Finansudvalget 2021-22
SB 14 3
Offentligt
2601264_0001.png
August 2022
Rigsrevisionens notat om
beretning om
Energinets outsourcing
af driften af forsynings-
kritisk it-infrastruktur
 Statsrevisorerne beretning SB14/2021 - Bilag 3: Rigsrevisionens notat af 28. juni 2022
2601264_0002.png
2.. 3.
Notat til Statsrevisorerne, jf. rigsrevisorlovens § 18, stk. 4
1
Vedrører:
Statsrevisorernes beretning nr. 14/2021 om Energinets
outsourcing af driften af forsyningskritisk it-infrastruktur
Klima-, energi- og forsyningsministerens redegørelse af 2. juni 2022
28. juni 2022
RN 705/22
1. Rigsrevisionen vurderer i dette notat de initiativer, som klima-, energi- og forsy-
ningsministeren har iværksat og vil iværksætte som følge af Statsrevisorernes be-
mærkninger og beretningens konklusioner.
Sagsforløb for en større
undersøgelse
Beretning
Ministerredegørelse
§
§ 18, stk. 4-notat
Eventuelt
fortsat(te) notat(er)
Konklusion
Klima-, energi- og forsyningsministeren oplyser, at Energinet har ansvaret for sam-
fundsvigtig infrastruktur, og understreger, at kritikken af Energinet og Klima-, Energi-
og Forsyningsministeriet skal tages meget seriøst. Derfor har ministeren igangsat en
række initiativer, der iværksættes hurtigst muligt.
Rigsrevisionen vil fortsat følge udviklingen og orientere Statsrevisorerne om:
Klima-, Energi- og Forsyningsministeriets arbejde med at præcisere rammerne for
Energinets oplysningspligt og følge, at Energinet flytter it-området til Energinet SOV,
som det er blevet pålagt af ministeriet
resultatet af ekspertgruppens arbejde, der skal følge op på kritikken af Energinets
it-sikkerhed, herunder dokumentation for, at sikkerhedsproblemerne er løst, og
Klima-, Energi- og Forsyningsministeriets opfølgning herpå
Klima-, Energi- og Forsyningsministeriets arbejde med at sikre en klar opdeling af
tilsynsopgaver.
Sagen afsluttes
Du kan læse mere om
forløbet og de enkelte step
www.rigsrevisionen.dk
I. Baggrund
2. Rigsrevisionen afgav i april 2022 en beretning om Energinets outsourcing af driften
af forsyningskritisk it-infrastruktur. Beretningen handlede om, hvorvidt Klima-, Energi-
og Forsyningsministeriet og Energinet har håndteret outsourcingen af driften af den
forsyningskritiske it-infrastruktur ansvarligt.
 Statsrevisorerne beretning SB14/2021 - Bilag 3: Rigsrevisionens notat af 28. juni 2022
2
3. Da Statsrevisorerne behandlede beretningen, fandt de det kritisabelt, at Energinet
ikke i tide orienterede Klima-, Energi- og Forsyningsministeriet om outsourcingen, selv
om Energinet ifølge loven er forpligtet til at orientere om væsentlige forhold i Energi-
nets virksomhed.
Statsrevisorerne fandt, at Klima-, Energi- og Forsyningsministeriets og Energinets
håndtering af outsourcingen af den forsyningskritiske it-infrastruktur samlet set ikke
har været ansvarlig. Ministeriet har hverken sikret grundlaget for eller gennemført et
tilstrækkeligt tilsyn med Energinets forsyningskritiske it-forhold.
Statsrevisorerne kritiserede, at Energinets manglende håndtering af sikkerhedsrisici
før og under outsourcingforløbet har ført til en unødig risiko for kompromittering af
forsyningssikkerheden, da man i 2020 outsourcede driften af den forsyningskritiske
it-infrastruktur. Energinet har således ikke risikovurderet outsourcingen i forhold til,
om den sikrede tilstrækkelig offentlig kontrol.
Statsrevisorerne fandt, at klima-, energi- og forsyningsministeren burde komme med
sin redegørelse hurtigt og helst inden 1 måned, da Rigsrevisionen både i 2020 og se-
nest i november 2021 har konstateret alvorlige it-sikkerhedsbrister, som Energinet ik-
ke havde rettet op på.
4. Hele sagen og dens dokumenter kan følges på www.rigsrevisionen.dk og på
www.ft.dk/Statsrevisorerne.
II. Gennemgang af ministerens redegørelse
5. Klima-, energi- og forsyningsministeren understreger, at kritikken af Energinet og
Klima-, Energi- og Forsyningsministeriet skal tages meget seriøst. Derfor har ministe-
ren igangsat en række initiativer.
Energinets orienteringspligt og rammerne herfor
6. Statsrevisorerne bemærkede, at Klima-, Energi- og Forsyningsministeriet ikke har
haft mulighed for at vurdere Energinets outsourcingprojekt, inden udbudsprocessen
blev igangsat, da Energinet ikke orienterede rettidigt.
Statsrevisorerne bemærkede også, at Klima-, Energi- og Forsyningsministeriet ikke i
ejerskabsdokumenter, koncerninstruks e.l. har gjort det tydeligt, hvornår og om hvilke
større ændringer af forhold vedrørende forsyningssikkerhed Energinet skal orientere
ministeriet.
7. Klima-, energi- og forsyningsministeren oplyser, at ministeren er enig i, at Energinet
burde have orienteret ministeriet tidligere.
