Finansudvalget 2020-21
SB 20 3
Offentligt
2506803_0001.png
Januar 2022
Rigsrevisionens notat om
beretning om
Skatteministeriets
it-beredskab
 Statsrevisorerne beretning SB20/2020 - Bilag 3: Rigsrevisionens notat af 9. december 2021
2506803_0002.png
Notat til Statsrevisorerne, jf. rigsrevisorlovens § 18, stk. 4
1
1
Vedrører:
Statsrevisorernes beretning nr. 20/2020 om Skatte-
ministeriets it-beredskab
Skatteministerens redegørelse af 11. november 2021
9. december 2021
RN 1113/21
1. Rigsrevisionen vurderer i dette notat de initiativer, som skatteministeren vil iværk-
sætte som følge af Statsrevisorernes bemærkninger og beretningens konklusioner.
Sagsforløb for en større
undersøgelse
Konklusion
Skatteministeren noterer sig, at Skatteministeriet har fastlagt en overordnet ramme for
sit beredskab, herunder it-beredskabet. Det er ministerens opfattelse, at nedbrud og
kriser kan håndteres via Skatteforvaltningens processer for håndtering af it-hændelser
og via de styringsspecifikke beredskabsplaner. Ministeren er enig i, at det ikke er til-
fredsstillende, at der ikke er det fulde overblik over, om reetableringsplaner, indsats-
planer og nødplaner er implementeret i tilstrækkelig grad, og at it-beredskabsområdet
bør løftes. Ministeren oplyser, at Udviklings- og Forenklingsstyrelsen har udarbejdet en
implementeringsplan for Skatteforvaltningens videre arbejde med it-beredskabet, og
at planen nu er igangsat.
Rigsrevisionen vil fortsat følge udviklingen og orientere Statsrevisorerne om:
Skatteministeriets arbejde med at skabe overblik over det eksisterende it-beredskab
for kritiske it-systemer
Skatteministeriets implementering af nødplaner og indsatsplaner
Skatteministeriets arbejde med at koordinere it-beredskabet på tværs af ministeriets
it-systemer.
Beretning
Ministerredegørelse
§
§ 18, stk. 4-notat
Eventuelt
fortsat(te) notat(er)
Sagen afsluttes
Du kan læse mere om
forløbet og de enkelte step
www.rigsrevisionen.dk
I. Baggrund
2. Rigsrevisionen afgav i september 2021 en beretning om Skatteministeriets it-bered-
skab. Beretningen handlede om Skatteministeriets it-beredskab for kritiske forret-
ningsprocesser. Skatteministeriet er afhængig af en lang række it-systemer, for at mi-
nisteriet kan varetage sine opgaver med at opkræve og inddrive skatter og afgifter, re-
fundere moms mv.
 Statsrevisorerne beretning SB20/2020 - Bilag 3: Rigsrevisionens notat af 9. december 2021
2
3. Da Statsrevisorerne behandlede beretningen, fandt de Skatteministeriets it-bered-
skab for kritiske forretningsprocesser utilfredsstillende og utilstrækkeligt. Det util-
strækkelige it-beredskab kan medføre, at it-nedbrud og datatab kan blive mere om-
fattende med risiko for, at staten ikke kan opkræve skatter og afgifter, tilbagebetale
tilgodehavender eller udbetale løn, SU, sociale ydelser, pension mv. til borgere og virk-
somheder.
Statsrevisorerne fandt det endvidere kritisabelt, at Skatteministeriet ikke havde fast-
lagt, hvilken styrelse der har ansvaret for at koordinere arbejdet med it-beredskabet
for kritiske forretningsprocesser på tværs af ministerområdet.
4. Hele sagen og dens dokumenter kan følges på www.rigsrevisionen.dk og på
www.ft.dk/Statsrevisorerne.
II. Gennemgang af ministerens redegørelse
Grundlaget for it-beredskabet
5. Statsrevisorerne bemærkede, at Skatteministeriet kun har kortlagt it-beredskabet
for 7 ud af de 45 it-systemer, som ministeriet vurderer som enten samfundskritiske
eller forretningskritiske for ministeriets opgaveløsning. Statsrevisorerne hæftede sig
endvidere ved, at Skatteministeriet ikke har et dækkende it-beredskab, idet ministe-
riet ikke har overblik over it-beredskabet for de resterende 38 kritiske it-systemer og
ministeriets øvrige ca. 185 it-systemer.
6. Skatteministeren er enig i, at det ikke er tilfredsstillende, at der ikke er det fulde over-
blik over, om reetableringsplaner, indsatsplaner og nødplaner er implementeret i til-
strækkelig grad. Ministeren oplyser i sin redegørelse ikke om specifikke planlagte initia-
tiver på området, der vil kunne rette op på dette. Rigsrevisionen vil følge op på Skatte-
ministeriets arbejde med at skabe overblik over ministeriets eksisterende it-bered-
skab.
