Statsrevisorerne beretning SB14/2021 - Bilag 4: Rigsrevisionens fortsatte notat af 3. januar 2023

Finansudvalget 2021-22
SB 14 4
Offentligt

Januar 2023

Rigsrevisionens notat om

beretning om

Energinets outsourcing

af driften af forsynings-

kritisk it-infrastruktur

Statsrevisorerne beretning SB14/2021 - Bilag 4: Rigsrevisionens fortsatte notat af 3. januar 2023

2.. 1.

Fortsat notat til Statsrevisorerne

Opfølgning i sagen om Energinets outsourcing af

driften af forsyningskritisk it-infrastruktur

(beretning nr. 14/2021)

3. januar 2023

RN 702/23

1. Rigsrevisionen følger i dette notat op på sagen om Energinets outsourcing af driften

af forsyningskritisk it-infrastruktur, som blev indledt med en beretning i april 2022.

Vi har tidligere behandlet sagen i notat til Statsrevisorerne af 28. juni 2022.

Sagsforløb for en større

undersøgelse

Beretning

Ministerredegørelse

§ 18, stk. 4-notat

Konklusion

Rigsrevisionen finder det tilfredsstillende, at rammerne for Energinets oplysningspligt

er præciseret i Energinets vedtægter og koncerninstruks, og at datterselskabet Forret-

ningsservice A/S vil blive fusioneret med Energinet SOV ultimo 2022. Rigsrevisionen

finder det videre tilfredsstillende, at Klima-, Energi- og Forsyningsministeriet har be-

skrevet, hvordan ministeriets tilsynsopgaver med Energinet skal varetages, og at op-

delingen af tilsynsopgaverne følger

”Statens

ejerskabspolitik”. Rigsrevisionen vurde-

rer på den baggrund, at disse dele af sagen kan afsluttes.

Der udestår en uddybning af oplysningspligten i udkast til ministeriets retningslinjer

for ejerskabsvaretagelse af og kommunikation med Energinet.

Ministeriet modtog i november 2022 en redegørelse fra en ekspertgruppe, der havde

til opgave at undersøge de områder, hvor Rigsrevisionen havde identificeret sikker-

hedsbrister.

Rigsrevisionen vil fortsat følge udviklingen og orientere Statsrevisorerne om:

•

Klima-, Energi- og Forsyningsministeriets arbejde med at præcisere rammerne for

Energinets orienteringspligt i ministeriets retningslinjer for ejerskabsvaretagelse af

og kommunikation med Energinet

Klima-, Energi- og Forsyningsministeriets opfølgning på ekspertgruppens redegørel-

se om sikkerheden i Energinet.

Fortsat notat

Sagen afsluttes

Du kan læse mere om

forløbet og de enkelte step

på

www.rigsrevisionen.dk

•

Statsrevisorerne beretning SB14/2021 - Bilag 4: Rigsrevisionens fortsatte notat af 3. januar 2023

I. Baggrund

2. Rigsrevisionen afgav i april 2022 en beretning om Energinets outsourcing af driften

af forsyningskritisk it-infrastruktur. Beretningen handlede om, hvorvidt Klima-, Energi-

og Forsyningsministeriet og Energinet havde håndteret outsourcingen af driften af den

forsyningskritiske it-infrastruktur ansvarligt.

3. Da Statsrevisorerne behandlede beretningen, fandt de det kritisabelt, at Energinet

ikke i tide havde orienteret Klima-, Energi- og Forsyningsministeriet om outsourcingen,

selv om Energinet ifølge loven er forpligtet til at orientere om væsentlige forhold i Ener-

ginets virksomhed.

Statsrevisorerne fandt, at Klima-, Energi- og Forsyningsministeriets og Energinets

håndtering af outsourcingen af den forsyningskritiske it-infrastruktur samlet set ikke

havde været ansvarlig. Ministeriet havde hverken sikret grundlaget for eller gennem-

ført et tilstrækkeligt tilsyn med Energinets forsyningskritiske it-forhold.

Statsrevisorerne kritiserede, at Energinets manglende håndtering af sikkerhedsrisici

før og under outsourcingforløbet havde ført til en unødig risiko for kompromittering af

forsyningssikkerheden, da man i 2020 outsourcede driften af den forsyningskritiske

it-infrastruktur. Energinet havde således ikke risikovurderet outsourcingen i forhold til,

om den sikrede tilstrækkelig offentlig kontrol.

