Beretning om Energinets outsourcing af driften af forsyningskritisk it-infrastruktur

25-04-2022

Beretning nr. 14/2021

Beretningen handler om Energinets beslutning om at outsource driften af forsyningskritisk it-infrastruktur. 

Formålet med undersøgelsen er at vurdere, om Klima-, Energi- og Forsyningsministeriet og Energinet har håndteret outsourcingen af driften af den forsyningskritiske it-infrastruktur ansvarligt. 

Klima-, Energi- og Forsyningsministeriet og Energinet har samlet set ikke håndteret outsourcingen af driften af den forsyningskritiske it-infrastruktur ansvarligt. Energinets beslutningsgrundlag og implementering af outsourcingen har været kritisabel. Konsekvensen er, at der er risiko for, at outsourcingen kan kompromittere forsyningssikkerheden. 

Rigsrevisionen har selv taget initiativ til undersøgelsen i april 2021.

Kort fortalt (PDF) Hele beretningen (PDF)

Statsrevisorernes bemærkning til beretningen

Den 25. april 2022 behandlede Statsrevisorerne

Beretning nr. 14/2021 om Energinets outsourcing af driften af forsyningskritisk it-infrastruktur

Statsrevisorerne afgav beretningen til Folketinget med følgende bemærkning:

"Energinet ejer og driver en stor del af dansk energiinfrastruktur. Energinet skal sikre en effektiv drift og udbygning af den overordnede infrastruktur på el- og gasområdet og sikre åben og lige adgang for alle brugere af nettene. Energinet er en selvstændig offentlig virksomhed, der er 100 % ejet af staten for at sikre offentlig kontrol med den kritiske infra­struktur, som energiforsyningen er. Det fremgår således af lov om Energinet, at den overordnede infrastruktur, som varetages af Energinet, skal forblive i offentligt eje.

Med henblik på at effektivisere og kvalitetssikre driften outsourcede Ener­ginet i juni 2020 ca. 90 % af Energinets it-systemer, herunder driften af den forsynings­kritiske it-infrastruktur. Beslutningen blev taget på trods af en meget høj risiko for cyberspionage og cyberkriminalitet i forhold til Energinets it-infrastruktur og på trods af Rigsrevisionens gentagne påpegning af sik­ker­hedsrisici ved outsourcingen. 

Statsrevisorerne finder det kritisabelt, at Energi­net ikke i tide har orienteret Klima-, Energi- og Forsynings­mini­steriet om out­sourcingen, selv om Energinet ifølge loven er forpligtet til at orien­tere om væsent­­­lige forhold i Energinets virksomhed. 

Statsrevisorerne finder, at klima-, energi- og forsyningsministeren bør komme med sin redegørelse hurtigt og helst inden 1 måned, da Rigsrevisionen både i 2020 og senest i november 2021 har konstateret alvorlige it-sikkerhedsbrister, som Energinet ikke har rettet op på. 

Statsrevisorerne finder, at Klima-, Energi- og Forsyningsministe­riets og Energinets håndtering af outsourcingen af den forsynings­kri­tiske it-infrastruktur samlet set ikke har været an­svar­lig. Mini­ste­riet har hverken sikret grundlaget for eller gennemført et til­stræk­­ke­ligt tilsyn med Energinets forsyningskritiske it-forhold.

Statsrevisorerne kritiserer, at Energinets manglende håndtering af sikkerhedsrisici før og under outsourcingforløbet har ført til en unødig risiko for kompromittering af forsyningssikkerheden, da man i 2020 outsourcede driften af den forsyningskritiske it-infrastruktur. Energinet har således ikke risikovurderet outsourcingen i forhold til, om den sikrede tilstrækkelig offentlig kontrol. 

Statsrevisorerne bemærker: 

  • At Klima-, Energi- og Forsyningsministeriet ikke har haft mulighed for at vurdere Energinets outsourcingprojekt, inden udbudsprocessen blev igangsat, da Energinet ikke orienterede rettidigt.
  • At Energinets egen risikovurdering af it-sikkerheden i forbindelse med outsourcingen har vist, at Energinet i lange perioder ikke har levet op til gældende it-sikkerhedskrav. Hertil kommer, at Rigsrevisionen flere gange har peget på endog alvorlige sikkerhedsproblemer.
  • At Klima-, Energi- og Forsyningsministeriet ikke i ejerskabsdokumenter, koncerninstruks e.l. har gjort det tydeligt, hvornår og om hvilke større ændringer af forhold vedrørende forsyningssikkerhed Energinet skal orientere ministeriet.
  • At Klima-, Energi- og Forsyningsministeriet løbende har ført tilsyn med it-sikkerheden i Energinet, men ikke fuldt ud har gjort brug af tilgængelig viden fra fx sektortilsynsrapporterne."

Rigsrevisionens notat af 28. juni 2022

Rigsrevisionen følger i dette notat op på beretning nr. 14/2021 om Energinets outsourcing af driften af forsyningskritisk it-infrastruktur

Notatet er baseret på en redegørelse fra klima-, energi- og forsyningsministeren og handler om de initiativer, som ministeren har iværksat som følge af beretningen.

Rigsrevisionen vil fortsat følge udviklingen og orientere Statsrevisorerne om: 

  • Klima-, Energi- og Forsyningsministeriets arbejde med at præcisere rammerne for Energinets oplysningspligt og følge, at Energinet flytter it-området til Energinet SOV, som det er blevet pålagt af ministeriet
  • resultatet af ekspertgruppens arbejde, der skal følge op på kritikken af Energinets it-sikkerhed, herunder dokumentation for, at sikkerhedsproblemerne er løst, og Klima-, Energi- og Forsyningsministeriets opfølgning herpå
  • Klima-, Energi- og Forsyningsministeriets arbejde med at sikre en klar opdeling af tilsynsopgaver.

Hele notatet (PDF)

Beretningshistorik