Implementering af it-beredskabsplaner
7. Statsrevisorerne bemærkede, at Skatteministeriet ikke har indsatsplaner for den
interne krisestyring for 8 af de 9 undersøgte it-systemer. Statsrevisorerne hæftede
sig endvidere ved, at Skatteministeriet kun har udarbejdet én nødplan på hele Skatte-
forvaltningens område, og at nødplanen er utilstrækkelig, da den kun forholder sig til
nedbrud på ét af de 5 it-fagsystemer, som er nødvendige for at opretholde forretnings-
processen.
8. Skatteministeren bemærker i sin redegørelse, at det er ministerens opfattelse, at
nedbrud og kriser kan håndteres via Skatteministeriets processer for incidents og ma-
jor incidents samt de styrelsesspecifikke beredskabsplaner, som er i fuld funktion. Mi-
nisteren er dog enig i, at reetableringsplaner, nødplaner og indsatsplaner også skal im-
plementeres for at sikre fuldstændigheden i it-beredskabet. Ministeren noterer sig
endvidere Rigsrevisionens kritik af manglende nødplaner og indsatsplaner.
 Statsrevisorerne beretning SB20/2020 - Bilag 3: Rigsrevisionens notat af 9. december 2021
3
Skatteministeren oplyser, at Skatteministeriet har igangsat en implementeringsplan
for det videre arbejde med it-beredskabet, og at Udviklings- og Forenklingsstyrelsen
herunder har igangsat et arbejde i samarbejde med Skattestyrelsen om i første om-
gang at implementere nødplaner.
9. Rigsrevisionen konstaterer, at Skatteministeriet nu har igangsat en implemente-
ringsplan for at styrke it-beredskabet, og at ministeriet som en del af dette i første om-
gang vil have fokus på at implementere nødplaner. Rigsrevisionen vil fortsat følge Skat-
teministeriets effektuering af implementeringsplanen for at styrke it-beredskabet, her-
under ministeriets arbejde med at implementere nødplaner og indsatsplaner.
Koordinering af it-beredskabet
10. Statsrevisorerne fandt det kritisabelt, at Skatteministeriet ikke havde fastlagt, hvil-
ken styrelse der har ansvaret for at koordinere arbejdet med it-beredskabet for kriti-
ske forretningsprocesser på tværs af ministerområdet. Statsrevisorerne bemærkede
endvidere, at Skatteministeriet ikke har koordineret kravene til fx maksimal reetable-
ringstid og datatab i reetableringsplanerne.
11. Det fremgik af beretningen, at Skatteministeriet ikke har koordineret it-beredska-
bet for de it-systemer, der indgår i de kritiske forretningsprocesser. Ministeriet har ik-
ke systematisk kortlagt afhængighederne mellem de it-systemer, der indgår i forret-
ningsprocesserne for personskat, moms og selskabsskat. Endvidere har ministeriet
hverken taget stilling til eller aftalt med leverandørerne, i hvilken rækkefølge ministe-
riets it-systemer skal reetableres, hvis alle eller flere systemer går ned samtidigt. Det
betyder, at ministeriet i en it-beredskabssituation kan have vanskeligt ved hurtigt at
minimere skaderne af et større nedbrud.
12. Skatteministeren anerkender Rigsrevisionens kritik af, at det ikke er tilfredsstillen-
de, at afhængigheder og krav til reetableringstid og tålt datatab ikke er afdækket og
koordineret på tværs af Skatteministeriets it-portefølje. Ministeren vurderer, at mini-
steriet har processer og overordnede beredskabsplaner, som kan sikre håndtering af
nedbrud og kriser, men at it-beredskabsområdet bør løftes. Ministeren oplyser, at næ-
ste
og langvarige skridt
er at sikre indsatsplaner og nødplaner samt koordinering
på tværs. I første omgang er der fokus på at implementere nødplaner. Øvrige indsat-
ser vil indgå i en prioritering i forhold til ministerområdets samlede prioritering af ind-
satser på hele sikkerhedsområdet. Ministeren oplyser, at Udviklings- og Forenklings-
styrelsen har fastlagt et roadmap, som over en 5-årig periode skal løfte den tekniske
it-sikkerhed. En række initiativer i dette roadmap har højere væsentlighed end it-be-
redskabet i forhold til risikoen, bl.a. fordi det ikke har været nødvendigt at aktivere re-
etableringsplaner eller Udvikling- og Forenklingsstyrelsens beredskabsplan som føl-
ge af it-nedbrud.
13. Rigsrevisionen hæfter sig ved, at Skatteministeriet på nuværende tidspunkt ikke
særligt har prioriteret at afdække og koordinere afhængigheder og krav til reetable-
ringstider og tålt datatab på tværs af ministeriets it-systemer, men at dette indgår i
en samlet prioritering af indsatser på sikkerhedsområdet. Rigsrevisionen vil fortsat
følge Skatteministeriets arbejde med at koordinere it-beredskabet på tværs af mini-
steriets it-systemer.
Lone Strøm