FIU, Alm.del - 2021-22 - Bilag 138: Beretning 14/2021 om energinets outsourcing af driften af forsyningskritisk it-infrastruktur

Finansudvalget 2021-22
FIU Alm.del Bilag 138
Offentligt

April 2022

— 14/2021

Rigsrevisionens beretning afgivet

til Folketinget med Statsrevisorernes

bemærkninger

Energinets outsourcing

af driften af forsynings-

kritisk it-infrastruktur

FIU, Alm.del - 2021-22 - Bilag 138: Beretning 14/2021 om energinets outsourcing af driften af forsyningskritisk it-infrastruktur

14/2021

Beretning om

Energinets outsourcing

af driften af forsynings-

kritisk it-infrastruktur

Statsrevisorerne fremsender denne beretning med

deres bemærkninger til Folketinget og vedkommende

minister, jf. § 3 i lov om statsrevisorerne og § 18, stk. 1,

i lov om revisionen af statens regnskaber m.m.

København 2022

Denne beretning til Folketinget skal behandles ifølge lov om revisionen af statens regnskaber, § 18:

Statsrevisorerne fremsender med deres bemærkning Rigsrevisionens beretning til Folketinget og ved kom-

mende minister.

Klima-, energi- og forsyningsministeren afgiver en redegørelse til beretningen.

Rigsrevisor afgiver et notat med bemærkninger til ministerens redegørelse.

På baggrund af ministerens redegørelse og rigsrevisors notat tager Statsrevisorerne endelig stilling til beret-

ningen, hvilket forventes at ske i august 2022.

Ministerens redegørelse, rigsrevisors bemærkninger og Statsrevisorernes eventuelle bemærkninger samles

i Statsrevisorernes Endelig betænkning over statsregnskabet, som årligt afgives til Folketinget i februar må -

ned

–

i dette tilfælde Endelig betænkning over statsregnskabet 2021, som afgives i februar 2023.

FIU, Alm.del - 2021-22 - Bilag 138: Beretning 14/2021 om energinets outsourcing af driften af forsyningskritisk it-infrastruktur

Statsrevisorernes bemærkning tager udgangspunkt i denne karakterskala:

Karakterskala

Positiv kritik

•

finder det meget/særdeles positivt

•

finder det positivt

•

finder det tilfredsstillende/er tilfredse med

•

finder det ikke helt tilfredsstillende

•

finder det utilfredsstillende/er utilfredse med

•

påpeger/understreger/henstiller/forventer

•

beklager/finder det bekymrende/foruroligende

•

kritiserer/finder det kritisabelt/kritiserer skarpt/indskærper

•

påtaler/påtaler skarpt

•

påtaler skarpt og henleder særligt Folketingets opmærksomhed på

Kritik under middel

Middel kritik

Skarp kritik

Skarpeste kritik

Henvendelse vedrørende

denne publikation rettes til:

Statsrevisorerne

Folketinget

Christiansborg

1240 København K

Tlf.: 3337 5987

[email protected]

www.ft.dk/statsrevisorerne

Yderligere eksemplarer kan

købes ved henvendelse til:

Rosendahls Lager og Logistik

Vandtårnsvej 83A

2860 Søborg

Tlf.: 4322 7300

[email protected]

www.rosendahls.dk

ISSN 2245-3008

ISBN trykt 978-87-7434-755-2

ISBN online 978-87-7434-757-6

FIU, Alm.del - 2021-22 - Bilag 138: Beretning 14/2021 om energinets outsourcing af driften af forsyningskritisk it-infrastruktur

Statsrevisorernes bemærkning

Statsrevisorernes

bemærkning

Statsrevisorerne

Beretning om Energinets outsourcing af driften

af forsyningskritisk it-infrastruktur

Energinet ejer og driver en stor del af dansk energiinfrastruktur. Energi-

net skal sikre en effektiv drift og udbygning af den overordnede infrastruk-

tur på el- og gasområdet og sikre åben og lige adgang for alle brugere af

nettene. Energinet er en selvstændig offentlig virksomhed, der er 100 %

ejet af staten for at sikre offentlig kontrol med den kritiske infrastruktur,

som energiforsyningen er. Det fremgår således af lov om Energinet, at den

overordnede infrastruktur, som varetages af Energinet, skal forblive i of-

fentligt eje.

Med henblik på at effektivisere og kvalitetssikre driften outsourcede Ener-

ginet i juni 2020 ca. 90 % af Energinets it-systemer, herunder driften af

den forsyningskritiske it-infrastruktur. Beslutningen blev taget på trods af

en meget høj risiko for cyberspionage og cyberkriminalitet i forhold til

Energinets it-infrastruktur og på trods af Rigsrevisionens gentagne påpeg-

ning af sikkerhedsrisici ved outsourcingen.

Statsrevisorerne finder det kritisabelt, at Energinet ikke i tide har ori-

enteret Klima-, Energi- og Forsyningsministeriet om outsourcingen,

selv om Energinet ifølge loven er forpligtet til at orientere om væsent-

lige forhold i Energinets virksomhed.

Statsrevisorerne finder, at klima-, energi- og forsyningsministeren bør

komme med sin redegørelse hurtigt og helst inden 1 måned, da Rigs-

revisionen både i 2020 og senest i november 2021 har konstateret al-

vorlige it-sikkerhedsbrister, som Energinet ikke har rettet op på.

Statsrevisorerne finder, at Klima-, Energi- og Forsyningsministeriets

og Energinets håndtering af outsourcingen af den forsyningskritiske

it-infrastruktur samlet set ikke har været ansvarlig. Ministeriet har

hverken sikret grundlaget for eller gennemført et tilstrækkeligt tilsyn

med Energinets forsyningskritiske it-forhold.

25. april 2022

Klaus Frandsen

Frank Aaen

Henrik Thorup

Mette Abildgaard

Leif Lahn Jensen

Troels Lund Poulsen

FIU, Alm.del - 2021-22 - Bilag 138: Beretning 14/2021 om energinets outsourcing af driften af forsyningskritisk it-infrastruktur

Statsrevisorernes bemærkning

Statsrevisorerne kritiserer, at Energinets manglende håndtering af

sikkerhedsrisici før og under outsourcingforløbet har ført til en unø-

dig risiko for kompromittering af forsyningssikkerheden, da man i

2020 outsourcede driften af den forsyningskritiske it-infrastruktur.

Energinet har således ikke risikovurderet outsourcingen i forhold til,

om den sikrede tilstrækkelig offentlig kontrol.

Statsrevisorerne bemærker:

•

At Klima-, Energi- og Forsyningsministeriet ikke har haft mulighed for

at vurdere Energinets outsourcingprojekt, inden udbudsprocessen

blev igangsat, da Energinet ikke orienterede rettidigt.

