Beretning Nr. 14 Rigsrevisionens fortsatte notat af 22. maj 2024 om beretning 14/2021 om Energinets outsourcing af driften af forsyningskritisk it-infrastruktur : Rigsrevisionens fortsatte notat af 22. maj 2024 om beretning 14/2021 om Energinets outsourcing af driften af forsyningskritisk it-infrastruktur

Finansudvalget 2023-24
SB 14 6
Offentligt

Juni 2024

Rigsrevisionens notat om

beretning om

Energinets outsourcing

af driften af forsynings-

kritisk it-infrastruktur

Beretning Nr. 14 Rigsrevisionens fortsatte notat af 22. maj 2024 om beretning 14/2021 om Energinets outsourcing af driften af forsyningskritisk it-infrastruktur : Rigsrevisionens fortsatte notat af 22. maj 2024 om beretning 14/2021 om Energinets outsourcing af driften af forsyningskritisk it-infrastruktur

Fortsat notat til Statsrevisorerne

Opfølgning i sagen om Energinets outsourcing af

driften af forsyningskritisk it-infrastruktur

(beretning nr. 14/2021)

22. maj 2024

RN 708/24

I. Baggrund og konklusion

1. Rigsrevisionen følger i dette notat op på sagen om Energinets outsourcing af driften

af forsyningskritisk it-infrastruktur, som blev indledt med en beretning i april 2022. Op-

følgningen sker med henblik på at vurdere, om Klima-, Energi- og Forsyningsministe-

riets initiativer adresserer den kritik, der fremgår af Statsrevisorernes bemærkninger

og Rigsrevisionens beretning. Vi har tidligere behandlet sagen i notater til Statsreviso-

rerne af 28. juni 2022, 3. januar 2023 og 2. juni 2023.

2. Klima-, Energi- og Forsyningsministeriet nedsatte på baggrund af beretningen en

ekspertgruppe, som skulle følge Energinets implementering af tiltag til at forbedre it-

sikkerheden. Rigsrevisionens opfølgning er baseret på ekspertgruppens anbefalinger

og vurderinger.

3. Beretningen handlede om, hvorvidt Klima-, Energi- og Forsyningsministeriet og Ener-

ginet havde håndteret outsourcingen af driften af den forsyningskritiske it-infrastruk-

tur ansvarligt.

4. Da Statsrevisorerne behandlede beretningen, fandt de det kritisabelt, at Energinet

ikke i tide havde orienteret Klima-, Energi- og Forsyningsministeriet om outsourcingen,

selv om Energinet ifølge loven er forpligtet til at orientere om væsentlige forhold i Ener-

ginets virksomhed.

Statsrevisorerne fandt, at Klima-, Energi- og Forsyningsministeriets og Energinets

håndtering af outsourcingen af den forsyningskritiske it-infrastruktur samlet set ikke

havde været ansvarlig. Ministeriet havde hverken sikret grundlaget for eller gennem-

ført et tilstrækkeligt tilsyn med Energinets forsyningskritiske it-forhold.

Statsrevisorerne kritiserede, at Energinets manglende håndtering af sikkerhedsrisici

før og under outsourcingforløbet havde ført til en unødig risiko for kompromittering af

forsyningssikkerheden, da man i 2020 outsourcede driften af den forsyningskritiske

it-infrastruktur. Energinet havde således ikke risikovurderet outsourcingen i forhold til,

om den sikrede tilstrækkelig offentlig kontrol.

Sagsforløb for en større

undersøgelse

Beretning

Ministerredegørelse

§ 18, stk. 4-notat

Fortsat notat

Sagen afsluttes

Du kan læse mere om

forløbet og de enkelte step

på

www.rigsrevisionen.dk

Medlemmer af ekspert-

gruppen

•

Klima-, Energi- og Forsy-

ningsministeriet

•

Center for Cybersikkerhed

•

Energistyrelsen

•

Ekstern konsulent.