Ministeren oplyser videre, at ministeriet vil præcisere ejerskabsdokumenterne for at
sikre, at Energinets oplysningspligt entydigt afspejler lovgivningen. Ejerskabsdoku-
menterne vil præcisere Energinets orienteringspligt både ved løbende skriftlige orien-
teringer og på tilsynsmøder.
 Statsrevisorerne beretning SB14/2021 - Bilag 3: Rigsrevisionens notat af 28. juni 2022
3
Ministeren oplyser, at Energinet er blevet pålagt at rapportere løbende om it-outsour-
cingen i en periode, og at ministeren forventer fuld fokus på it-sikkerhed fra Energi-
nets bestyrelse og direktion.
8. Det fremgik af beretningen, at Forretningsservice A/S i januar 2019 traf beslutning
om at outsource driften af den forsyningskritiske it-infrastruktur.
Klima-, energi- og forsyningsministeren oplyser, at Energinet er blevet pålagt at flytte
it-området til moderselskabet Energinet SOV.
9. Rigsrevisionen vil fortsat følge Klima-, Energi- og Forsyningsministeriets arbejde
med at præcisere rammerne for Energinets orienteringspligt og følge, at Energinet
flytter it-området til Energinet SOV, som det er blevet pålagt af ministeriet.
Sikring af it-sikkerheden
10. Statsrevisorerne bemærkede, at Energinets egen risikovurdering af it-sikkerheden
i forbindelse med outsourcingen har vist, at Energinet i lange perioder ikke har levet op
til gældende it-sikkerhedskrav. Hertil kommer, at Rigsrevisionen flere gange har peget
på endog alvorlige sikkerhedsproblemer.
Det fremgik også af beretningen, at Energinet ikke havde risikovurderet outsourcingen
i forhold til, om den sikrede tilstrækkelig offentlig kontrol med forsyningskritisk it-infra-
struktur.
Klima-, energi- og forsyningsministeren noterer sig Statsrevisorernes og Rigsrevisio-
nens kritik.
Ministeren oplyser, at ministeriet har sammensat en ekspertgruppe med deltagelse af
Energistyrelsen og Center for Cybersikkerhed. Ekspertgruppen er i gang med at læg-
ge en plan for, hvordan der bedst muligt sikres effektiv fremdrift i opfølgningen på og
udbedringen af den kritik, som Rigsrevisionen har rejst, af Energinets it-sikkerhed.
Ministeren noterer sig også, at Energinets bestyrelse er af den holdning, at Energinets
”gennemførte foranstaltninger og fremtidige tiltag –
sammen med de tiltag, der er ini-
tieret af klima-, energi- og forsyningsministeren
er hensigtsmæssige og tilstrække-
lige, og at yderligere betryggelse vil opnås i forbindelse med den fremadrettede hånd-
tering, der valideres af eksterne eksperter”.
Ministeren forventer, at der i 2022 vil væ-
re rettet op på de kritiserede forhold eller iværksat de nødvendige tiltag, som skal sik-
re, at der rettes op herpå hurtigst muligt herefter.
11. Energinets bestyrelse oplyser, at det er rigtigt, at Rigsrevisionen har konstateret
konkrete sikkerhedsudfordringer i forbindelse med Rigsrevisionens undersøgelse. Det
er Energinets opfattelse, at der i al væsentlighed er rettet op på disse eller gennemført
alternative mitigerende tiltag. Bestyrelsen vil følge de igangsatte tiltag og vil ikke ac-
ceptere, at der bliver gået på kompromis med sikkerheden.
 Statsrevisorerne beretning SB14/2021 - Bilag 3: Rigsrevisionens notat af 28. juni 2022
4
12. Rigsrevisionen har konkretiseret udfordringerne over for Klima-, Energi- og Forsy-
ningsministeriet, Energistyrelsen og Center for Cybersikkerhed. Det er på baggrund af
sagens alvor vigtigt, at ekspertgruppen hurtigst muligt forholder sig konkret til de kon-
staterede udfordringer, herunder bestyrelsens opfattelse af, at der i al væsentlighed
er rettet op på disse eller gennemført alternative mitigerende tiltag, så sikkerheden ik-
ke kompromitteres.
13. Rigsrevisionen vil fortsat følge resultatet af ekspertgruppens arbejde, der skal følge
op på kritikken af Energinets it-sikkerhed, herunder dokumentation for, at sikkerheds-
problemerne er løst, og Klima-, Energi- og Forsyningsministeriets opfølgning herpå.
Klima-, Energi- og Forsyningsministeriets tilsyn
14. Statsrevisorerne bemærkede, at Klima-, Energi- og Forsyningsministeriet løbende
har ført tilsyn med it-sikkerheden i Energinet, men ikke fuldt ud har haft gjort brug af
tilgængelig viden fra fx sektortilsynsrapporterne.
Klima-, energi- og forsyningsministeren oplyser, at ministeren er enig i, at der ikke har
foreligget klare beskrivelser af delingen mellem det ejermæssige tilsyn og sektortilsy-
net. Der er derfor igangsat et arbejde, der skal sikre en klar beskrivelse af opdelingen
af disse tilsynsopgaver.
15. Rigsrevisionen vil fortsat følge Klima-, Energi- og Forsyningsministeriets arbejde
med at sikre en klar opdeling af tilsynsopgaver.
Birgitte Hansen