At Energinets egen risikovurdering af it-sikkerheden i forbindelse med

outsourcingen har vist, at Energinet i lange perioder ikke har levet op

til gældende it-sikkerhedskrav. Hertil kommer, at Rigsrevisionen flere

gange har peget på endog alvorlige sikkerhedsproblemer.

At Klima-, Energi- og Forsyningsministeriet ikke i ejerskabsdokumen-

ter, koncerninstruks e.l. har gjort det tydeligt, hvornår og om hvilke

større ændringer af forhold vedrørende forsyningssikkerhed Energi-

net skal orientere ministeriet.

At Klima-, Energi- og Forsyningsministeriet løbende har ført tilsyn med

it-sikkerheden i Energinet, men ikke fuldt ud har gjort brug af tilgæn-

gelig viden fra fx sektortilsynsrapporterne.

•

FIU, Alm.del - 2021-22 - Bilag 138: Beretning 14/2021 om energinets outsourcing af driften af forsyningskritisk it-infrastruktur

Indholdsfortegnelse

1. Introduktion og konklusion

.......................................................................................................

1.1. Formål og konklusion

.......................................................................................................................

1.2. Baggrund

...............................................................................................................................................

1.3. Revisionskriterier, metode og afgrænsning

...........................................................................

2. Outsourcing af driften af den forsyningskritiske it-infrastruktur

.................................

2.1. Energinets beslutning om outsourcing

....................................................................................

2.2. Energinets håndtering af sikkerhed ved outsourcingen

...............................................

2.3. Rammer for Klima-, Energi- og Forsyningsministeriets tilsyn

....................................

2.4. Klima-, Energi- og Forsyningsministeriets løbende tilsyn

............................................

Bilag 1. Metodisk tilgang

.................................................................................................................................

FIU, Alm.del - 2021-22 - Bilag 138: Beretning 14/2021 om energinets outsourcing af driften af forsyningskritisk it-infrastruktur

Rigsrevisionen har selv taget initiativ til denne undersøgelse og af-

giver derfor beretningen til Statsrevisorerne i henhold til § 17, stk. 2,

i rigsrevisorloven, jf. lovbekendtgørelse nr. 101 af 19. januar 2012.

Rigsrevisionen har revideret regnskaberne efter § 2, stk. 1, nr. 1 og 3,

jf. § 3 i rigsrevisorloven.

Beretningen vedrører finanslovens § 29. Klima-, Energi- og Forsy-

ningsministeriet.

I undersøgelsesperioden har der været følgende ministre:

Lars Christian Lilleholt: juni 2015 - juni 2019

Dan Jørgensen: juni 2019 -

Beretningen har i udkast været forelagt Klima-, Energi- og Forsy-

ningsministeriet og Energinet, hvis bemærkninger er afspejlet i

beretningen.

FIU, Alm.del - 2021-22 - Bilag 138: Beretning 14/2021 om energinets outsourcing af driften af forsyningskritisk it-infrastruktur

Introduktion og konklusion.. Introduktion og konklusion

Introduktion og konklusion |

1. Introduktion og

konklusion

1.1.

Formål og konklusion

Outsourcing

1. Denne beretning handler om Energinets beslutning om at outsource driften af forsy-

ningskritisk it-infrastruktur.

Energisektoren er en livsnerve i det moderne samfund. Den forsyningskritiske it-infra-

struktur har afgørende og direkte betydning for elforsyningen i Danmark og for centra-

le samfundskritiske funktioner. Derfor er det vigtigt, at den forsyningskritiske it-infra-

struktur er beskyttet, og at sikkerheden omkring it-infrastrukturen ikke kompromitte-

res. Når driften af den forsyningskritiske it-infrastruktur outsources, har den eksterne

leverandør mulighed for at påvirke funktioner, som understøtter elforsyningen. Når der

outsources, er det derfor vigtigt, at sikkerheden er i fokus, hvilket Energinet fortsat har

ansvaret for.

2. Det overordnede formål med det statslige ejerskab af Energinet er at sikre offentlig

kontrol med kritisk infrastruktur. Energinet varetager som systemoperatør en række

samfundsmæssigt centrale opgaver, som staten har en interesse i at have kontrol med.

3. Energinet er organiseret i en koncern med et moderselskab og 7 datterselskaber.

Koncernen blev omorganiseret i 2018. Omorganiseringen betød, at en del af selskabets

aktiviteter blev flyttet til datterselskaber og dermed længere væk fra ministerens kon-

trol. Som følge af omorganiseringen blev der vedtaget en lovændring i 2019, som skul-

le sikre, at ministerens indsigt i og kontrol med Energinets datterselskaber blev styrket.

Lovændringen gjorde det muligt at etablere en ubrudt styringskæde fra ministeren ned

til datterselskaberne.

4. Formålet med outsourcingen er ifølge Energinet at opnå økonomiske besparelser og

fordele, herunder en agil og fleksibel tilgang til opgaveløsningen, hurtigere leverancer,

skalerbart driftsmiljø, øgede kompetencer hos medarbejderne, som imødekommer

øgede krav fra it-miljøet, og bedre leverandørstyring med færre eksterne leverandører.

5. Center for Cybersikkerheds trusselsvurdering i 2020 viser, at der er en meget høj

risiko for cyberspionage og cyberkriminalitet i forhold til Energinets it-infrastruktur og

den øvrige forsyningssektor. Center for Cybersikkerhed vurderer, at fremmede stater

bl.a. har interesse i at stjæle informationer til at kunne styrke og udvikle deres egen

energisektor eller til brug i en eventuel politisk eller militær konflikt. Center for Cyber-

sikkerhed konstaterer, at der har været forsøg på kompromittering af den danske

energisektor.

Outsourcing betyder, at en

virksomhed køber ydelser,

som virksomheden hidtil selv

har varetaget, hos en ekstern

leverandør.

Drift af forsyningskritisk

it-infrastruktur

It-infrastrukturen er de dele af

et it-system, som er en forud-

sætning for, at øvrig software

og applikationer kan fungere

korrekt. It-infrastrukturen om-

fatter fx netværk, routere og

servere. Når en ekstern leve-

randør står for driften af den

forsyningskritiske it-infrastruk-

tur, kan leverandøren direkte

påvirke funktionaliteten af fx

netværk, routere og servere.

FIU, Alm.del - 2021-22 - Bilag 138: Beretning 14/2021 om energinets outsourcing af driften af forsyningskritisk it-infrastruktur

| Introduktion og konklusion

6. I maj 2021 blev USA’s største olieledning, Colonial Pipeline, ramt af et hackerangreb.

Angrebet betød, at rørledningens operatør i en periode blev nødt til at lukke ned for

olietransporten mellem Texas og New York med store konsekvenser for forsyningen.