Konklusion

Rigsrevisionens opfølgning viser, at Energinet ikke har implementeret 2 væsentlige til-

tag, som bl.a. lå til grund for beretningen, og som skulle have være gennemført senest

ultimo 2023. Det finder Rigsrevisionen kritisabelt.

Rigsrevisionen vil fortsat følge udviklingen og orientere Statsrevisorerne om:

•

Klima-, Energi- og Forsyningsministeriets opfølgning på Energinets implementering

af de resterende anbefalinger fra ekspertgruppen til forbedring af Energinets it-sik-

kerhed.

II. Status på sagen

5. På baggrund af beretningen og Statsrevisorernes bemærkninger har vi fulgt op på

følgende punkter:

Et opfølgningspunkt afsluttes,

når Statsrevisorerne på bag-

grund af indstilling fra Rigsre-

visionen vurderer, at myndig-

hedernes initiativer er tilfreds-

stillende.

Opfølgningspunkt

1. Klima-, Energi- og Forsyningsministeriets arbej-

de med at præcisere rammerne for Energinets ori-

enteringspligt i ministeriets retningslinjer for ejer-

skabsvaretagelse af og kommunikation med Ener-

ginet.

2. Klima-, Energi- og Forsyningsministeriets opfølg-

ning på ekspertgruppens redegørelse om sikkerhe-

den i Energinet.

3. Klima-, Energi- og Forsyningsministeriets arbej-

de med at sikre en klar opdeling af tilsynsopgaver.

Status

Afsluttet i forbindelse med notat til

Statsrevisorerne af 2. juni 2023.

Behandles i dette notat.

Afsluttet i forbindelse med notat til

Statsrevisorerne af 3. januar 2023.

III. Klima-, Energi- og Forsyningsministeriets initiativer

6. Vi gennemgår i det følgende Klima-, Energi- og Forsyningsministeriets initiativer i

forhold til det udestående opfølgningspunkt.

7. Opfølgningen er baseret på en dokumentgennemgang og brevudveksling med Kli-

ma-, Energi- og Forsyningsministeriet samt møder med ministeriet, Energinet og eks-

pertgruppen.

Sikring af it-sikkerheden

8. Statsrevisorerne bemærkede, at Energinets egen risikovurdering af it-sikkerheden

i forbindelse med outsourcingen havde vist, at Energinet i lange perioder ikke havde

levet op til gældende it-sikkerhedskrav. Hertil kom, at Rigsrevisionen flere gange hav-

de peget på endog alvorlige sikkerhedsproblemer.

9. Klima-, energi- og forsyningsministeren oplyste i sin redegørelse til beretningen, at

Klima-, Energi- og Forsyningsministeriet havde sammensat en ekspertgruppe, som var

ledet af departementet med deltagelse af Energistyrelsen, Center for Cybersikkerhed

og en ekstern konsulent. Ekspertgruppen skulle undersøge sagen og lægge en plan for,

hvordan der bedst muligt kunne sikres effektiv fremdrift i opfølgningen på og udbed-

ringen af den kritik, som Rigsrevisionen havde rejst af Energinets it-sikkerhed.

10. Det fremgik af Rigsrevisionens notat til Statsrevisorerne af 3. januar 2023, at eks-

pertgruppen fik til opgave at undersøge de områder, hvor Rigsrevisionen havde iden-

tificeret sikkerhedsbrister, at rådgive og vejlede Energinet om, hvordan Energinet kan

håndtere sikkerhedsbristerne, og at udarbejde en samlet redegørelse om it-sikkerhe-

den i Energinet.

Klima-, Energi- og Forsyningsministeriet modtog i november 2022 ekspertgruppens

redegørelse om it-sikkerheden i Energinet. Redegørelsen bekræftede bl.a. Rigsrevisio-

nens fund. Ekspertgruppen kom med en række anbefalinger til Energinet om tiltag,

som Energinet burde igangsætte for at kunne højne it-sikkerheden til et acceptabelt

niveau på kort og langt sigt. Efter anmodning fra ministeriet udarbejdede Energinet

en handlingsplan med milepæle for implementering af en række konkrete tiltag. Der

blev sat mål om, at tiltag på kort sigt skulle implementeres inden udgangen af 1. kvar-

tal 2023, og tiltag på langt sigt skulle implementeres inden udgangen af 2023. Eks-

pertgruppen har løbende modtaget statusnotater om implementeringen af tiltagene

og har løbende fulgt op på handlingsplanen.

