Finansudvalget 2021-22
SB 14 5
Offentligt
2720643_0001.png
Juni 2023
Rigsrevisionens notat om
beretning om
Energinets outsourcing
af driften af forsynings-
kritisk it-infrastruktur
 Statsrevisorerne beretning SB14/2021 - Bilag 5: Rigsrevisionens fortsatte notat af 2. juni 2023
2720643_0002.png
2.. 1.
Fortsat notat til Statsrevisorerne
1
Opfølgning i sagen om Energinets outsourcing af
driften af forsyningskritisk it-infrastruktur
(beretning nr. 14/2021)
2. juni 2023
RN 710/23
1. Rigsrevisionen følger i dette notat op på sagen om Energinets outsourcing af driften
af forsyningskritisk it-infrastruktur, som blev indledt med en beretning i april 2022. Vi
har tidligere behandlet sagen i notater til Statsrevisorerne af 28. juni 2022 og 3. januar
2023.
2. Beretningen handlede om, hvorvidt Klima-, Energi- og Forsyningsministeriet og Ener-
ginet havde håndteret outsourcingen af driften af den forsyningskritiske it-infrastruk-
tur ansvarligt.
Sagsforløb for en større
undersøgelse
Beretning
Ministerredegørelse
§ 18, stk. 4-notat
Konklusion
Rigsrevisionen finder det tilfredsstillende, at Klima-, Energi og Forsyningsministeriet
følger Energinets implementering af handlingsplanen til forbedring af Energinets it-
sikkerhed. Rigsrevisionen kan konstatere, at Energinet har implementeret de tiltag,
som ekspertgruppen havde anbefalet skulle løses på kort sigt. Rigsrevisionen finder
det desuden tilfredsstillende, at ministeriet har fået uddybet Energinets orienterings-
pligt i et styringsdokument.
Rigsrevisionen vil fortsat følge udviklingen og orientere Statsrevisorerne om:
Klima-, Energi- og Forsyningsministeriets opfølgning på, at Energinet implemente-
rer de resterende anbefalinger til forbedring af Energinets it-sikkerhed.
Fortsat notat
Sagen afsluttes
Du kan læse mere om
forløbet og de enkelte step
www.rigsrevisionen.dk
I. Baggrund
3. Rigsrevisionen afgav i april 2022 en beretning om Energinets outsourcing af driften
af forsyningskritisk it-infrastruktur.
4. Da Statsrevisorerne behandlede beretningen, fandt de det kritisabelt, at Energinet
ikke i tide havde orienteret Klima-, Energi- og Forsyningsministeriet om outsourcingen,
selv om Energinet ifølge loven er forpligtet til at orientere om væsentlige forhold i Ener-
ginets virksomhed.
 Statsrevisorerne beretning SB14/2021 - Bilag 5: Rigsrevisionens fortsatte notat af 2. juni 2023
2720643_0003.png
2
Statsrevisorerne fandt, at Klima-, Energi- og Forsyningsministeriets og Energinets
håndtering af outsourcingen af den forsyningskritiske it-infrastruktur samlet set ikke
havde været ansvarlig. Ministeriet havde hverken sikret grundlaget for eller gennem-
ført et tilstrækkeligt tilsyn med Energinets forsyningskritiske it-forhold.
Statsrevisorerne kritiserede, at Energinets manglende håndtering af sikkerhedsrisici
før og under outsourcingforløbet havde ført til en unødig risiko for kompromittering af
forsyningssikkerheden, da man i 2020 outsourcede driften af den forsyningskritiske
it-infrastruktur. Energinet havde således ikke risikovurderet outsourcingen i forhold
til, om den sikrede tilstrækkelig offentlig kontrol.
5. På baggrund af beretningen og Statsrevisorernes bemærkninger har vi fulgt op på
følgende punkter:
Et opfølgningspunkt afsluttes,
når Statsrevisorerne på bag-
grund af indstilling fra Rigsre-
visionen vurderer, at myndig-
hedernes initiativer er tilfreds-
stillende.
Opfølgningspunkt
1. Klima-, Energi- og Forsyningsministeriets arbej-
de med at præcisere rammerne for Energinets ori-
enteringspligt i ministeriets retningslinjer for ejer-
skabsvaretagelse af og kommunikation med Ener-
ginet.
2. Klima-, Energi- og Forsyningsministeriets opfølg-
ning på ekspertgruppens redegørelse om sikkerhe-
den i Energinet.
3. Klima-, Energi- og Forsyningsministeriets arbej-
de med at sikre en klar opdeling af tilsynsopgaver.
Status
Behandles i dette notat.