Det er afgørende for forsyningssikkerheden, at den danske energisektor ikke bliver

kompromitteret på lignende vis.

7. Rigsrevisionen har flere gange over for Energinet rejst spørgsmål om og peget på

sikkerhedsrisici ved Energinets beslutning i januar 2019 om at outsource driften af den

forsyningskritiske it-infrastruktur. Rigsrevisionen tog initiativ til denne undersøgelse i

april 2021, fordi beslutningen om outsourcing efter Rigsrevisionens opfattelse var så

væsentlig, at Klima-, Energi- og Forsyningsministeriet på forhånd burde have været ori-

enteret om beslutningen. Det var dog på daværende tidspunkt uklart, om ministeriet

var blevet orienteret, inden Energinet i juni 2020 indgik en kontrakt om outsourcing.

8. Formålet med undersøgelsen er at vurdere, om Klima-, Energi- og Forsyningsmini-

steriet og Energinet har håndteret outsourcingen af driften af den forsyningskritiske

it-infrastruktur ansvarligt.

Væsentlige forhold, som

klima-, energi- og for-

syningsministeren skal

orienteres om som følge

af ændringen af lov om

Energinet i 2019

•

Væsentlige ændringer i

9. Energinet har oplyst, at Energinet er uenig med Rigsrevisionen i, at outsourcing af

driften af den forsyningskritiske it-infrastruktur er et væsentligt forhold, som Klima-,

Energi- og Forsyningsministeriet skulle have været orienteret om, inden udbudspro-

cessen blev igangsat.

Det er Rigsrevisionens opfattelse, at beslutningen om at outsource driften af den for-

syningskritiske it-infrastruktur er et væsentligt forhold, fordi formålet med det stats-

lige ejerskab af Energinet er at sikre offentlig kontrol med kritisk infrastruktur, og for-

di driften af den forsyningskritiske it-infrastruktur er afgørende for forsyningssikker-

heden.

10. Energinet har desuden oplyst, at Energinet vurderer, at Rigsrevisionens beskrivel-

se og behandling af it-sikkerhedsmæssige forhold i forbindelse med undersøgelsen af

outsourcingen af driften af den forsyningskritiske it-infrastruktur er fortrolige oplys-

ninger, som i særdeleshed i den nuværende sikkerhedssituation kan kompromittere

statens sikkerhed og rigets forsvar.

Rigsrevisionen har imødekommet Energinets ønske om fortrolighed. Beretningen in-

deholder således ingen konkrete beskrivelser af de it-sikkerhedsbrister, som Rigsre-

visionen konkluderer om. Det er Rigsrevisionens opfattelse, at beskrivelserne er på et

så overordnet niveau, at de i sig selv ikke kan anvendes til kompromitterende formål.

Energinets økonomi, her-

under indtægter, omkost-

ninger, kapitalpolstring og

risikoeksponering.

•

Større ændringer vedrø-

rende forsyningssikker-

hedsmæssige forhold.

•

Ændringer i Energinets

strategi og aktiviteter.

•

Forhold af politisk betyd-

ning.

FIU, Alm.del - 2021-22 - Bilag 138: Beretning 14/2021 om energinets outsourcing af driften af forsyningskritisk it-infrastruktur

Introduktion og konklusion |

Hovedkonklusion

Klima-, Energi- og Forsyningsministeriet og Energinet har samlet set ikke

håndteret outsourcingen af driften af den forsyningskritiske it-infrastruk-

tur ansvarligt. Energinets beslutningsgrundlag og implementering af out-

sourcingen har været kritisabel. Konsekvensen er, at der er risiko for, at

outsourcingen kan kompromittere forsyningssikkerheden.

Energinet har ikke orienteret Klima-, Energi- og Forsyningsministeriet rettidigt om

outsourcingen

Energinet har ikke levet op til forpligtelserne om at orientere Klima-, Energi- og Forsy-

ningsministeriet rettidigt om væsentlige forhold. Ministeriet fik dermed ikke mulighed

for særskilt at vurdere Energinets outsourcingprojekt, inden udbudsprocessen blev

igangsat.

Energinet har ikke sikret sikkerheden i forbindelse med outsourcingen

Undersøgelsen viser, at Energinet ved forberedelsen ikke har risikovurderet outsour-

cingen i forhold til at sikre tilstrækkelig offentlig kontrol med forsyningskritisk it-infra-

struktur. Energinet har dog i forbindelse med gennemførelsen af outsourcingen fore-

taget en risikovurdering af it-sikkerheden, der viser, at Energinet i en lang periode ik-

ke vil kunne leve op til gældende it-sikkerhedsmæssige krav. Rigsrevisionen har kon-

stateret alvorlige sikkerhedsbrister i forbindelse med outsourcingen. Rigsrevisionen

har gjort opmærksom på sikkerhedsbristerne i både 2020 og 2021, men Energinet har

ikke rettet op herpå.

Klima-, Energi- og Forsyningsministeriet har ikke fuldt ud sikret tydelige rammer

for tilsynet med Energinets it-forhold

Klima-, Energi- og Forsyningsministeriets ejerskabsdokumenter understøtter ikke, at

ministeriet bliver orienteret om større ændringer af forsyningssikkerhedsmæssige for-

hold. Undersøgelsen viser, at ministeriet i sine ejerskabsdokumenter ikke kvalitativt

har beskrevet, hvilke oplysninger om forsyningssikkerhedsmæssige forhold ministe-

riet skal orienteres om. Dette fremgår heller ikke af Energinets koncerninstruks.

Klima-, Energi- og Forsyningsministeriet har ført et løbende tilsyn med Energinets

it-sikkerhed, men har ikke anvendt sin viden fuldt ud

Undersøgelsen viser, at Klima-, Energi- og Forsyningsministeriet løbende har forholdt

sig til it-sikkerhed på møder med Energinet, og at ministeriet har intensiveret tilsynet

med Energinets forsyningskritiske it-forhold, da ministeriet blev oplyst om outsourcin-

gens omfang i april 2021. Ministeriet har i sit tilsyn ikke i alle tilfælde anvendt Energi-

styrelsens sektortilsynsrapporter om Energinet, da rapporterne forelå.

FIU, Alm.del - 2021-22 - Bilag 138: Beretning 14/2021 om energinets outsourcing af driften af forsyningskritisk it-infrastruktur

Outsourcing af driften af den forsyningskritiske it-infrastruktur.. Outsourcing af driften af den forsyningskritiske it-infrastruktur

| Introduktion og konklusion

1.2. Baggrund

Statens ejerskabspolitik

”Statens

ejerskabspolitik” er

en publikation, som Finansmi-

nisteriet udgav i 2015. Ejer-

skabspolitikken beskriver,

hvordan ministerierne skal

udøve statsligt ejerskab af

selvstændige offentlige virk-

somheder (SOV’er).

