Kritik af Energinets outsourcing af drift af forsyningskritisk it-infrastruktur
Statsrevisorerne har den 25. april 2022 afgivet Beretning 14/2021 om Energinets outsourcing af driften af forsyningskritisk it-infrastruktur med denne bemærkning
Energinet ejer og driver en stor del af dansk energiinfrastruktur. Energinet skal sikre en effektiv drift og udbygning af den overordnede infrastruktur på el- og gasområdet og sikre åben og lige adgang for alle brugere af nettene. Energinet er en selvstændig offentlig virksomhed, der er 100 % ejet af staten for at sikre offentlig kontrol med den kritiske infrastruktur, som energiforsyningen er. Det fremgår således af lov om Energinet, at den overordnede infrastruktur, som varetages af Energinet, skal forblive i offentligt eje.
Med henblik på at effektivisere og kvalitetssikre driften outsourcede Energinet i juni 2020 ca. 90 % af Energinets it-systemer, herunder driften af den forsyningskritiske it-infrastruktur. Beslutningen blev taget på trods af en meget høj risiko for cyberspionage og cyberkriminalitet i forhold til Energinets it-infrastruktur og på trods af Rigsrevisionens gentagne påpegning af sikkerhedsrisici ved outsourcingen.
Statsrevisorerne finder det kritisabelt, at Energinet ikke i tide har orienteret Klima-, Energi- og Forsyningsministeriet om outsourcingen, selv om Energinet ifølge loven er forpligtet til at orientere om væsentlige forhold i Energinets virksomhed.
Statsrevisorerne finder, at klima-, energi- og forsyningsministeren bør komme med sin redegørelse hurtigt og helst inden 1 måned, da Rigsrevisionen både i 2020 og senest i november 2021 har konstateret alvorlige it-sikkerhedsbrister, som Energinet ikke har rettet op på.
Statsrevisorerne finder, at Klima-, Energi- og Forsyningsministeriets og Energinets håndtering af outsourcingen af den forsyningskritiske it-infrastruktur samlet set ikke har været ansvarlig. Ministeriet har hverken sikret grundlaget for eller gennemført et tilstrækkeligt tilsyn med Energinets forsyningskritiske it-forhold.
Statsrevisorerne kritiserer, at Energinets manglende håndtering af sikkerhedsrisici før og under outsourcingforløbet har ført til en unødig risiko for kompromittering af forsyningssikkerheden, da man i 2020 outsourcede driften af den forsyningskritiske it-infrastruktur. Energinet har således ikke risikovurderet outsourcingen i forhold til, om den sikrede tilstrækkelig offentlig kontrol.
Statsrevisorerne bemærker:
- At Klima-, Energi- og Forsyningsministeriet ikke har haft mulighed for at vurdere Energinets outsourcingprojekt, inden udbudsprocessen blev igangsat, da Energinet ikke orienterede rettidigt.
- At Energinets egen risikovurdering af it-sikkerheden i forbindelse med outsourcingen har vist, at Energinet i lange perioder ikke har levet op til gældende it-sikkerhedskrav. Hertil kommer, at Rigsrevisionen flere gange har peget på endog alvorlige sikkerhedsproblemer.
- At Klima-, Energi- og Forsyningsministeriet ikke i ejerskabsdokumenter, koncerninstruks e.l. har gjort det tydeligt, hvornår og om hvilke større ændringer af forhold vedrørende forsyningssikkerhed Energinet skal orientere ministeriet.
- At Klima-, Energi- og Forsyningsministeriet løbende har ført tilsyn med it-sikkerheden i Energinet, men ikke fuldt ud har gjort brug af tilgængelig viden fra fx sektortilsynsrapporterne.
Ministerens svarfrist: 2 mdr.
Deltagere i statsrevisormødet:
Henrik Thorup (DF), Klaus Frandsen (RV), Frank Aaen (EL), Mette Abildgaard (KF), Leif Lahn Jensen (S), Troels Lund Poulsen (V)