Statsrevisorerne beretning SB20/2020 - Bilag 4: Rigsrevisionens fortsatte notat af 8. maj 2023

Finansudvalget 2020-21
SB 20 4
Offentligt

Maj 2023

Rigsrevisionens notat om

beretning om

Skatteministeriets

it-beredskab

Statsrevisorerne beretning SB20/2020 - Bilag 4: Rigsrevisionens fortsatte notat af 8. maj 2023

2.. 1.

Fortsat notat til Statsrevisorerne

Opfølgning i sagen om Skatteministeriets it-beredskab

(beretning nr. 20/2020)

8. maj 2023

RN 1110/23

1. Rigsrevisionen følger i dette notat op på sagen om Skatteministeriets it-beredskab,

som blev indledt med en beretning i 2021. Vi har tidligere behandlet sagen i notat til

Statsrevisorerne af 9. december 2021.

2. Beretningen handlede om Skatteministeriets it-beredskab for nogle af ministeriets

kritiske forretningsprocesser. Beretningen viste, at ministeriet generelt havde et util-

fredsstillende it-beredskab. Ministeriet havde således ikke overblik over it-beredska-

bet for en stor del af ministeriets samfunds- og/eller forretningskritiske it-systemer

(herefter kritiske systemer). Beretningen viste desuden, at der manglede beredskabs-

planer i form af såkaldte indsats- og nødplaner for en del af de it-systemer, som blev

gennemgået i beretningen. Yderligere viste beretningen, at der var mangler i forbin-

delse med koordineringen af it-beredskabet. Undersøgelsen viste også, at ministeriet

i overvejende grad havde implementeret tilfredsstillende reetableringsplaner.

Sagsforløb for en større

undersøgelse

Beretning

Ministerredegørelse

§ 18, stk. 4-notat

Fortsat notat

Konklusion

Rigsrevisionen finder det tilfredsstillende, at Skatteministeriet har opdateret listen

over kritiske it-systemer i ministeriets koncern. Rigsrevisionen konstaterer, at Skatte-

ministeriet er i gang med at afdække, i hvilket omfang der foreligger it-beredskabspla-

ner for alle ministeriets kritiske it-systemer. Afdækningen sker i prioriteret rækkeføl-

ge, så de mest kritiske systemer vurderes først. Ministeriet forventer at afslutte afdæk-

ningen i 2024. Det er Rigsrevisionen vurdering, at det er vigtigt, at Skatteministeriet

sikrer fremdriften i dette arbejde.

Rigsrevisionen konstaterer, at Skatteministeriet mangler at implementere nødplaner for

ét ud af de 9 it-systemer, som Rigsrevisionen undersøgte i beretningen. Derudover er

nødplanen for et andet it-system kun delvist dækkende. Rigsrevisionen konstaterer end-

videre, at ministeriet ikke vil udarbejde eller implementere indsatsplaner, da ministe-

riet vurderer, at de væsentligste dele af indsatsplanen allerede er indeholdt i henholds-

vis reetablerings- og nødplanerne.

Rigsrevisionen konstaterer, at Skatteministeriet har fastlagt, hvem der har ansvaret for

at koordinere arbejdet med it-beredskabet for kritiske forretningsprocesser på tværs af

ministerområdet. Derudover har ministeriet udarbejdet en liste over den prioriterede

rækkefølge for reetablering af samfundskritiske it-systemer og kritisk infrastruktur.

Sagen afsluttes

Du kan læse mere om

forløbet og de enkelte step

på

www.rigsrevisionen.dk

Statsrevisorerne beretning SB20/2020 - Bilag 4: Rigsrevisionens fortsatte notat af 8. maj 2023

Rigsrevisionen konstaterer, at ministeriet arbejder med at afdække, hvor lang tid det

maksimalt må tage at reetablere it-systemerne efter et nedbrud, og hvor stort et data-

tab man kan acceptere. Ministeriet arbejder ligeledes på at kortlægge, om det svarer

til den reetableringstid og det datatab, som faktisk kan accepteres i forbindelse med

reetablering. Kortlægningen vil ske, i takt med at systemerne risikovurderes. Rigsrevi-

sionen konstaterer også, at ministeriet som et led i risikovurderingerne vil kortlægge af-

hængighederne mellem de forskellige it-systemer.

Rigsrevisionen vil derfor fortsat følge udviklingen og orientere Statsrevisorerne om:

•

Skatteministeriets arbejde med at skabe overblik over det eksisterende it-beredskab

for ministeriets kritiske it-systemer

Skatteministeriets implementering af nødplaner for de resterende it-systemer

Skatteministeriets arbejde med at koordinere kravene til maksimal reetableringstid

og maksimalt datatab samt koordinering vedrørende systemafhængigheder.