11. Energinet er en selvstændig offentlig virksomhed (SOV), der er 100

ejet af sta-

ten. Ejerskabet varetages af klima-, energi- og forsyningsministeren i henhold til lov

om Energinet og

”Statens

ejerskabspolitik”. Det overordnede formål med det statsli-

ge ejerskab af Energinet er at sikre offentlig kontrol med kritisk infrastruktur. Energi-

nets kerneopgaver er at eje, drive og udbygge den overordnede energiinfrastruktur

og at varetage hensyn til forsyningssikkerhed, klima og miljø.

12. Det fremgår af

”Statens

ejerskabspolitik”, at koncernbestyrelsen skal varetage

ejernes interesser med omhu og således træffe beslutninger ud fra, hvad der tjener

selskabet bedst. Koncernbestyrelsen har samtidig en forpligtelse til aktivt at medvir-

ke til, at forventningerne til selskabets forhold og udvikling er afstemt med ejerministe-

ren. Staten udøver sin indflydelse gennem klima-, energi- og forsyningsministerens ud-

pegning af bestyrelsesmedlemmer, som varetager Energinets overordnede og strate-

giske ledelse. Der etableres således armslængde mellem staten som ejer og Energi-

nets koncernbestyrelse.

13. Energinet er en koncern, som består af et moderselskab og 7 datterselskaber. Dat-

terselskaberne blev etableret i 2018 for at forankre de driftsrelaterede opgaver i un-

derselskaber, mens de myndighedslignende opgaver skulle forankres i moderselska-

bet. Strategiske beslutninger vedrørende Energinets kerneopgaver skulle fortsat ske

i moderselskabet.

Energinet har en koncernbestyrelse for moderselskabet, og hvert datterselskab har

sin egen bestyrelse. Koncernbestyrelsen er udpeget af klima-, energi- og forsynings-

ministeren, mens bestyrelserne i datterselskaberne består af generalforsamlingsvalg-

te medlemmer og medlemmer, der er valgt i henhold til lovgivningens regler om med-

arbejder- og/eller koncernrepræsentation i bestyrelsen.

Den daglige ledelse af moderselskabet varetages af en koncerndirektion, der er an-

sat af koncernbestyrelsen. Datterselskabernes bestyrelser ansætter ligeledes en di-

rektion til datterselskabet. Energinets koncerndirektion består af den administreren-

de direktør og finansdirektøren. Koncerndirektionen i Energinets moderselskab udgør

flertallet i bestyrelserne i de helejede datterselskaber. Med koncerndirektionens fler-

tal i bestyrelserne i datterselskaberne vil implementeringen af instruktionerne fra kli-

ma-, energi- og forsyningsministeren til datterselskaberne blive understøttet, så der

etableres en ubrudt styringskæde fra ministeren til datterselskaberne. Figur 1 viser

styringskæden mellem Klima-, Energi- og Forsyningsministeriet og Energinet samt

Energinets organisation.

FIU, Alm.del - 2021-22 - Bilag 138: Beretning 14/2021 om energinets outsourcing af driften af forsyningskritisk it-infrastruktur

Introduktion og konklusion |

Figur 1

Styringskæde mellem Klima-, Energi- og Forsyningsministeriet og Energinet samt Energinets

organisation

Klima-, Energi- og

Forsyningsministeriet

Energinets

koncernbestyrelse

Energinets koncerndirektion og -stabe

HR, Strategi

Kommunikation

Innovation

Digitalisering

Koncernjura

Revisions- og

risikoudvalget

Koncernintern

revision

Teknik og Anlæg A/S

Forretningsservice A/S

Koncernøkonomi og

Business Support

Systemansvar

A/S

Eltransmission

A/S

Gastransmission

A/S

Gas Storage Denmark

A/S

DataHub

A/S

Note: De lysegrønne bokse er Energinets datterselskaber. Revisions- og risikoudvalget er et rådgivende udvalg, som refererer til koncernbestyrelsen.

Kilde:

Rigsrevisionen på baggrund af oplysninger fra Energinet.

Et af Energinets datterselskaber er Forretningsservice A/S, som blev etableret i 2018,

og som skal varetage administrative ydelser og it-ydelser i Energinetkoncernen. For-

retningsservice A/S traf i januar 2019 beslutning om at outsource driften af den forsy-

ningskritiske it-infrastruktur.

14. Energinet indgik i juni 2020 en kontrakt med KMD, som bl.a. indebar outsourcing

af driften af den forsyningskritiske it-infrastruktur. Beslutningen om outsourcing ved-

rører Energinets kerneopgave om at sikre forsyningssikkerheden i Danmark.

Outsourcingen omfatter ca. 90 % af Energinets it-systemer, herunder driften af den

forsyningskritiske it-infrastruktur. Outsourcingen indebærer, at den forsyningskriti-

ske it-infrastruktur fortsat er placeret fysisk i Energinet, men at hovedleverandøren

KMD og underleverandøren IBM er ansvarlige for driften og således har både fysisk

og virtuel adgang til at kunne påvirke de it-systemer, der styrer elforsyningen.

FIU, Alm.del - 2021-22 - Bilag 138: Beretning 14/2021 om energinets outsourcing af driften af forsyningskritisk it-infrastruktur

| Introduktion og konklusion

15. Energinet har tidligere outsourcet driften af den forsyningskritiske it-infrastruktur.

Energinet outsourcede nærmere bestemt driften af en række it-systemer til en leve-

randør i Filippinerne i 2014. Energinet afbrød dog samarbejdet i 2018, bl.a. på grund af

identificerede sikkerhedsbrister i forhold til den forsyningskritiske it-infrastruktur i

Danmark.

Energinet iværksatte sideløbende et nyt outsourcingprojekt i 2017, som i april 2021

blev foreløbigt afsluttet med overdragelsen af driften af den forsyningskritiske it-infra-

struktur til KMD og underleverandøren IBM. Overdragelsen af opgaven skulle være

sket i januar 2021, men blev efterfølgende rykket, da kompleksiteten var højere, end

det var forudsat ved indgåelsen af kontrakten. Det fremgår af Energinets interne sta-

tus på outsourcingprojektet fra marts 2022, at outsourcingen er yderligere forsinket

og forventes endeligt afsluttet i september 2023.

1.3. Revisionskriterier, metode og afgrænsning

Revisionskriterier

16. Formålet med undersøgelsen er at vurdere, om Klima-, Energi- og Forsyningsmini-

steriet og Energinet har håndteret outsourcingen af driften af den forsyningskritiske

it-infrastruktur ansvarligt.

