Beretning om Energinets outsourcing af driften af forsyningskritisk it-infrastruktur

25-04-2022

Beretning nr. 14/2021

Beretningen handler om Energinets beslutning om at outsource driften af forsyningskritisk it-infrastruktur. 

Formålet med undersøgelsen er at vurdere, om Klima-, Energi- og Forsyningsministeriet og Energinet har håndteret outsourcingen af driften af den forsyningskritiske it-infrastruktur ansvarligt. 

Klima-, Energi- og Forsyningsministeriet og Energinet har samlet set ikke håndteret outsourcingen af driften af den forsyningskritiske it-infrastruktur ansvarligt. Energinets beslutningsgrundlag og implementering af outsourcingen har været kritisabel. Konsekvensen er, at der er risiko for, at outsourcingen kan kompromittere forsyningssikkerheden. 

Rigsrevisionen har selv taget initiativ til undersøgelsen i april 2021.

Kort fortalt (PDF) Hele beretningen (PDF)

Statsrevisorernes bemærkning til beretningen

Den 25. april 2022 behandlede Statsrevisorerne

Beretning nr. 14/2021 om Energinets outsourcing af driften af forsyningskritisk it-infrastruktur

Statsrevisorerne afgav beretningen til Folketinget med følgende bemærkning:

"Energinet ejer og driver en stor del af dansk energiinfrastruktur. Energinet skal sikre en effektiv drift og udbygning af den overordnede infrastruktur på el- og gasområdet og sikre åben og lige adgang for alle brugere af nettene. Energinet er en selvstændig offentlig virksomhed, der er 100 % ejet af staten for at sikre offentlig kontrol med den kritiske infra­struktur, som energiforsyningen er. Det fremgår således af lov om Energinet, at den overordnede infrastruktur, som varetages af Energinet, skal forblive i offentligt eje.

Med henblik på at effektivisere og kvalitetssikre driften outsourcede Ener­ginet i juni 2020 ca. 90 % af Energinets it-systemer, herunder driften af den forsynings­kritiske it-infrastruktur. Beslutningen blev taget på trods af en meget høj risiko for cyberspionage og cyberkriminalitet i forhold til Energinets it-infrastruktur og på trods af Rigsrevisionens gentagne påpegning af sik­ker­hedsrisici ved outsourcingen. 

Statsrevisorerne finder det kritisabelt, at Energi­net ikke i tide har orienteret Klima-, Energi- og Forsynings­mini­steriet om out­sourcingen, selv om Energinet ifølge loven er forpligtet til at orien­tere om væsent­­­lige forhold i Energinets virksomhed. 

Statsrevisorerne finder, at klima-, energi- og forsyningsministeren bør komme med sin redegørelse hurtigt og helst inden 1 måned, da Rigsrevisionen både i 2020 og senest i november 2021 har konstateret alvorlige it-sikkerhedsbrister, som Energinet ikke har rettet op på. 

Statsrevisorerne finder, at Klima-, Energi- og Forsyningsministe­riets og Energinets håndtering af outsourcingen af den forsynings­kri­tiske it-infrastruktur samlet set ikke har været an­svar­lig. Mini­ste­riet har hverken sikret grundlaget for eller gennemført et til­stræk­­ke­ligt tilsyn med Energinets forsyningskritiske it-forhold.

Statsrevisorerne kritiserer, at Energinets manglende håndtering af sikkerhedsrisici før og under outsourcingforløbet har ført til en unødig risiko for kompromittering af forsyningssikkerheden, da man i 2020 outsourcede driften af den forsyningskritiske it-infrastruktur. Energinet har således ikke risikovurderet outsourcingen i forhold til, om den sikrede tilstrækkelig offentlig kontrol. 

Statsrevisorerne bemærker: 

  • At Klima-, Energi- og Forsyningsministeriet ikke har haft mulighed for at vurdere Energinets outsourcingprojekt, inden udbudsprocessen blev igangsat, da Energinet ikke orienterede rettidigt.
  • At Energinets egen risikovurdering af it-sikkerheden i forbindelse med outsourcingen har vist, at Energinet i lange perioder ikke har levet op til gældende it-sikkerhedskrav. Hertil kommer, at Rigsrevisionen flere gange har peget på endog alvorlige sikkerhedsproblemer.
  • At Klima-, Energi- og Forsyningsministeriet ikke i ejerskabsdokumenter, koncerninstruks e.l. har gjort det tydeligt, hvornår og om hvilke større ændringer af forhold vedrørende forsyningssikkerhed Energinet skal orientere ministeriet.
  • At Klima-, Energi- og Forsyningsministeriet løbende har ført tilsyn med it-sikkerheden i Energinet, men ikke fuldt ud har gjort brug af tilgængelig viden fra fx sektortilsynsrapporterne."

Rigsrevisionens notat af 28. juni 2022

Rigsrevisionen følger i dette notat op på beretning nr. 14/2021 om Energinets outsourcing af driften af forsyningskritisk it-infrastruktur

Notatet er baseret på en redegørelse fra klima-, energi- og forsyningsministeren og handler om de initiativer, som ministeren har iværksat som følge af beretningen.

