at der var problemer med statens it-sikkerhed og de kritiske it-systemers tilstand. På den baggrund finder Statsrevisorerne det positivt, at statslige myndigheder generelt er blevet bedre til at kortlægge deres kritiske it-systemers tilstand.
Statsrevisorerne finder det dog bekymrende, at myndighederne i den seneste kortlægning selv har vurderet, at ca. en fjerdedel af deres kritiske it-systemer er i utilfredsstillende teknisk tilstand.
Statsrevisorerne har bl.a. hæftet sig ved disse undersøgelsesresultater:
- 5 ud af 11 myndigheder har i deres seneste kortlægning af de kritiske it-systemers tilstand ikke svaret klart på alle spørgsmål om systemernes tilstand – spørgsmål, som efter Rigsrevisionens opfattelse er meget væsentlige, fx om sikkerhedsopdateringer er implementeret.
- I 4 udvalgte myndigheders handlingsplaner er det prioriteret, hvilke initiativer til forbedring af it-systemer de vil arbejde med, men der er ikke afsat resurser til gennemførelsen eller opsat målbare succeskriterier.
- De 4 udvalgte myndigheder har rapporteret til Statens It-råd om fremdriften på initiativerne, men der er ikke rapporteret om alle initiativer.
Statsrevisorerne bemærker, at der er indikationer i Rigsrevisionens undersøgelse på, at den obligatoriske model for porteføljestyring giver anledning til usikkerheder, fx om, hvad der er et kritisk it-system.
Statsrevisorerne skal på den baggrund også bede finansministeren om en redegørelse for, hvilke overvejelser og initiativer denne beretning giver anledning til. Finansministeren bør i den forbindelse indhente en udtalelse herom fra Statens It-råd."