4. På baggrund af beretningen og Statsrevisorernes bemærkninger har vi fulgt op på

følgende punkter:

Et opfølgningspunkt afsluttes,

når Statsrevisorerne på bag-

grund af indstilling fra Rigsre-

visionen vurderer, at myndig-

hedernes initiativer er tilfreds-

stillende.

Opfølgningspunkt

1. Klima-, Energi- og Forsyningsministeriets arbej-

de med at præcisere rammerne for Energinets op-

lysningspligt og følge, at Energinet flytter it-områ-

det til Energinet SOV, som det er blevet pålagt af

ministeriet.

2. Resultatet af ekspertgruppens arbejde, der skal

følge op på kritikken af Energinets it-sikkerhed,

herunder dokumentation for, at sikkerhedsproble-

merne er løst, og Klima-, Energi- og Forsyningsmini-

steriets opfølgning herpå.

3. Klima-, Energi- og Forsyningsministeriets arbej-

de med at sikre en klar opdeling af tilsynsopgaver.

Status

Behandles i dette notat

Behandles i dette notat.

Behandles i dette notat

5. Vi redegør i dette notat for resultaterne af opfølgningen på ovenstående punkter.

Hele sagen og dens dokumenter kan følges på www.rigsrevisionen.dk og på

www.ft.dk/Statsrevisorerne.

6. Bilag 1 viser Folketingets behandling af beretningen.

Statsrevisorerne beretning SB14/2021 - Bilag 4: Rigsrevisionens fortsatte notat af 3. januar 2023

II. Klima-, Energi- og Forsyningsministeriets initiativer

7. Vi gennemgår i det følgende Klima-, Energi- og Forsyningsministeriet initiativer i for-

hold til opfølgningspunkterne. Dette sker med henblik på at vurdere, om ministeriets

initiativer adresserer den kritik, der fremgår af Statsrevisorernes bemærkninger og

Rigsrevisionens beretning. Gennemgangen er baseret på en dokumentgennemgang

og brevudveksling med ministeriet.

Energinets oplysningspligt og rammerne herfor

8. Statsrevisorerne bemærkede, at Klima-, Energi- og Forsyningsministeriet ikke hav-

de haft mulighed for at vurdere Energinets outsourcingprojekt, inden udbudsproces-

sen blev igangsat, da Energinet ikke orienterede rettidigt.

Statsrevisorerne bemærkede også, at Klima-, Energi- og Forsyningsministerietikke i

ejerskabsdokumenter, koncerninstruks e.l. havde gjort det tydeligt, hvornår og om

hvilke større ændringer af forhold vedrørende forsyningssikkerhed Energinet skulle

orientere ministeriet.

9. Klima-, energi- og forsyningsministeren oplyste i sin redegørelse til beretningen, at

ministeriet ville præcisere ejerskabsdokumenterne for at sikre, at Energinets oplys-

ningspligt entydigt afspejlede lovgivningen. Ejerskabsdokumenterne ville præcisere

Energinets orienteringspligt både ved løbende skriftlige orienteringer og på tilsyns-

møder.

Ministeren oplyste videre, at Energinet var blevet pålagt at rapportere løbende om it-

outsourcingen i en periode, og at ministeren forventede fuldt fokus på it-sikkerhed fra

Energinets bestyrelse og direktion.

10. Rigsrevisionens opfølgning viser, at Energinets vedtægter og koncerninstruks er

opdateret, så de afspejler ordlyden om orienteringspligt i bemærkningerne til lovfor-

slaget. Det fremgår bl.a. af Energinets vedtægter, at klima-, energi- og forsyningsmini-

steren skal orienteres skriftligt om væsentlige og/eller principielle ændringer vedrø-

rende forsyningssikkerhedsmæssige forhold, herunder forsyningskritisk it-infrastruk-

tur.

Klima-, Energi- og Forsyningsministeriet har oplyst, at der udestår en uddybning af

oplysningspligten i styringsdokumentet ”Retningslinjer

for ejerskabsvaretagelsen af

Energinet og kommunikationen mellem Klima-, Energi- og Forsyningsministeriet og

Energinet”. Dette arbejde er igangsat som en del af en større revision af dokumentet

og forventes gennemført i løbet af 1. kvartal 2023. Før retningslinjerne kan træde i

kraft, skal de godkendes af ministeren, hvilket har afventet regeringsdannelsen.

