Flemming Kjærsdam • 29 februar 2024

IT-revisioner koster kommunerne dyrt

Antallet af IT-revisioner i landets kommuner er støt stigende – både i omfang og antal. Det er krav, der kommer udefra, og i takt med at digitaliseringen breder sig, bliver omfanget af hver IT-revision større.
Vi har i nedenstående skitseret IT-revisionerne, som kommunerne bliver mødt med.


Økonomisk revision og IT-revision
Den økonomiske revision har været gældende i mange år. Herudover kommer også IT-revisionen, som skal sikre, at de digitale processer og arbejdsgange, lever op til den fornødne sikkerhed. Her skal den eksterne, godkendte revisor kontrollere og kvalitetssikre, at kommunen opfylder internationale standarder på området. Der foretages revision af forretningsgange og interne kontroller inden for IT. Myndighed er Indenrigs- og Boligministeriet.


MitID til borgerne
En arbejdsgangsbeskrivelse af MitID til borgerne (RA red). Her skal kommunerne opfylde de krav som er indgået i forbindelse med aftale med Nets. Myndigheden er Digitaliseringsstyrelsen. Den eksterne revisor skal kontrollere, at kravene bliver opfyldt. Kommunen skal dokumentere, at det, der står i arbejdsgangsbeskrivelsen bliver udført i praksis. Dokumentation omfatter brugeradgang, hændelseslogs og diverse opfølgninger som beskrevet. Man kan godt sige, at sikkerhedsmæssigt og revisionsmæssigt inden for digitale identiteter opnår kommuner formelt en IT-sikkerhed, der minder om forholdene i et pengeinstitut. Og revisionsmæssigt sker det i følge internationale standarder. Der har ligeledes været kritik af, at der er gennemført to af hinanden uafhængige revisioner i overgangsperioden fra NemID til MitID. Både en revision af NemID og en revision af NSIS. Det er dobbelt op på tid og penge.
 

MitID Erhverv (NSIS)
MitID Erhverv/NSIS (National Standard for Identiteters Sikringsniveauer).
Da kommuner bliver opfattet på lige fod med store erhvervsvirksomheder, kan kommuner som arbejdsgiver selv udstede medarbejdersignaturer – MitID Erhverv efter NSIS standarder. Det er nok den mest kritiserede IT-revision. Der er eksempler på kommuner, som har brugt tusindvis af timer på at blive certificeret efter de internationale standarder på området. Certificeringen følges op af en årsberetning, der underskrives af revisor og endelig godkendt af Digitaliseringsstyrelsen.


NIS2 – skærpet cybersikkerhed
NIS2 (Network and Information Security version 2) – er ikke implementeret endnu. Men revisorer og konsulenter og advokater udbyder allerede kurser. Der er endnu ikke udsendt et lovgrundlag, som organisationerne kan indsende høringssvar om, men ifølge forlydender må det være overordentlig tæt på, hvis det skal kunne nå at træde i kraft i oktober. NIS2 handler om ledelses- og bestyrelsesansvar inden for “livsvigtige” funktioner – som energi, vand og sygehuse og opsamling af skrald. Der vil komme en national informations sikkerheds enhed, som skal føre kontrol med kommuner, regioner og private virksomheder inden for 13 sektorer. Det er endnu ikke afklaret, om kommuner bliver omfattet af NIS2. Men alle interessenter forventer det bliver tilfældet – og hermed er der lagt i kakkelovnen til endnu en årsberetning fra en ekstern revisor, der opfylder de internationale standarder. NIS2 er et EU-direktiv, der skal vedtages i Folketinget.