17. Vi har opstillet 4 revisionskriterier for at besvare undersøgelsens formål.

For det første undersøger vi, om Energinet har orienteret Klima-, Energi- og Forsy-

ningsministeriet rettidigt om outsourcingen af driften af den forsyningskritiske it-infra-

struktur. Vi har taget udgangspunkt i lov om Energinet og lovbemærkningerne hertil,

som bl.a. fremgår af 2018/1 LSF 178. Det fremgår af lovens § 5, stk. 5, at Energinet skal

orientere klima-, energi- og forsyningsministeren om væsentlige forhold vedrørende

Energinets virksomhed. Dette fremgår ligeledes af Energinets vedtægter.

Det fremgår af lovbemærkningerne, at væsentlige forhold fx vil være større ændringer

af forsyningssikkerhedsmæssige forhold. Vi lægger til grund, at outsourcing af driften

af den forsyningskritiske it-infrastruktur er et væsentligt forhold, som Energinet skal

orientere Klima-, Energi- og Forsyningsministeriet om. Det skyldes, at formålet med

det statslige ejerskab af Energinet er at sikre offentlig kontrol med kritisk infrastruktur,

og at driften af den forsyningskritiske it-infrastruktur er afgørende for forsyningssik-

kerheden.

Det fremgår desuden af lovbemærkningerne, at der indsættes en eksplicit oplysnings-

pligt for Energinet over for klima-, energi- og forsyningsministeren foranlediget af den

ændrede organisering, hvor en del af selskabets aktiviteter er flyttet til datterselska-

ber og dermed længere væk fra ministerens kontrol. Oplysningspligten indsættes for

at sikre, at ministeren har et oplyst grundlag for at føre tilsyn med Energinet og i rette

tid kan træffe de nødvendige foranstaltninger for at imødegå et særligt forhold, hvis

der skulle opstå behov for det.

Med rettidig forstår vi, at outsourcingprojektet blev forelagt Klima-, Energi- og Forsy-

ningsministeriet, inden udbudsprocessen blev igangsat.

FIU, Alm.del - 2021-22 - Bilag 138: Beretning 14/2021 om energinets outsourcing af driften af forsyningskritisk it-infrastruktur

Introduktion og konklusion |

Vi undersøger for det andet, om Energinet har sikret sikkerheden i forbindelse med

outsourcingen af driften af den forsyningskritiske it-infrastruktur. Vi lægger til grund,

at det fremgår af Klima-, Energi- og Forsyningsministeriets strategiske ejerskabsdo-

kument, at det overordnede rationale for det statslige ejerskab af Energinet er at sik-

re offentlig kontrol med kritisk infrastruktur, og at Energinet som systemoperatør va-

retager en række samfundsmæssigt centrale opgaver, som staten har en interesse i

at føre kontrol med. Vi undersøger også, om Energinet har sikret helt basale sikker-

hedsmæssige foranstaltninger inden overdragelsen af driften af it-infrastrukturen til

forsyningskritiske systemer.

For det tredje undersøger vi, om Klima-, Energi- og Forsyningsministeriet har sikret ty-

delige rammer for tilsynet med Energinets it-forhold. Med tydelige rammer mener vi,

om ministeriet kvalitativt har beskrevet, hvilke væsentlige forhold ministeren skal ori-

enteres om.

Vi lægger til grund, at Klima-, Energi- og Forsyningsministeriet bør forholde sig til, hvil-

ke større ændringer af forsyningssikkerhedsmæssige forhold klima-, energi- og forsy-

ningsministeren skal orienteres om, og som koncernbestyrelsen skal beskrive i kon-

cerninstruksen. Vi har taget udgangspunkt i lov om Energinet og lovbemærkningerne

hertil. Det fremgår af lovens § 5, stk. 4, og lovbemærkningerne hertil, at Energinet fast-

sætter en koncerninstruks, der beskriver, hvilke beslutninger der på grund af deres

karakter altid skal træffes af koncernbestyrelsen i Energinet. Disse emner skal beskri-

ves kvalitativt i koncerninstruksen og godkendes af klima-, energi- og forsyningsmini-

steren.

Vi lægger også til grund, at Klima-, Energi- og Forsyningsministeriet skal anvende de

kommunikationsværktøjer i tilsynet, som fremgår af

”Statens

ejerskabspolitik”. Kom-

munikationsværktøjerne omfatter:

•

Strategisk ejerskabs-

dokument

Et strategisk ejerskabsdoku-

ment er et dokument, som

Klima-, Energi- og Forsynings-

ministeriet udarbejder som et

led i udøvelsen af statens ak-

tive ejerskabsrolle, og som

også anvendes i tilsynsrollen.

kvartalsmøder mellem Energinet og Klima-, Energi- og Forsyningsministeriet

årsrapporter og delårsrapporter

Energinets forhåndsorienteringer af klima-, energi- og forsyningsministeren.

Kommunikationsværktøjerne skal understøtte, at klima-, energi- og forsyningsmini-

steren orienteres om alle væsentlige forhold, herunder større ændringer af forsynings-

sikkerhedsmæssige forhold. Dette omfatter efter Rigsrevisionens opfattelse krav om

orientering om bl.a. større ændringer vedrørende forsyningskritiske it-systemer.

Vi undersøger for det fjerde, om Klima-, Energi- og Forsyningsministeriet har ført et til-

strækkeligt løbende tilsyn med Energinets it-sikkerhed. Ministeriet har et ressortan-

svar for forsyningssikkerhed og skal derfor bruge al den viden, som ministeriet har mu-

lighed for at få. Vi lægger derfor til grund, at Klima-, Energi- og Forsyningsministeriet

skal anvende den viden, som ministeriet får fra Energinet og fra Energistyrelsens til-

synsrapporter i ministeriets løbende tilsyn. Vi har taget udgangspunkt i lov om Energi-

net og de forudsætninger for ministeriets tilsyn, som er angivet i lovbemærkningerne

og i

”Statens

ejerskabspolitik”.

FIU, Alm.del - 2021-22 - Bilag 138: Beretning 14/2021 om energinets outsourcing af driften af forsyningskritisk it-infrastruktur

| Introduktion og konklusion

Metode

18. Undersøgelsen er baseret på dokumentgennemgang og møder med de revidere-

de. Formålet med møderne har været at stille spørgsmål til det udleverede materiale

og få en dybere forståelse for de forhold, som vi har undersøgt.