11. Rigsrevisionen finder det tilfredsstillende, at rammerne for Energinets oplysnings-

pligt er præciseret i Energinets vedtægter og koncerninstruks, så de afspejler orien-

teringspligten i bemærkningerne til lov om Energinet. Rigsrevisionen vil fortsat følge

Klima-, Energi- og Forsyningsministeriets arbejde med at præcisere rammerne for

Energinets orienteringspligt i ministeriets retningslinjer for ejerskabsvaretagelse af

og kommunikation med Energinet.

Statsrevisorerne beretning SB14/2021 - Bilag 4: Rigsrevisionens fortsatte notat af 3. januar 2023

Forretningsservice A/S

12. Det fremgik af beretningen, at Energinets datterselskab Forretningsservice A/S i

januar 2019 traf beslutning om at outsource driften af den forsyningskritiske it-infra-

struktur.

13. Klima-, energi- og forsyningsministeren oplyste i sin redegørelse til beretningen, at

Energinet var blevet pålagt at flytte it-området til moderselskabet Energinet SOV.

14. Rigsrevisionens opfølgning viser, at klima-, energi og forsyningsministeren i brev af

22. april 2022 har pålagt Energinet at flytte it-området til Energinet SOV. Klima-, Ener-

gi- og Forsyningsministeriet har oplyst, at flytningen af it-området håndteres ved, at

Energinet flytter Forretningsservice A/S, som hidtil har varetaget it-området, til Ener-

ginets moderselskab ved en fusion. Fusionen er formelt godkendt på et bestyrelses-

møde i Energinet ultimo august 2022 og af ministeriet ultimo september 2022. Fusio-

nen vil være endeligt gennemført ultimo december 2022.

15. Rigsrevisionen finder det tilfredsstillende, at datterselskabet Forretningsservice

A/S vil være fusioneret med Energinet SOV ultimo 2022. Rigsrevisionen vurderer der-

for, at denne del af sagen kan afsluttes

Sikring af it-sikkerheden

16. Statsrevisorerne bemærkede, at Energinets egen risikovurdering af it-sikkerheden

i forbindelse med outsourcingen havde vist, at Energinet i lange perioder ikke havde

levet op til gældende it-sikkerhedskrav. Hertil kom, at Rigsrevisionen flere gange hav-

de peget på endog alvorlige sikkerhedsproblemer.

17. Det fremgik også af beretningen, at Energinet ikke havde risikovurderet outsour-

cingen i forhold til, om outsourcingen sikrede tilstrækkelig offentlig kontrol med for-

syningskritisk it-infrastruktur.

18. Klima-, energi- og forsyningsministeren oplyste i sin redegørelse til beretningen, at

ministeren noterede sig Statsrevisorernes og Rigsrevisionens kritik. Ministeren oplyste

videre, at Klima-, Energi- og Forsyningsministeriet havde sammensat en ekspertgrup-

pe med deltagelse af Energistyrelsen og Center for Cybersikkerhed. Ekspertgruppen

var i gang med at lægge en plan for, hvordan der bedst muligt sikres effektiv fremdrift

i opfølgningen på og udbedringen af den kritik, som Rigsrevisionen havde rejst af Ener-

ginets it-sikkerhed.

19. Klima-, Energi- og Forsyningsministeriet har oplyst, at ekspertgruppen fik til opga-

ve at undersøge de områder, hvor Rigsrevisionen havde identificeret sikkerhedsbri-

ster, at rådgive og vejlede Energinet om, hvordan Energinet kan håndtere sikkerheds-

bristerne, og at udarbejde en samlet redegørelse om sikkerhedsniveauet i Energinet.

Statsrevisorerne beretning SB14/2021 - Bilag 4: Rigsrevisionens fortsatte notat af 3. januar 2023

20. Rigsrevisionens opfølgning viser, at Klima-, Energi- og Forsyningsministeriet i no-

vember 2022 modtog ekspertgruppens redegørelse om sikkerheden i Energinet. Det

fremgår af redegørelsen, at det er ekspertgruppens samlede vurdering, at sikkerheds-

niveauet i Energinet i forhold til Rigsrevisionens observationer overordnet set ikke er

tilfredsstillende. Dermed bekræfter ekspertgruppen Rigsrevisionens fund. Ekspert-

gruppen har som en del af redegørelsen udformet en række anbefalinger til Energinet,

der vedrører tiltag, som Energinet bør igangsætte med henblik på, at Energinet hur-

tigst muligt får højnet sikkerheden til et acceptabelt niveau. Efter anmodning fra mini-

steriet har Energinet udarbejdet en handlingsplan med milepæle for implementering

af konkrete tiltag.