I. Baggrund

3. Rigsrevisionen afgav i september 2021 en beretning om Skatteministeriets it-bered-

skab. Skatteministeriet er afhængig af en lang række it-systemer, for at ministeriet kan

varetage sine opgaver med at opkræve og inddrive skatter og afgifter samt refundere

moms mv.

4. Da Statsrevisorerne behandlede beretningen, fandt de Skatteministeriets it-bered-

skab for kritiske forretningsprocesser utilfredsstillende og utilstrækkeligt. Det util-

strækkelige it-beredskab kan medføre, at it-nedbrud og datatab kan blive mere om-

fattende med risiko for, at staten ikke kan opkræve skatter og afgifter, tilbagebetale

tilgodehavender eller udbetale løn, SU, sociale ydelser, pension mv. til borgere og virk-

somheder.

5. På baggrund af beretningen og Statsrevisorernes bemærkninger har vi fulgt op på

følgende punkter:

Et opfølgningspunkt afsluttes,

når Statsrevisorerne på bag-

grund af indstilling fra Rigsre-

visionen vurderer, at myndig-

hedernes initiativer er tilfreds-

stillende.

Opfølgningspunkt

1. Skatteministeriets arbejde med at skabe over-

blik over det eksisterende it-beredskab for kritiske

it-systemer.

2. Skatteministeriets implementering af nødplaner

og indsatsplaner.

3. Skatteministeriets arbejde med at koordinere it-

beredskabet på tværs af ministeriets it-systemer.

Status

Behandles i dette notat.

6. Vi redegør i dette notat for resultaterne af opfølgningen på ovenstående punkter.

Hele sagen og dens dokumenter kan følges på www.rigsrevisionen.dk og på

www.ft.dk/Statsrevisorerne.

7. Bilag 1 viser Folketingets behandling af beretningen.

Statsrevisorerne beretning SB20/2020 - Bilag 4: Rigsrevisionens fortsatte notat af 8. maj 2023

II. Skatteministeriets initiativer

8. Vi gennemgår i det følgende Skatteministeriets initiativer i forhold til opfølgnings-

punkterne. Dette sker med henblik på at vurdere, om ministeriets initiativer adresse-

rer den kritik, der fremgår af Statsrevisorernes bemærkninger og Rigsrevisionens be-

retning. Gennemgangen er baseret på redegørelser, opgørelser og dokumentation fra

Skatteministeriet, Skattestyrelsen samt Udviklings- og Forenklingsstyrelsen.

Overblik over det eksisterende it-beredskab

9. Statsrevisorerne bemærkede, at Skatteministeriet kun havde kortlagt it-beredska-

bet for 7 ud af ministeriets ca. 230 it-systemer, hvoraf 45 blev vurderet som kritiske

for ministeriets opgaveløsning.

10. Skatteministeriet har oplyst, at ministeriet i september 2022 har opdateret sin li-

ste over kritiske it-systemer. Listen består nu af i alt 61 it-systemer. Antallet af kritiske

it-systemer er således udvidet fra de 45 it-systemer, som var det antal kritiske it-sy-

stemer, der fremgik af beretningen. Ministeriet har oplyst, at det er ministeriets inten-

tion, at listen over kritiske it-systemer skal opdateres årligt.

11. For at kortlægge it-beredskabet har Skatteministeriet i 3. kvartal 2022 indarbejdet

nogle spørgsmål til it-beredskabet i ministeriets skabelon for risikovurderinger af it-

systemer. I forbindelse med risikovurdering af it-systemerne skal det bl.a. angives:

om der er implementeret en reetableringsplan for it-systemet

om der er implementeret én eller flere nødplaner for de tilhørende forretningspro-

cesser, som it-systemet understøtter

•

hvor ofte reetableringsplanen og nødplanerne testes.

•

12. Spørgsmålene vedrørende it-beredskabsplaner vil blive afdækket i forbindelse med

risikovurderingerne af Skatteministeriets kritiske it-systemer, som gennemføres i

2023-2024. Rigsrevisionens gennemgang viser, at risikovurderingerne gennemføres i

prioriteret rækkefølge, så de mest kritiske systemer vurderes først. Ministeriet vurde-

rer, at der med risikovurderingerne kan dannes et samlet overblik over status på be-

redskabsplanerne for ministeriets kritiske it-systemer. Ministeriet har oplyst, at spørgs-

målene også anvendes i forbindelse med risikovurderinger af nye it-systemer, herun-

der ved udbud, genudbud og udvikling.