19. Vi har indhentet materiale fra Energinet og Klima-, Energi- og Forsyningsministe-

riet, som belyser beslutningsprocessen vedrørende outsourcing af driften af den for-

syningskritiske it-infrastruktur. Dette materiale omfatter bl.a. mødereferater og mate-

riale fra Forretningsservice A/S, koncerndirektionen, koncernbestyrelsen og revisions-

og risikoudvalget. Vi har desuden indhentet materiale og referater fra kvartalsmøder

mellem Energinet og Klima-, Energi- og Forsyningsministeriet. Endelig har vi indhentet

Energistyrelsens sektortilsynsrapporter om Energinet.

20. Revisionen er udført i overensstemmelse med standarderne for offentlig revision,

jf. bilag 1.

Afgrænsning

21. Undersøgelsen afgrænses primært til perioden fra 2018, hvor klima-, energi- og for-

syningsministeren understregede over for Energinet, at Energinet skulle have fokus på

it-sikkerhed, til april 2021, hvor Rigsrevisionen igangsatte undersøgelsen.

22. Energinet har oplyst, at Energinet vurderer, at Rigsrevisionens beskrivelse og be-

handling af it-sikkerhedsmæssige forhold i forbindelse med undersøgelsen af outsour-

cingen af driften af den forsyningskritiske it-infrastruktur er fortrolige oplysninger, som

i særdeleshed i den nuværende sikkerhedssituation kan kompromittere statens sik-

kerhed og rigets forsvar.

Rigsrevisionen har imødekommet Energinets ønske om fortrolighed. Beretningen inde-

holder således ingen konkrete beskrivelser af de it-sikkerhedsbrister, som Rigsrevisio-

nen konkluderer om. Det er Rigsrevisionens opfattelse, at beskrivelserne er på et så

overordnet niveau, at de i sig selv ikke kan anvendes til kompromitterende formål.

23. I bilag 1 er undersøgelsens metodiske tilgang beskrevet.

FIU, Alm.del - 2021-22 - Bilag 138: Beretning 14/2021 om energinets outsourcing af driften af forsyningskritisk it-infrastruktur

Outsourcing af driften af den forsyningskritiske it-infrastruktur |

2. Outsourcing af driften

af den forsyningskritiske

it-infrastruktur

24. Dette kapitel handler om, hvorvidt Energinet har orienteret Klima-, Energi- og For-

syningsministeriet rettidigt om outsourcingen af driften af den forsyningskritiske it-in-

frastruktur, hvorvidt Energinet har sikret sikkerheden i forbindelse med outsourcingen,

hvorvidt ministeriet har sikret tydelige rammer for tilsynet med Energinets it-forhold,

og hvorvidt ministeriet har ført et tilstrækkeligt tilsyn med Energinets it-sikkerhed.

2.1. Energinets beslutning om outsourcing

25. Vi har undersøgt, om Energinet har orienteret Klima-, Energi- og Forsyningsmini-

steriet rettidigt om outsourcingen af driften af den forsyningskritiske it-infrastruktur.

Det har vi gjort ved at undersøge beslutningskæden fra datterselskabet Forretnings-

service A/S til koncerndirektionen, fra koncerndirektionen til koncernbestyrelsen og

fra koncernbestyrelsen til ministeriet i forbindelse med beslutningen om outsourcing

i Energinet.

Vi har taget udgangspunkt i lov om Energinet og lovbemærkningerne hertil, som bl.a.

fremgår af 2018/1 LSF 178. Det fremgår af lovens § 5, stk. 5, at Energinet skal oriente-

re klima-, energi- og forsyningsministeren om væsentlige forhold vedrørende Energi-

nets virksomhed. Dette fremgår ligeledes af Energinets vedtægter.

Det fremgår af lovbemærkningerne, at væsentlige forhold fx vil være større ændringer

af forsyningssikkerhedsmæssige forhold. Vi lægger til grund, at outsourcing af driften

af den forsyningskritiske it-infrastruktur er et væsentligt forhold, som Energinet skal

orientere Klima-, Energi- og Forsyningsministeriet om. Det skyldes, at formålet med

det statslige ejerskab af Energinet er at sikre offentlig kontrol med kritisk infrastruk-

tur, og at driften af den forsyningskritiske it-infrastruktur er afgørende for forsynings-

sikkerheden.

Det fremgår af lovbemærkningerne, at der indsættes en eksplicit oplysningspligt for

Energinet over for klima-, energi- og forsyningsministeren foranlediget af den ændre-

de organisering, hvor en del af selskabets aktiviteter er flyttet til datterselskaber og

dermed længere væk fra ministerens kontrol. Oplysningspligten indsættes for at sik-

re, at ministeren har et oplyst grundlag for at føre tilsyn med Energinet og i rette tid

kan træffe de nødvendige foranstaltninger for at imødegå et særligt forhold, hvis der

skulle opstå behov for det.

FIU, Alm.del - 2021-22 - Bilag 138: Beretning 14/2021 om energinets outsourcing af driften af forsyningskritisk it-infrastruktur

| Outsourcing af driften af den forsyningskritiske it-infrastruktur

Med rettidig forstår vi, at outsourcingprojektet blev forelagt Klima-, Energi- og Forsy-

ningsministeriet, inden udbudsprocessen blev igangsat.

26. Vores gennemgang viser, at datterselskabet Forretningsservice

A/S’

bestyrelse,

som bl.a. består af koncerndirektionen, godkendte en businesscase for outsourcingen

i januar 2019, der omfattede driften af den forsyningskritiske it-infrastruktur. Det frem-

går af en intern korrespondance i Energinet, at Forretningsservice

A/S’

bestyrelse vur-

derede, at koncernbestyrelsen skulle orienteres om outsourcingen, inden den blev

igangsat. Dette er i overensstemmelse med Energinets koncerninstruks, hvor det frem-

går, at det kun er koncernbestyrelsen, der kan træffe beslutninger af usædvanlig art

eller af stor betydning.

27. Energinet har oplyst, at koncernbestyrelsen blev orienteret mundtligt om outsour-

cingprojektet under en bustur på en studietur i USA i januar 2019 og skriftligt på et mø-

de i koncernbestyrelsen den 23. maj 2019.

Vores gennemgang viser, at det ikke fremgår af det skriftlige materiale til mødet i kon-

cernbestyrelsen i maj 2019, at outsourcingen omfattede driften af den forsyningskriti-

ske it-infrastruktur. Det er Rigsrevisionens opfattelse, at det af materialet tydeligt bur-

de have fremgået, at der også var tale om outsourcing af driften af den forsyningskri-

tiske it-infrastruktur, så det var dokumenteret, at koncernbestyrelsen traf beslutnin-

gen på et fuldstændigt og oplyst grundlag.