Behandles i dette notat.
Afsluttet i forbindelse med notat til
Statsrevisorerne af 3. januar 2023.
6. Vi redegør i dette notat for resultaterne af opfølgningen på de punkter, der ikke tid-
ligere er afsluttet.
Hele sagen og dens dokumenter kan følges på www.rigsrevisionen.dk og på
www.ft.dk/Statsrevisorerne.
7. Bilag 1 viser Folketingets behandling af beretningen.
II. Klima-, Energi- og Forsyningsministeriets initiativer
8. Vi gennemgår i det følgende Klima-, Energi- og Forsyningsministeriet initiativer i
forhold til de udestående opfølgningspunkter. Dette sker med henblik på at vurdere,
om ministeriets initiativer adresserer den kritik, der fremgår af Statsrevisorernes be-
mærkninger og Rigsrevisionens beretning. Gennemgangen er baseret på en doku-
mentgennemgang og brevudveksling med ministeriet samt deltagelse i fællesmøder
med ministeriet, Energinet og ekspertgruppen.
 Statsrevisorerne beretning SB14/2021 - Bilag 5: Rigsrevisionens fortsatte notat af 2. juni 2023
3
Energinets orienteringspligt og rammerne herfor
9. Statsrevisorerne bemærkede, at Klima-, Energi- og Forsyningsministeriet ikke havde
haft mulighed for at vurdere Energinets outsourcingprojekt, inden udbudsprocessen
blev igangsat, da Energinet ikke orienterede rettidigt.
Statsrevisorerne bemærkede også, at Klima-, Energi- og Forsyningsministeriet ikke i
ejerskabsdokumenter, koncerninstruks e.l. havde gjort det tydeligt, hvornår og om
hvilke større ændringer af forhold vedrørende forsyningssikkerhed Energinet skulle
orientere ministeriet.
10. Klima-, energi- og forsyningsministeren oplyste i sin redegørelse til beretningen, at
Klima-, Energi- og Forsyningsministeriet ville præcisere ejerskabsdokumenterne for
at sikre, at Energinets oplysningspligt entydigt afspejlede lovgivningen. Ministeriet vil-
le i ejerskabsdokumenterne præcisere Energinets orienteringspligt ved både løbende
skriftlige orienteringer og på tilsynsmøder.
11. Det fremgik af Rigsrevisionens notat til Statsrevisorerne af 3. januar 2023, at der
udestod en uddybning af orienteringspligten i styringsdokumentet ”Retningslinjer for
ejerskabsvaretagelsen af Energinet og kommunikationen mellem Klima-, Energi- og
Forsyningsministeriet og Energinet”.
12. Rigsrevisionens opfølgning viser, at Klima-, Energi- og Forsyningsministeriet har
uddybet orienteringspligten i styringsdokumentet.
13. Rigsrevisionen finder det tilfredsstillende, at Klima-, Energi- og Forsyningsministe-
riet har uddybet Energinets orienteringspligt i ministeriets retningslinjer for ejerskabs-
varetagelse af og kommunikation med Energinet. På den baggrund vurderer Rigsre-
visionen, at denne del af sagen kan afsluttes.
Sikring af it-sikkerheden
14. Statsrevisorerne bemærkede, at Energinets egen risikovurdering af it-sikkerhe-
den i forbindelse med outsourcingen havde vist, at Energinet i lange perioder ikke
havde levet op til gældende it-sikkerhedskrav. Hertil kom, at Rigsrevisionen flere
gange havde peget på endog alvorlige sikkerhedsproblemer.
15. Det fremgik også af beretningen, at Energinet ikke havde risikovurderet outsour-
cingen i forhold til, om outsourcingen sikrede tilstrækkelig offentlig kontrol med for-
syningskritisk it-infrastruktur.
16. Klima-, energi- og forsyningsministeren oplyste i sin redegørelse til beretningen, at
Klima-, Energi- og Forsyningsministeriet havde sammensat en ekspertgruppe med del-
tagelse af Energistyrelsen og Center for Cybersikkerhed. Ekspertgruppen var ved mi-
nisterens redegørelse i gang med at lægge en plan for, hvordan der bedst muligt kun-
ne sikres effektiv fremdrift i opfølgningen på og udbedringen af den kritik, som Rigs-
revisionen havde rejst af Energinets it-sikkerhed.
 Statsrevisorerne beretning SB14/2021 - Bilag 5: Rigsrevisionens fortsatte notat af 2. juni 2023
4
17. Det fremgik af Rigsrevisionens notat til Statsrevisorerne af 3. januar 2023, at eks-
pertgruppen fik til opgave at undersøge de områder, hvor Rigsrevisionen havde identi-
ficeret sikkerhedsbrister, at rådgive og vejlede Energinet om, hvordan Energinet kun-
ne håndtere sikkerhedsbristerne, og at udarbejde en samlet redegørelse om sikker-
hedsniveauet i Energinet.