21. Klima-, Energi- og Forsyningsministeriet har oplyst, at ministeriet har modtaget og

været i dialog med Energinet om handlingsplanen, og at Energinet inden udgangen af

2022 skal sende et statusnotat til ministeriet, som redegør for Energinets håndtering

af tiltag på kort sigt. Herudover har ministeriet oplyst, at ekspertgruppen ultimo januar

2023 vil besøge Energinet med henblik på at efterse og revidere implementeringen af

de foreløbige tiltag. Desuden vil ekspertgruppen igen besøge Energinet medio 2023

med henblik på at få en status på implementering af tiltagene i handlingsplanen.

Ministeriet har desuden oplyst, at ministeriet parallelt med ekspertgruppens arbejde

har skærpet indsatsen over for Energinet med afholdelse af en række møder på øver-

ste ledelsesniveau mellem departementet og Energinet, herunder med Energinets di-

rektør og bestyrelsesformand, hvor bl.a. ekspertgruppens foreløbige redegørelse og

anbefalinger er blevet behandlet. Ministeriet har oplyst, at der er en fælles forståelse

mellem Energinet og ministeriet om, at der er behov for, at Energinet øger sikkerheds-

niveauet og implementerer ekspertgruppens anbefalinger.

22. Rigsrevisionen vil fortsat følge Klima-, Energi- og Forsyningsministeriets opfølg-

ning på ekspertgruppens redegørelse om sikkerheden i Energinet.

Klima-, Energi- og Forsyningsministeriets tilsyn

23. Statsrevisorerne bemærkede, at Klima-, Energi- og Forsyningsministeriet løbende

havde ført tilsyn med it-sikkerheden i Energinet, men ikke fuldt ud havde gjort brug af

tilgængelig viden fra fx sektortilsynsrapporterne.

24. Klima-, energi- og forsyningsministeren oplyste i sin redegørelse til beretningen, at

ministeren var enig i, at der ikke forelå klare beskrivelser af delingen mellem det ejer-

mæssige tilsyn og sektortilsynet. Der var derfor igangsat et arbejde, der skulle sikre

en klar beskrivelse af opdelingen af disse tilsynsopgaver.

25. Rigsrevisionens opfølgning viser, at Klima-, Energi- og Forsyningsministeriet har

præciseret opdelingen af tilsynsopgaver i et notat. Det fremgår af notatet, at ministe-

riet har fulgt anbefalingen i

”Statens

ejerskabspolitik” om, at varetagelsen af statens

ejerinteresser som hovedregel henlægges til dele af ministeriet, som ikke er direkte

involveret i varetagelsen af myndighedsopgaverne. Det fremgår af notatet, at anbe-

falingen er organisatorisk implementeret i ministeriet, idet det ejerskabsmæssige til-

syn er placeret i departementet, mens sektortilsynet varetages af Energistyrelsen og

Forsyningstilsynet.

Statsrevisorerne beretning SB14/2021 - Bilag 4: Rigsrevisionens fortsatte notat af 3. januar 2023

26. Rigsrevisionen finder det tilfredsstillende, at Klima-, Energi- og Forsyningsministe-

riet har beskrevet, hvordan ministeriets tilsynsopgaver med Energinet skal varetages,

og at opdelingen følger

”Statens

ejerskabspolitik”. Rigsrevisionen vurderer derfor, at

denne del af sagen kan afsluttes.

Birgitte Hansen

Statsrevisorerne beretning SB14/2021 - Bilag 4: Rigsrevisionens fortsatte notat af 3. januar 2023

Bilag 1. Folketingets behandling af beretningen

Beretning (nr.)

og dato for Stats-

revisorernes

mødebehandling

Energinets outsour-

cing af driften af

forsyningskritisk

it-infrastruktur

(nr.

14/2021)

25-04-2022

Ministerredegørelse

Behandlet i udvalg

(SR/RR = teknisk

gennemgang ved

Statsrevisorerne og

Rigsrevisionen)

Finansudvalget:

28-04-2022

09-06-2022

(SR/RR)

Klima-, Energi- og For-

syningsudvalget

22-06-2022

Udvalgsspørgsmål

(nr.)

Indkaldt til samråd

(SR = Statsreviso-

rerne har afholdt

møde med ministe-

ren)

Finansudvalget

(lukket samråd):

30-08-2022

§ 20-spørgsmål

Klima-, energi- og for-

syningsministeren:

02-06-2022

Udtalelse fra Energi-

nets bestyrelse:

24-05-2022

Klima-, energi- og for-

syningsministeren:

30-08-2022

(460)