Rigsrevisionen skal bemærke, at rigsrevisor på et møde i revisions- og risikoudvalget

i november 2020 påpegede, at det

–

ud fra det materiale, der var tilgået koncernbe-

styrelsen den 23. maj 2019

–

ikke var muligt at vurdere, hvor stor en del af driften af

den forsyningskritiske it-infrastruktur der skulle outsources.

Kvartalsmøder

Energinet og Klima-, Energi-

og Forsyningsministeriet hol-

der kvartalsvise møder, hvor

ministeriet orienteres om rele-

vante forhold vedrørende

Energinets virksomhed. Kvar-

talsmøderne skal holdes for at

sikre en løbende dialog mel-

lem ministeriet og Energinet

om selskabets økonomiske

udvikling, selskabets forvent-

ninger til og planer for den

kommende tid, selskabets ri-

sici og andre relevante emner.

28. Gennemgangen af referater fra kvartalsmøder mellem Energinet og Klima-, Ener-

gi- og Forsyningsministeriet viser, at ministeriet blev orienteret om outsourcingen den

28. maj 2019. Det fremgår ikke af mødematerialet, at outsourcingen vedrørte driften

af den forsyningskritiske it-infrastruktur. Det fremgår af mødereferatet, at ministeriet

spurgte ind til it-sikkerheden i forbindelse med outsourcingen af it-opgaver. Energinet

forsikrede ministeriet om, at Energinet i forbindelse med outsourcingen havde gjort

sig grundige overvejelser i forhold til it-sikkerhed.

Klima-, Energi- og Forsyningsministeriet har oplyst, at ministeriet ikke betragter den-

ne orientering som en orientering om outsourcingen af driften af den forsyningskriti-

ske it-infrastruktur.

Energinet har oplyst, at Energinet løbende har orienteret Klima-, Energi- og Forsy-

ningsministeriet om outsourcingprojektet på møder, og at Energinet på et møde den

5. september 2019 gennemgik en kvartalsrapport, hvori risikorapporteringen vedrø-

rende outsourcingprojektet indgik.

Rigsrevisionen kan konstatere, at det ikke fremgår af referatet fra mødet den 5. sep-

tember 2019, at risikorapporteringen vedrørende outsourcingprojektet blev gennem-

gået.

FIU, Alm.del - 2021-22 - Bilag 138: Beretning 14/2021 om energinets outsourcing af driften af forsyningskritisk it-infrastruktur

Outsourcing af driften af den forsyningskritiske it-infrastruktur |

Energinet har oplyst, at Energinet ikke vurderer, at der er tale om en strategisk beslut-

ning eller et væsentligt forhold, som Klima-, Energi- og Forsyningsministeriet skal ori-

enteres om.

Klima-, Energi- og Forsyningsministeriet har oplyst, at ministeriet først blev orienteret

om outsourcingens omfang på et møde med Energinet i april 2021. Ministeriet har des-

uden oplyst, at beslutningen om outsourcing af driften af den forsyningskritiske it-in-

frastruktur helt entydigt er omfattet af orienteringspligten om væsentlige forhold, der

følger af lov om Energinet.

29. Det er Rigsrevisionens opfattelse, at Energinet burde have orienteret Klima-, Ener-

gi- og Forsyningsministeriet i januar 2019, så ministeriet havde mulighed for at forhol-

de sig til beslutningen, inden udbudsprocessen blev igangsat.

Resultater

Undersøgelsen viser, at Energinet ikke har orienteret Klima-, Energi- og Forsyningsmi-

nisteriet rettidigt om outsourcingen af driften af den forsyningskritiske it-infrastruktur.

På trods af at outsourcingen var et væsentligt forhold, blev Klima-, Energi- og Forsy-

ningsministeriet først orienteret, efter udbudsprocessen var igangsat.

2.2. Energinets håndtering af sikkerhed ved outsourcin-

gen

30. Vi har undersøgt, om Energinet har sikret sikkerheden i forbindelse med outsour-

cingen af driften af den forsyningskritiske it-infrastruktur. Vi har desuden undersøgt,

om Energinet ved forberedelsen af outsourcingen har vurderet, hvilken betydning out-

sourcingen ville få for den offentlige kontrol med forsyningskritisk it-infrastruktur. En-

delig har vi undersøgt, om Energinet har sikret helt basale sikkerhedsmæssige foran-

staltninger inden outsourcingen.

Offentlig kontrol med kritisk infrastruktur

31. Det fremgår af Klima-, Energi- og Forsyningsministeriets strategiske ejerskabsdo-

kument, at det overordnede rationale for det statslige ejerskab af Energinet er at sik-

re offentlig kontrol med kritisk infrastruktur, og at Energinet som systemoperatør va-

retager en række samfundsmæssigt centrale opgaver, som staten har en interesse i

at have kontrol med.

32. Vi har undersøgt, om Energinet ved forberedelsen af outsourcingen af driften af

den forsyningskritiske it-infrastruktur har vurderet, hvilken betydning outsourcingen

ville få for den offentlige kontrol med forsyningskritisk it-infrastruktur.

FIU, Alm.del - 2021-22 - Bilag 138: Beretning 14/2021 om energinets outsourcing af driften af forsyningskritisk it-infrastruktur

| Outsourcing af driften af den forsyningskritiske it-infrastruktur

33. Vores gennemgang viser, at Energinet ved forberedelsen ikke har risikovurderet

outsourcingen af driften af den forsyningskritiske it-infrastruktur i forhold til Energi-

nets formål om at bevare den offentlige kontrol af forsyningskritisk it-infrastruktur.

Gennemgangen viser, at den businesscase, der lå til grund for beslutningen om at out-

source driften af den forsyningskritiske it-infrastruktur i januar 2019, indeholder en

beskrivelse af risici for gennemførelsen af outsourcingen. Businesscasen beskriver ri-

sici i forhold til overholdelse af fremdriften, den overordnede tidsplan, kompetencer

og den interne organisering. Der fremgår ikke overvejelser i businesscasen om out-

sourcingens risici for den offentlige kontrol med forsyningskritisk it-infrastruktur.

Gennemgangen viser desuden, at Energinet i forbindelse med gennemførelsen af out-

sourcingen i januar 2021 foretog en risikovurdering af it-sikkerheden. Risikovurderin-

gen viste, at Energinet i en lang periode ikke ville kunne leve op til gældende it-sikker-

hedsmæssige krav.

34. Det er Rigsrevisionens opfattelse, at Energinet burde have foretaget en analyse af,

om Energinet ved outsourcingen samtidig ville kunne bevare en tilstrækkelig offentlig

kontrol med forsyningskritisk it-infrastruktur. Rigsrevisionen bemærker, at Energisty-

relsen i tilsynsrapporten fra januar 2021 om Energinets it-beredskab udtrykte bekym-

ring for outsourcingen.

