Den 9. december 2024 behandlede Statsrevisorerne
Beretning nr. 7/2024 om it-sikkerheden i Banedanmarks signalsystem
Statsrevisorerne afgav beretningen til Folketinget med følgende bemærkning:
"Banedanmark har ansvaret for at drive, vedligeholde og udvikle den statsejede jernbaneinfrastruktur. Frem mod 2033 udskifter Banedanmark alle analoge signaler langs jernbanen med et digitalt signalsystem. Signalsystemet styrer trafikken på jernbanen.
Signalsystemet er et af statens ca. 90 samfundskritiske it-systemer, dvs. et system, hvor større driftsforstyrrelser resulterer i væsentlige udfordringer for samfundet. Center for Cybersikkerhed vurderer, at risikoen for cyberkriminalitet mod jernbanesektoren er meget høj.
Undersøgelsen har til formål at vurdere, om Banedanmark har sikret en tilfredsstillende it-sikkerhed i signalsystemet, der kan modstå hændelser, som kan medføre nedbrud i signalsystemet. Undersøgelsens resultater er omgivet af fortrolighed, fordi oplysninger herom kan eksponere sårbarheder i signalsystemet og dermed øge trusselsniveauet mod Banedanmark.
Statsrevisorerne finder det kritisabelt, at Banedanmark har væsentlige sårbarheder i it-sikkerheden i signalsystemet. Det indebærer en risiko for, at sikkerhedshændelser kan forstyrre og standse togdriften, hvilket vil være til stor gene for brugerne. Længerevarende nedbrud kan dertil have betydning for samfundsøkonomien.
Statsrevisorerne påtaler, at Banedanmarks it-sikkerhed ikke opfylder 10 af de 19 undersøgte vurderingskriterier. 6 af vurderingskriterierne er delvist opfyldt. Bl.a. vurderer Rigsrevisionen, at de handlingsplaner, som Banedanmark allerede har udarbejdet, ikke er fyldestgørende. 3 af vurderingskriterierne er opfyldt.
Statsrevisorerne finder det særdeles nødvendigt, at Banedanmark hurtigst muligt får rettet op på de mangler i it-sikkerheden, som undersøgelsen har påvist."