Rigsrevisionen vil fortsat følge udviklingen og orientere Statsrevisorerne om: 

  • Klima-, Energi- og Forsyningsministeriets arbejde med at præcisere rammerne for Energinets oplysningspligt og følge, at Energinet flytter it-området til Energinet SOV, som det er blevet pålagt af ministeriet
  • resultatet af ekspertgruppens arbejde, der skal følge op på kritikken af Energinets it-sikkerhed, herunder dokumentation for, at sikkerhedsproblemerne er løst, og Klima-, Energi- og Forsyningsministeriets opfølgning herpå
  • Klima-, Energi- og Forsyningsministeriets arbejde med at sikre en klar opdeling af tilsynsopgaver.

Hele notatet (PDF)

Rigsrevisionens notat af 3. januar 2023

Rigsrevisionen følger i dette notat op på beretning nr. 14/2021 om Energinets outsourcing af driften af forsyningskritisk it-infrastruktur.

Der er i notatet fulgt op på følgende områder:

  • Klima-, Energi- og Forsyningsministeriets arbej­de med at præcisere rammerne for Energinets oplysningspligt og følge, at Energinet flytter it-området til Energinet SOV, som det er blevet pålagt af ministeriet
  • resultatet af ekspertgruppens arbejde, der skal følge op på kritikken af Energinets it-sikkerhed, her­under dokumentation for, at sikkerhedsproblemerne er løst, og Klima-, Energi- og Forsyningsministeriets opfølgning herpå
  • Klima-, Energi- og Forsyningsministeriets arbej­de med at sikre en klar opdeling af tilsynsopgaver.

Rigsrevisionen vil fortsat følge udviklingen og orientere Statsrevisorerne om:

  • Klima-, Energi- og Forsyningsministeriets arbejde med at præcisere rammerne for Energinets orienteringspligt i ministeriets retningslinjer for ejerskabsvaretagelse af og kommunikation med Energinet
  • Klima-, Energi- og Forsyningsministeriets opfølgning på ekspertgruppens redegørel­se om sikkerheden i Energinet.

Hele notatet (PDF)

Rigsrevisionens notat af 2. juni 2023

Rigsrevisionen følger i dette notat op på beretning nr. 14/2021 om Energinets outsourcing af driften af forsyningskritisk it-infrastruktur.

Der er i notatet fulgt op på følgende områder:

  • Klima-, Energi- og Forsyningsministeriets arbejde med at præcisere rammerne for Energinets orienteringspligt i ministeriets retningslinjer for ejerskabsvaretagelse af og kommunikation med Energinet.
  • Klima-, Energi- og Forsyningsministeriets opfølgning på ekspertgruppens redegørelse om sikkerheden i Energinet.

Rigsrevisionen vil fortsat følge udviklingen og orientere Statsrevisorerne om: 

  • Klima-, Energi- og Forsyningsministeriets opfølgning på, at Energinet implementerer de resterende anbefalinger til forbedring af Energinets it-sikkerhed.

Hele notatet (PDF)

Rigsrevisionens notat af 22. maj 2024

Rigsrevisionen følger i dette notat op på beretning nr. 14/2021 om Energinets outsourcing af driften af forsyningskritisk it-infrastruktur.

Der er i notatet fulgt op på følgende område:

  • Klima-, Energi- og Forsyningsministeriets opfølgning på ekspertgruppens redegørelse om sikkerheden i Energinet.

Rigsrevisionen vil fortsat følge udviklingen og orientere Statsrevisorerne om: 

  • Klima-, Energi- og Forsyningsministeriets opfølgning på Energinets implementering af de resterende anbefalinger fra ekspertgruppen til forbedring af Energinets it-sikkerhed. 

Hele notatet (PDF)

Statsrevisorernes bemærkning til Endelig betænkning af 10. juni 2024

Beretning nr. 14/2021 om Energinets outsourcing af driften af forsyningskritisk it-infrastruktur

Sagen optages i Endelig betænkning 2023 som fortsat sag med følgende statsrevisorbemærkning:

"Statsrevisorerne finder det kritisabelt, at Energinet mere end 2 år efter, at beretningen blev afgivet, fortsat ikke har implementeret 2 væsentlige tiltag, som bl.a. lå til grund for beretningen, og som skulle have været gennemført senest ultimo 2023. 

Da Statsrevisorerne afgav beretning nr. 14/2021 om Energinets outsourcing af driften af forsyningskritisk it-infrastruktur til Folketinget, kritiserede de, at Energinets manglende håndtering af sikkerhedsrisici før og under outsour­cing­forløbet havde ført til en unødig risiko for kompromittering af forsynings­sikker­heden, da man i 2020 outsourcede driften af den forsyningskritiske it-infrastruktur. Klima-, energi- og forsyningsministeren oplyste i sin redegørelse til beretningen, at der hurtigst muligt ville blive igangsat en række initiativer, som skulle adressere de konstaterede sikkerhedsrisici. 

Statsrevisorerne konstaterer, at Energinet har iværksat en række relevan­te tiltag og implementeret flere af anbefalingerne, men at der fortsat udestår flere tiltag, som skulle rette op på de alvorlige mangler i den forsyningskritiske it-infrastruktur. 

I lyset af sagens alvor forventer Statsrevisorerne, at implementeringen af anbefalingerne til forbedring af Energinets it-sikkerhed fremskyndes. Stats­revisorerne vil anmode Rigsrevisionen om en hurtig opfølgning herpå."

Beretningshistorik