Finansudvalget 2020-21
SB 20 2
Offentligt
2497717_0001.png
Statsrevisorernes Sekretariat
Folketinget
Christiansborg
1240 København K
11. november 2021
J.nr. 21-0939544
Skatteministeriet
Nicolai Eigtveds Gade 28
DK 1402 – København K
Telefon +45 33 92 33 92
Mail [email protected]
Ministerredegørelse til Rigsrevisionens beretning afgivet til Statsrevisorerne om
Skatteministeriets it-beredskab
Statsrevisorerne har den 17. september 2021 bedt mig om at redegøre for de foranstaltnin-
ger og overvejelser, som
Rigsrevisionens beretning afgivet til Statsrevisorerne om Skatteministeriets it-
beredskab
giver anledning til.
Jeg har fuld forståelse for, at Statsrevisorerne og Rigsrevisionen har fokus på Skattemini-
steriets informationssikkerhed og sikker drift af skattevæsenets it-systemer. Dette fokus
deler vi i Skatteministeriet blandt andet på baggrund af de nationale trusselsvurderinger på
cyberområdet og Skatteministeriets interne vurderinger af risici og trusler. Udviklings- og
Forenklingsstyrelsen har med afsæt heri organisatorisk styrket sikkerhedsområdet samt
fastlagt et roadmap, som over en femårig periode skal løfte den tekniske it-sikkerhed.
I det følgende fremgår mine kommentarer til beretningens konklusioner og Statsrevisorer-
nes bemærkninger hertil. Jeg stiller mig gerne til rådighed for yderligere afklaring af forhold
i beretningen, såfremt Statsrevisorerne måtte have et ønske herom.
Grundlaget for it-beredskabet
Jeg noterer mig, at Rigsrevisionen konkluderer, at Skatteministeriet har fastlagt en overord-
net ramme for sit beredskab, herunder it-beredskabet, hvor ministeriet har besluttet, at der
skal implementeres reetableringsplaner (genetablering af systemer ifm. nedbrud), nødplaner
(videreførsel af forretningsprocesser, når it-understøttelsen svigter) og indsatsplaner (be-
redskabsplaner for krisestyring og -kommunikation relateret til nedbrud på systemniveau).
Jeg er enig i, at det ikke er tilfredsstillende, at der ikke er det fulde overblik over, hvorvidt
disse planer er implementeret i tilstrækkelig grad.
Jeg noterer mig dog, at Skatteministeriet har haft implementeret de lovpligtige, styrelses-
specifikke beredskabsplaner siden 2018. Endvidere noterer jeg mig, at Skatteforvaltningen
har veldokumenterede og velafprøvede processer for håndtering af it-hændelser, der om-
fatter incident-processen og major incident-processen, som følger af standardrammeværket
for it-drift
ITIL,
og som på daglig basis anvendes til håndtering af hændelser og nedbrud.
Såfremt nedbrud eskaleres til egentlige kriser, vil Udviklings- og Forenklingsstyrelsens be-
redskabsplan træde i kraft.
Således er det min opfattelse, at nedbrud og kriser kan håndteres via hhv. disse processer
og de styrelsesspecifikke beredskabsplaner, som er i fuld funktion. Dog er jeg enig i, at
reetableringsplaner, nødplaner og indsatsplaner også skal implementeres for at sikre fuld-
stændigheden i it-beredskabet.
www.skm.dk
 Statsrevisorerne beretning SB20/2020 - Bilag 2: Skatteministerens redegørelse af 11. november 2021
2497717_0002.png
It-beredskabsplaner
Udviklings- og Forenklingsstyrelsen har derudover oplyst mig, at på tidspunktet for Rigs-
revisionens undersøgelse havde styrelsen selv udarbejdet en analyse af it-beredskabsområ-
det med udgangspunkt i Skatteministeriets samfundskritiske it-systemer. Ydermere har Ud-
viklings- og Forenklingsstyrelsen informeret mig om, at konklusioner af den interne analy-
ses i vid udstrækning svarer til Rigsrevisionens observationer og indeholder en implemen-
teringsplan for Skatteforvaltningens videre arbejde med it-beredskabet. Det er glædeligt, at
analysen og undersøgelsen når til de samme konklusioner, og jeg noterer mig, at implemen-
teringsplanen nu er igangsat.
