Nummer: 183

Beredskabsplan i tilfælde af manglende adgang til centrale offentlige digitale løsninger

Det sker, at centrale offentlige digitale løsninger ikke kan tilgås, eller at nogle af deres funktioner ikke virker, hvilket kan føre til økonomisk tab eller retstab – eller anden sanktion fra myndigheden - for virksomheder og borgere. Erhvervslivets EU- og Regelforum anbefaler, at myndigheder ansvarlige for sådanne løsninger bør udarbejde beredskabsplaner, der omhandler, hvordan brugere af løsningen skal forholde sig, når der er nedbrud eller driftsforstyrrelser på det pågældende system. 

Dato:
7. december 2023
Type af anbefaling:
National lovgivning
Tema:
Øvrige anbefalinger
Ansvarlig ministerium:
Digitaliserings- og Ligestillingsministeriet
Status på anbefaling:
Følges delvist

Problem     

På flere og flere områder skal virksomheder og borgere aflevere centrale data via offentlige portaler, fx i forbindelse med indberetninger. Det hænder, at adgangen til disse offentlige systemer fejler – enten fordi selve systemet er ”nede”, eller fordi virksomheders og borgeres adgang til systemerne ikke fungerer som følge af fejl på tværgående offentlige sikre loginsystemer. Når det sker, kan virksomheder og borgere stå med alvorlige problemer, fordi de så ikke kan overholde de formelle frister, som myndighederne har opstillet for aflevering af informationer via den pågældende portal eller løsning. Det kan fx være aflevering af finansielle oplysninger til offentlige betalings- eller tilskudssystemer, eller i forhold til overholdelse af formelle frister ved domstolene eller forskellige offentlige ansøgningssystemer – fx ifm. ansøgning af puljemidler.

Anbefaling

Erhvervslivets EU- og Regelforum anbefaler, at alle myndigheder med ansvar for centrale digitale løsninger, hvor der som udgangspunkt alene er adgang til at leve op til sin forpligtelse som virksomhed eller borger via anvendelse af den digitale løsning, udarbejder og offentliggør korte og klare beredskabsplaner. Disse beredskabsplaner skal over for virksomheder og borgere beskrive, hvilke alternative løsninger, de kan gøre brug af, hvis den digitale løsning af den ene eller den anden grund ikke er tilgængelig for brugeren på grund af fejl på myndighedernes side af systemet. Herved sikres, at virksomheder og borgere ikke skal lide økonomisk tab eller retstab – eller på anden måde blive ramt af en sanktion fra myndigheden – i situationer med sådanne fejl på myndighedsside.

Som eksempel kan nævnes, at Domstolsstyrelsen har taget konsekvensen af erfaringer med nedetider. Domstolsstyrelsen har, for at skabe sikkerhed for aflevering af dokumenter i civile sager, udarbejdet en kort og klar beredskabsplan på to sider. Andre myndigheder kan bl.a.  lade sig inspirere heraf, når de går i gang med at udarbejde deres beredskabsplan.
 

Potentiale     

Når det ikke er muligt at tilgå en offentlig digital løsning i en situation, hvor denne er nede, skaber det risiko for ikke at overholde en formel frist. Dette medfører – ud over generel stress – at medarbejdere må arbejde kontinuerligt helt frem til den formelle frist (som oftest er kl. 23.59 en konkret dato) for til stadighed at søge at tilgå systemerne i håb om, at de bliver tilgængelige inden deadline. Det er samtidig nødvendigt for at kunne dokumentere efterfølgende, at man har ”gjort alt hvad der har været muligt” for at overholde den formelle frist. Hvis blot 1.000 brugere er nødt til at have medarbejdere på arbejde fra fx kl. 15.00 til kl. 23.59 for at forsøge at tilgå systemerne, vil det med en kostpris på 1.000 kr./timen koste erhvervslivet 9 mio. kr., hver gang en sådan hændelse forekommer. Rammer sådanne hændelser fem dage om året, er den årlige omkostning for erhvervslivet på 45 mio.kr.

Med den nye beredskabsplan på Domstolsstyrelsens område spares brugerne for dette merforbrug i tid og for problemer med overholdelse af frister.

Da der er tale om en generel anbefaling for alle centrale offentlige it-løsninger, der fordrer selvbetjening fra virksomheder og borgere, er potentialet stort, såfremt alle offentlige myndigheder, der administrerer centrale digitale indberetningsløsninger, udarbejder beredskabsplaner, der kort og klar anviser, hvordan brugerne skal forholde sig, såfremt systemerne ikke er tilgængelige.

Relevant regulering    

Domstolsstyrelsens ”Beredskabsplan for nedbrud og driftsforstyrrelser på minretssag.dk” af 1. juni 2023, som findes på domstol.dk. 

Yderligere oplysninger    

Regeringen fremsætter i indeværende folketingsår et lovforslag om lov om udgivelse af lovtidende, der har til formål at sikre, at lovtidende kan udgives på andre måder end via offentliggørelse på lovtidende.dk. 