Det fremgik videre af notatet, at Klima-, Energi- og Forsyningsministeriet i november
2022 modtog ekspertgruppens redegørelse om sikkerheden i Energinet. Det fremgik
af redegørelsen, at det var ekspertgruppens samlede vurdering, at sikkerhedsniveauet
i Energinet i forhold til Rigsrevisionens observationer overordnet set ikke var tilfreds-
stillende. Ekspertgruppen bekræftede dermed Rigsrevisionens fund. Ekspertgruppen
havde som en del af redegørelsen udformet en række anbefalinger til Energinet, der
vedrørte tiltag, som Energinet burde igangsætte med henblik på hurtigst muligt at få
højnet sikkerheden til et acceptabelt niveau. Efter anmodning fra ministeriet udarbej-
dede Energinet en handlingsplan med milepæle for implementering af konkrete tiltag.
Det fremgik endvidere af Rigsrevisionens notat, at Klima-, Energi- og Forsyningsmini-
steriet havde modtaget og været i dialog med Energinet om handlingsplanen, og at
Energinet inden udgangen af 2022 skulle sende et statusnotat til ministeriet, som re-
degjorde for Energinets håndtering af tiltag på kort sigt. Herudover oplyste ministe-
riet, at ekspertgruppen ultimo januar 2023 ville besøge Energinet med henblik på at
efterse og revidere implementeringen af disse tiltag. Desuden ville ekspertgruppen
igen besøge Energinet medio 2023 med henblik på at få en status på implementering
af øvrige tiltag i handlingsplanen.
18. Rigsrevisionens opfølgning viser, at ekspertgruppen har besøgt Energinet i januar,
april og maj 2023, hvor ekspertgruppen har forholdt sig til implementeringen af de til-
tag, som skal løses på kort sigt. Energinet har udarbejdet et statusnotat til Klima-,
Energi- og Forsyningsministeriet, som redegør for håndteringen af ekspertgruppens
anbefalinger. Det fremgår af statusnotatet, at implementeringen af anbefalingerne føl-
ger tidsplanen. Det fremgår ligeledes af en status fra ekspertgruppen, at Energinet
har implementeret de anbefalinger, som ekspertgruppen havde anbefalet skulle løses
på kort sigt. For ét af tiltagene, der skulle løses på kort sigt, har ekspertgruppen anført,
at der er et yderligere forbedringspotentiale. Ekspertgruppen vil følge op på dette i
efteråret 2023. De resterende anbefalinger forventer Energinet at kunne implemen-
tere ultimo 2023.
19. Rigsrevisionen finder det tilfredsstillende, at Klima-, Energi- og Forskningsministe-
riet følger Energinets implementering af handlingsplanen til forbedring af Energinets
it-sikkerhed, og at Energinet har implementeret de tiltag, som ekspertgruppen havde
anbefalet skulle løses på kort sigt. Rigsrevisionen vil fortsat følge Klima-, Energi- og
Forsyningsministeriets opfølgning på, at Energinet implementerer de resterende an-
befalinger til forbedring af Energinets it-sikkerhed.
Birgitte Hansen
 Statsrevisorerne beretning SB14/2021 - Bilag 5: Rigsrevisionens fortsatte notat af 2. juni 2023
2720643_0006.png
5
Bilag 1. Folketingets behandling af beretningen
Beretning (nr.),
dato for Stats-
revisorernes
mødebehandling
og minister-
redegørelse(r)
Energinets outsour-
cing af driften af
forsyningskritisk
it-infrastruktur
(nr.
14/2021)
25-04-2022
Minister-
redegørelse:
Klima-, energi-
og forsynings-
ministeren:
02-06-2022
Udtalelse fra Energi-
nets bestyrelse:
24-05-2022
Behandlet i
udvalg
Teknisk gennem-
gang ved Stats-
revisorerne og
Rigsrevisionen
Udvalgs-
spørgsmål (nr.)
Indkaldt til
samråd
Statsrevisorerne
har holdt møde
med ministeren
§ 20-spørgsmål
Finansudvalget:
28-04-2022
Klima-, Energi- og
Forsyningsudvalget
22-06-2022
Finansudvalget
09-06-2022
Klima-, energi-
og forsynings-
ministeren:
30-08-2022
(460)
Finansudvalget
(lukket samråd):
30-08-2022