11. Det fremgik af Rigsrevisionens notat til Statsrevisorerne af 2. juni 2023, at Energinet

havde implementeret de tiltag, der skulle gennemføres på kort sigt. De resterende til-

tag, som skulle styrke it-sikkerheden i Energinet, forventede Energinet at have imple-

menteret ultimo 2023 i overensstemmelse med handlingsplanen.

12. Vores opfølgning viser, at ekspertgruppen har besøgt Energinet i oktober 2023 og

i februar 2024. Ekspertgruppen har i den forbindelse haft fokus på implementeringen

af de udestående tiltag på langt sigt, som skal forbedre it-sikkerheden. Ekspertgrup-

pen vurderer, at Energinet er nået i mål med flere tiltag, men at der fortsat udestår fle-

re tiltag, som skulle have været gennemført senest ultimo 2023.

Opfølgningen viser desuden, at Energinet endnu ikke har implementeret 2 væsentlige

tiltag, som bl.a. lå til grund for beretningen.

13. Klima-, Energi- og Forsyningsministeriet har oplyst, at ministeriet ikke finder det

helt tilfredsstillende, at Energinets implementering er forsinket, og at implementerin-

gen ikke har fulgt den opfølgningsplan, som oprindeligt blev lagt. Ministeriet anerken-

der dog, at der bl.a. er tale om komplekse opgaver af betydning for Energinets drift,

som har vist sig vanskeligere end først antaget, og som kræver grundigt forarbejde.

Ministeriet har bedt ekspertgruppen om fortsat at følge Energinets implementerings-

arbejde.

Klima-, Energi- og Forsyningsministeriet har desuden oplyst, at Energinet er i gang

med at implementere udestående tiltag og har fremvist en risikovurdering for mitige-

rende foranstaltninger, mens implementeringsarbejdet pågår. Energinet har oplyst til

ministeriet, at Energinet forventer at have implementeret ét af de udestående tiltag

fuldt ud senest ved udgangen af 2. kvartal 2024. De øvrige udeståender forventes

håndteret senest i 4. kvartal 2024.

14. Rigsrevisionen kan konstatere, at Energinet i en årrække har haft problemer med

it-sikkerheden, men at Energinet endnu ikke har løst problemerne, selv om det skulle

være sket senest ultimo 2023.

15. Hele sagen kan følges på www.rigsrevisionen.dk og på www.ft.dk/Statsrevisorerne.

16. Bilag 1 viser Folketingets behandling af beretningen.

Birgitte Hansen

Bilag 1. Folketingets behandling af beretningen

Beretning (nr.),

dato for Stats-

revisorernes

mødebehandling

og minister-

redegørelse(r)

Energinets outsour-

cing af driften af

forsyningskritisk

it-infrastruktur

(nr.

14/2021)

25-04-2022

Minister-

redegørelse:

Klima-, energi-

og forsynings-

ministeren:

02-06-2022

Udtalelse fra Energi-

nets bestyrelse:

24-05-2022

Behandlet i

udvalg

Teknisk gennem-

gang ved Stats-

revisorerne og

Rigsrevisionen

Udvalgs-

spørgsmål (nr.)

Indkaldt til

samråd

Statsrevisorerne

har holdt møde

med ministeren

§ 20-spørgsmål

Finansudvalget:

28-04-2022

Klima-, Energi- og

Forsyningsudvalget

22-06-2022

Finansudvalget

09-06-2022

Klima-, energi-

og forsynings-

ministeren:

30-08-2022

(460)

Finansudvalget

(lukket samråd):

30-08-2022