13. Rigsrevisionen finder det tilfredsstillende, at Skatteministeriet har opdateret listen

over kritiske it-systemer i ministeriets koncern. Rigsrevisionen konstaterer, at ministe-

riet er i gang med at afdække, i hvilket omfang der foreligger it-beredskabsplaner for

alle ministeriets kritiske it-systemer. Ministeriet har dog endnu ikke afsluttet afdæk-

ningen. Rigsrevisionen vil derfor fortsat følge ministeriets arbejde med at skabe et sam-

let overblik over det eksisterende it-beredskab for ministeriets kritiske it-systemer.

Statsrevisorerne beretning SB20/2020 - Bilag 4: Rigsrevisionens fortsatte notat af 8. maj 2023

Implementering af nødplaner og indsatsplaner

Indsatsplaner

En indsatsplan er en plan for

den interne krisestyring i Skat-

teministeriet i en it-bered-

skabssituation. Planen dæk-

ker bl.a., hvordan der skal

kommunikeres til interne og

eksterne aktører. I andre myn-

digheder kan en sådan plan

også omtales som en krisesty-

ringsplan.

14. Statsrevisorerne bemærkede, at Skatteministeriet ikke havde indsatsplaner for

den interne krisestyring for 8 af de 9 undersøgte it-systemer. Statsrevisorerne hæf-

tede sig endvidere ved, at Skatteministeriet kun havde udarbejdet én nødplan på he-

le Skatteforvaltningens område.

15. Skatteministeren bemærkede i sin redegørelse til beretningen, at det var ministe-

rens opfattelse, at nedbrud og kriser kunne håndteres via Skatteministeriets eksiste-

rende processer og planer. Ministeren var dog enig i, at reetableringsplaner, nødpla-

ner og indsatsplaner også skulle implementeres for at sikre fuldstændigheden i it-be-

redskabet.

Skatteministeren oplyste også, at Skatteministeriet havde igangsat en implemente-

ringsplan for det videre arbejde med it-beredskabet, og at Udviklings- og Forenklings-

styrelsen herunder havde igangsat et arbejde i samarbejde med Skattestyrelsen om i

første omgang at implementere nødplaner.

16. Tabel 1 viser, hvilke af de 9 it-systemer, inkl. undersystemer, som Rigsrevisionen

undersøgte i beretningen, der er implementeret nødplaner for, dvs. planer for, hvor-

dan Skatteministeriet håndterer og viderefører de opgaver og forretningsprocesser,

som påvirkes i en beredskabssituation.

Tabel 1

It-systemer, der er implementeret nødplaner for

Hovedsystem/it-system

DXC Mainframe og

SAP Classic

Nødplan implementeret

Delvist, da den endnu ikke dækker alle relevante forretnings-

processer

Nej

Ikke relevant, da der er tale om kritisk infrastruktur

DXC Mainframe

SAP Classic

Skattekontoen

NTSE

eIndkomst

SKAT Ligning

DCS

FTPS-Gateway

DXC Mainframe og SAP Clas-

sic er begge hovedsystemer.

Under de 2 hovedsystemer er

der en række underliggende

it-systemer.

Kilde:

Rigsrevisionen på baggrund af Skatteministeriets redegørelse.

Det fremgår af tabel 1, at Skatteministeriet endnu ikke har udarbejdet en nødplan for

DCS, samtidig med at nødplanen for NTSE endnu ikke dækker alle relevante forret-

ningsprocesser.

Statsrevisorerne beretning SB20/2020 - Bilag 4: Rigsrevisionens fortsatte notat af 8. maj 2023

17. Skatteministeriet har oplyst, at der ikke er udarbejdet eller implementeret nogen

indsatsplaner. Det skyldes, at ministeriet har vurderet, at der er et overlap mellem nød-

planer, reetableringsplaner og indsatsplaner. Ministeriet har vurderet, at de væsent-

ligste dele af indsatsplanen allerede er indeholdt i henholdsvis reetablerings- og nød-

planerne. Rigsrevisionen har gennemgået udvalgte planer og kan på den baggrund

konstatere, at de væsentligste dele af indsatsplanerne er indeholdt i de gennemgå-

ede nødplaner.

18. Rigsrevisionen konstaterer, at Skatteministeriet mangler at implementere nødpla-

ner for ét ud af de 9 it-systemer, som Rigsrevisionen undersøgte i beretningen. Derud-

over er nødplanen for et andet it-system kun delvist dækkende for de arbejdsproces-

ser, den skulle omfatte. Rigsrevisionen vil derfor fortsat følge ministeriets arbejde med

at implementere nødplaner for disse it-systemer.

Koordinering af it-beredskabet

19. Statsrevisorerne fandt det kritisabelt, at Skatteministeriet ikke havde fastlagt, hvil-

ken styrelse der havde ansvaret for at koordinere arbejdet med it-beredskabet for kri-

tiske it-systemer på tværs af ministerområdet.

20. Rigsrevisionens opfølgning viser, at Udviklings- og Forenklingsstyrelsen er blevet

tildelt det overordnede og koordinerende ansvar for it-beredskabet.