Jeg noterer mig endvidere, at den interne analyse og Rigsrevisionen konkluderer, at der i
overvejende grad er reetableringsplaner for Skatteministeriets it-systemer, dog at der er for-
bedringspunkter i forhold til indhold og omfang af tests, hvilket Skatteministeriet naturlig-
vis vil arbejde med at implementere.
Rigsrevisionen konstaterer desuden, at Skatteministeriet stiller tilfredsstillende krav til leve-
randørers it-beredskab i de nyere kontrakter, samt at revisionserklæringer, der anvendes til
at føre tilsyn med leverandørernes generelle it-kontroller, ikke har bemærkninger på områ-
det. En meget stor del af Skatteministeriets portefølje af it-systemer er outsourcet, og jeg
finder det derfor positivt, at krav og tilsyn fungerer tilfredsstillende.
Jeg noterer mig Rigsrevisionens kritik af manglende nød- og indsatsplaner. Som følge af
den ovenfor nævnte implementeringsplan har Udviklings- og Forenklingsstyrelsen igang-
sat et samarbejde med Skattestyrelsen om at implementere i første omgang nødplaner.
Koordinering af it-beredskabet
Jeg anerkender Rigsrevisionens kritik af, at det ikke er tilfredsstillende, at afhængigheder
og krav til reetableringstider og tålt datatab ikke er afdækket og koordineret på tværs af
Skatteministeriets it-portefølje. Udviklings- og Forenklingsstyrelsen har informeret mig
om, at dette udestående skyldes, at det henset til Skatteministeriets it-porteføljes omfang
er en betydelig omfattende opgave at kortlægge afhængigheder mellem systemer og koor-
dinere beredskabet på tværs.
Udviklings- og Forenklingsstyrelsen har sikret, at reetableringsplaner i alt overvejende
grad er implementeret, og at kriser kan håndteres via incident/major incident processer
og beredskabsplaner. Næste – og langvarige skridt – er at sikre indsatsplaner og nødpla-
ner samt koordinering på tværs. I første omgang er der fokus på at implementere nødpla-
ner. Dette arbejde er igangsat. Øvrige indsatser vil indgå i en prioritering i forhold til mi-
nisterområdets samlede prioritering af indsatser på hele sikkerhedsområdet
Samlet set er det således min vurdering, at Skatteministeriet har processer og overordnede
beredskabsplaner, som kan sikre håndtering af nedbrud og kriser, men at it-beredskabsom-
rådet bør løftes. Som ovenfor nævnt er implementeringsplanen herfor fastlagt. Prioritering
af indsatserne i planen skal dog ses i sammenhæng med den samlede indsats og roadmap
på sikkerhedsområdet, som indeholder en række højt prioriterede initiativer for at styrke
Skatteministeriets informations- og cybersikkerhed. En række initiativer i dette roadmap
Side 2 af 3
 Statsrevisorerne beretning SB20/2020 - Bilag 2: Skatteministerens redegørelse af 11. november 2021
2497717_0003.png
har højere væsentlighed i forhold til risikoen, bl.a. henset til, at det ikke har været nødven-
digt at aktivere reetableringsplaner eller Udviklings- og Forenklingsstyrelsens beredskabs-
plan som følge af et it-nedbrud.
På baggrund af de udeståender, som den interne analyse og Rigsrevisionens beretning på-
peger, er det derfor min prioritet, at der fortsat arbejdes med at styrke det samlede sikker-
hedsområde i Skatteforvaltningen, herunder også i forhold til it-beredskabet, men ud fra
en samlet, prioriteret indsats på området.
Kopi af denne redegørelse er sendt til Rigsrevisionen.
Med venlig hilsen
Morten Bødskov
Side 3 af 3