Lovforslaget er bl.a. begrundet i en bekymring for, at udefrakommende kan forøge at hindre offentliggørelse af love på www.lovtidende.dk via forskellige former for cyber angreb.

Helt på samme måde kan man forestille sig at andre centrale offentlige it-løsninger, herunder indberetningsløsninger, som denne anbefaling omhandler, kan blive utilgængelige for virksomheder og borgere som følge af cyber angreb. Også af den grund vil det have stor værdi at udarbejde og offentliggøre beredskabsplaner, der giver brugere af systemerne anvisninger om, hvordan de skal forholde sig, hvis disse løsninger i kortere eller længere perioder ikke er tilgængelige.

Regeringens svar til Regelforum

Digitaliserings- og Ligestillingsministeriet vurderer, at anbefalingen delvist kan gennemføres.

Baggrund
Offentlige digitale løsninger skal gøre hverdagen enklere og nemmere for borgere, virksomheder og myndigheder. Samtidig skal offentlige digitale løsninger være sikre, brugervenlige og tilgængelige. De offentlige digitale løsninger lever efter regeringens opfattelse op til det, der med rimelighed kan forventes. Eksempelvis var MitID i 2023 tilgængelig (oppetid) i 99,85 pct. af tiden.

En fuldstændig tilgængelighed vil dog aldrig kunne garanteres. Nødvendige opdateringer, fejlrettelser, tekniske fejl, naturkatastrofer eller ondsindede handlinger kan gøre alle it-systemer utilgængelige for brugeren. Ofte er it-systemerne kun utilgængelige i korte perioder. Men uanset, om loginsystemer eller fagsystemer er utilgængelige, medfører det, at brugerne ikke kan anvende systemerne.

For brugerne kan der være tilfælde, hvor det er uden betydning, om deres forehavende udskydes til et andet tidspunkt eller en anden dag på grund af utilgængelighed af loginsystemer eller fagsystemer. Men som Regelforum påpeger, kan der også være tilfælde, hvor utilgængeligheden kan få negative konsekvenser for borgere eller virksomheder.

Eksisterende regler
Siden 2016 har statslige myndigheder skullet sikre implementering af standarden for styring af informationssikkerhed, ISO 27001. Af standarden fremgår det bl.a., at organisationen skal udarbejde beredskabsplaner, herunder nødplan(er) for at kunne videreføre dens opgaver og forretningsprocesser.

Digitaliseringsstyrelsen vejleder de statslige myndigheder i implementering af ISO 27001, herunder arbejdet med it-beredskabet. I Digitaliseringsstyrelsens ”Vejledning i it-beredskab 2022” foreslås det bl.a., at myndighederne udarbejder forretningsnødplaner for de kritiske forretningsprocesser. Vejledningen indeholder desuden en række spørgsmål og anbefalinger samt tjeklister, som myndighederne kan tage afsæt i, når de skal udarbejde deres nødplaner.

Ansvaret for at udarbejde forretningsnødplaner ligger hos procesejeren. Det betyder, at hvis et af de tværgående loginsystemer er utilgængeligt og en virksomhed eller borger derfor ikke kan indberette via et offentligt it-system, er det myndigheden, som ejer fagsystemet, der er ansvarlig for at udarbejde en nødplan. Myndigheden, som ejer loginsystemet, har i denne sammenhæng ansvar for at sikre høj tilgængelighed af loginsystemet og for at kommunikere om den manglende tilgængelighed til øvrige myndigheder og offentligheden generelt.

Konkrete handlinger
Digitaliseringsstyrelsen vil på baggrund af anbefalingen opdatere vejledningsmaterialet vedrørende it-beredskabet i staten. Formålet med opdateringen er at tydeliggøre over for de statslige myndigheder, at de bør tænke konsekvenserne for borgere og virksomheder ind, når de vurderer behovet for nødplaner.

Målet med ovenstående tiltag er ikke, at alle statslige it-systemer skal have offentliggjorte nødplaner for, hvordan borgerne og virksomhederne skal forholde sig i tilfælde af utilgængelige loginsystemer eller fagsystemer. Målet er, at hver myndighed som led i deres risikovurderinger får forholdt sig til, hvad konsekvenserne for borgere og virksomheder vil være i tilfælde af, at tværgående loginsystemer og/eller fagsystemer er utilgængelige, og at myndighederne på den baggrund beslutter, om der er behov for at offentliggøre en nødplan.

Vejledningsmaterialet vedrørende it-beredskabet vil blive opdateret som led i den generelle opdatering af Digitaliseringsstyrelsens vejledningsmateriale, som forventes at skulle ske i forbindelse med implementeringen af NIS2-direktivet. Konkret er det vurderingen, at vejledningsmaterialet vil blive opdateret og offentliggjort i første halvår 2025.