Skatteministeriet har oplyst, at ansvarsfordelingen vil blive implementeret i den kom-

mende opdatering af ministeriets udvidede informationssikkerhedshåndbog. Ministe-

riet har oplyst, at opdateringen forventes afsluttet inden sommeren 2023.

21. Statsrevisorerne bemærkede også, at Skatteministeriet ikke havde sikret, at kra-

vene til den maksimale reetableringstid og det maksimale datatab for de enkelte it-sy-

stemer kunne efterleves i en beredskabssituation. Ministeriet vidste dermed reelt ik-

ke, hvornår ministeriets kritiske forretningsprocesser kunne være oppe at køre igen

efter en beredskabssituation.

22. Det fremgik desuden af beretningen, at ministeriet ikke systematisk havde kort-

lagt afhængighederne mellem de it-systemer, der indgik i forretningsprocesserne for

personskat, moms og selskabsskat.

23. Rigsrevisionens gennemgang viser, at Skatteministeriet i 2022 har indarbejdet

spørgsmål i sin skabelon for risikovurdering, som afdækker maksimal reetablerings-

tid og maksimalt datatab. Derudover har ministeriet udarbejdet en handlingsplan for

it-beredskabet. Det fremgår af planen, at ministeriet i løbet af foråret 2023 vil kort-

lægge, om ministeriets behov i forhold til maksimal reetableringstid og maksimalt da-

tatab svarer til den reetableringstid og det datatab, som faktisk kan accepteres i for-

bindelse med reetablering af de kritiske it-systemer. Ministeriet vil desuden som et

led i sin risikovurdering kortlægge, om de pågældende it-systemer har samfundskriti-

ske eller forretningskritiske systemafhængigheder.

Skatteministeriet har oplyst, at ministeriet på baggrund af kortlægningen vil vurdere,

om der bør implementeres yderligere systemspecifikke foranstaltninger.

Maksimal reetablerings-

tid

Maksimal reetableringstid er

den tid, som det maksimalt må

tage at reetablere it-systemet.

Maksimalt datatab

Maksimalt datatab er den

maksimale tidsperiode, hvor

der må være tab af data i it-

systemet. Maksimalt datatab

er dermed udtryk for den tid,

man må gå tilbage for at finde

den seneste brugbare backup.

Statsrevisorerne beretning SB20/2020 - Bilag 4: Rigsrevisionens fortsatte notat af 8. maj 2023

24. Det fremgik også af beretningen, at Skatteministeriet hverken havde taget stilling

til eller aftalt med leverandørerne, i hvilken rækkefølge ministeriets it-systemer skal re-

etableres, hvis alle eller flere it-systemer går ned samtidigt.

25. Rigsrevisionens gennemgang viser, at Skatteministeriet i oktober 2022 har udar-

bejdet en liste over den prioriterede rækkefølge for reetablering af kritiske it-syste-

mer.

26. Rigsrevisionen konstaterer, at Skatteministeriet har fastlagt, hvem der har ansva-

ret for at koordinere arbejdet med it-beredskabet for kritiske forretningsprocesser

på tværs af ministerområdet. Rigsrevisionen konstaterer også, at ministeriet har ud-

arbejdet en liste over den prioriterede rækkefølge for reetablering af samfundskriti-

ske it-systemer og kritisk infrastruktur.

Rigsrevisionen konstaterer, at Skatteministeriet har indarbejdet spørgsmål om mak-

simal reetableringstid og maksimalt datatab i sin skabelon for risikovurdering, og at

ministeriet som et led i sin risikovurdering vil kortlægge afhængighederne mellem de

forskellige it-systemer. Rigsrevisionen vil fortsat følge Skatteministeriets arbejde med

at koordinere kravene til maksimal reetableringstid og maksimalt datatab samt koor-

dinering vedrørende systemafhængigheder.

Birgitte Hansen

Statsrevisorerne beretning SB20/2020 - Bilag 4: Rigsrevisionens fortsatte notat af 8. maj 2023

Bilag 1. Folketingets behandling af beretningen

Beretning (nr.),

dato for Stats-

revisorernes

mødebehandling

og minister-

redegørelse(r)

Skatteministeriets

it-beredskab

(nr.

20/2020)

17-09-2021

Minister-

redegørelse:

Skatteministeren:

11-11-2021

Behandlet i

udvalg

Teknisk gennem-

gang ved Stats-

revisorerne og

Rigsrevisionen

Udvalgs-

spørgsmål (nr.)

Indkaldt til

samråd

Statsrevisorerne

har holdt møde

med ministeren

§ 20-spørgsmål

Finansudvalget:

23-09-2021

28-10-2021

Skatteudvalget:

14-10-2021