Konstaterede sikkerhedsrisici

35. Vi har undersøgt, om Energinet har sikret helt basale sikkerhedsmæssige foran-

staltninger inden overdragelsen af driften af it-infrastrukturen til forsyningskritiske sy-

stemer.

36. Vores gennemgang viser, at Energinets risikovurdering fra januar 2021 viste, at

Energinet i en lang periode ikke ville kunne leve op til gældende it-sikkerhedsmæssige

krav.

37. Rigsrevisionen har endvidere konstateret alvorlige sikkerhedsbrister i forbindelse

med outsourcingen. Rigsrevisionen har gjort Energinet opmærksom på sikkerhedsbri-

sterne i november 2020 og i november 2021, men Energinet har ikke rettet op herpå.

Resultater

Undersøgelsen viser, at Energinet ikke har sikret sikkerheden i forbindelse med out-

sourcingen af driften af den forsyningskritiske it-infrastruktur.

Undersøgelsen viser desuden, at Energinet ved forberedelsen ikke har risikovurderet

outsourcingen i forhold til at sikre tilstrækkelig offentlig kontrol med den forsyningskri-

tiske it-infrastruktur. Energinet har dog i forbindelse med gennemførelsen af outsour-

cingen foretaget en risikovurdering af it-sikkerheden. Risikovurderingen viste, at Ener-

ginet i en lang periode ikke ville kunne leve op til gældende it-sikkerhedsmæssige krav.

Endelig viser undersøgelsen, at der er konstateret alvorlige sikkerhedsbrister i forbin-

delse med Energinets outsourcing. Rigsrevisionen har gjort Energinet opmærksom på

sikkerhedsbristerne i november 2020 og i november 2021, men Energinet har ikke ret-

tet op herpå.

FIU, Alm.del - 2021-22 - Bilag 138: Beretning 14/2021 om energinets outsourcing af driften af forsyningskritisk it-infrastruktur

Outsourcing af driften af den forsyningskritiske it-infrastruktur |

2.3. Rammer for Klima-, Energi- og Forsyningsministe-

riets tilsyn

38. Vi har undersøgt, om Klima-, Energi- og Forsyningsministeriet har sikret tydelige

rammer for tilsynet med Energinets it-forhold. Med tydelige rammer mener vi, om mi-

nisteriet kvalitativt har beskrevet, hvilke væsentlige forhold klima-, energi- og forsy-

ningsministeren skal orienteres om.

Vi har lagt til grund, at Klima-, Energi- og Forsyningsministeriet bør forholde sig til, hvil-

ke større ændringer af forsyningssikkerhedsmæssige forhold klima-, energi- og forsy-

ningsministeren skal orienteres om, og som koncernbestyrelsen skal beskrive i kon-

cerninstruksen.

Vi har taget udgangspunkt i lov om Energinet og lovbemærkningerne hertil. Det frem-

går af lovens § 5, stk. 4, og af lovbemærkningerne hertil, at Energinet fastsætter en

koncerninstruks, der beskriver, hvilke beslutninger der på grund af deres karakter al-

tid skal træffes af koncernbestyrelsen i Energinet. Disse emner skal beskrives kvalita-

tivt i koncerninstruksen og godkendes af klima-, energi- og forsyningsministeren.

Herudover fremgår det af lov om Energinet, at klima-, energi- og forsyningsministe-

ren kan træffe beslutning om ethvert forhold vedrørende Energinets anliggender. Det

fremgår af lovbemærkningerne, at det forudsættes, at ministeren ikke træffer beslut-

ning i et sådant omfang, at der herved sker en overtagelse af den faktiske ledelse af

Energinet fra bestyrelse og direktion. Dette svarer til de ejerskabsbeføjelser, som frem-

går af

”Statens

ejerskabspolitik”.

Vi har også lagt til grund, at Klima-, Energi- og Forsyningsministeriet skal anvende de

kommunikationsværktøjer i tilsynet, som fremgår af

”Statens

ejerskabspolitik”. Kom-

munikationsværktøjerne omfatter:

•

kvartalsmøder mellem Energinet og Klima-, Energi- og Forsyningsministeriet

årsrapporter og delårsrapporter

Energinets forhåndsorienteringer af klima-, energi- og forsyningsministeren.

Det fremgår af

”Statens

ejerskabspolitik”, at der skal holdes regelmæssige møder for

at sikre en løbende dialog mellem ejerministeriet og selskabet om selskabets økono-

miske udvikling, selskabets forventninger til og planer for den kommende tid, selska-

bets risici og andre relevante emner. Herudover er års- og delårsrapporter den primæ-

re kilde til information om et selskabs udvikling og økonomiske stilling for selskabets

ejere, kreditorer og andre interessenter. Ligeledes fremgår det af ejerskabspolitikken,

at selskabet er forpligtet til at forhåndsorientere ejerministeren om forhold, som er af

væsentlig betydning for selskabet, og at give ministeren information, hvis der anmodes

herom. I eneejede statslige selskaber skal orienteringen af ejerministeren følge et

”in-

gen overraskelser”-princip. Dette indebærer, at bestyrelsen i eneejede selskaber er

forpligtet til at forhåndsorientere ministeren om sager, der er af væsentlig eller princi-

piel betydning i forhold til selskabets virksomhed.

FIU, Alm.del - 2021-22 - Bilag 138: Beretning 14/2021 om energinets outsourcing af driften af forsyningskritisk it-infrastruktur

| Outsourcing af driften af den forsyningskritiske it-infrastruktur

Kommunikationsværktøjerne skal understøtte, at klima-, energi- og forsyningsministe-

ren orienteres om alle væsentlige forhold, herunder større ændringer af forsyningssik-

kerhedsmæssige forhold. Dette omfatter efter Rigsrevisionens opfattelse krav om ori-

entering om bl.a. større ændringer vedrørende forsyningskritiske it-systemer.

39. Vores gennemgang af Klima-, Energi- og Forsyningsministeriets ejerskabsdoku-

menter, herunder ministeriets retningslinjer for kommunikation mellem Energinet og

ministeriet, viser, at dokumenterne ikke kvalitativt beskriver, hvilke større ændringer

af forsyningssikkerhedsmæssige forhold ministeriet skal orienteres om. Ministeriet

har derfor ikke forholdt sig til, hvilke større ændringer af forsyningsmæssige forhold

klima-, energi- og forsyningsministeren skal orienteres om.

Energinets koncerninstruks indeholder heller ikke en kvalitativ beskrivelse af større

ændringer af forsyningssikkerhedsmæssige forhold. Koncerninstruksen understøtter

derfor heller ikke, at klima-, energi- og forsyningsministeren bliver orienteret om stør-

re ændringer af forsyningssikkerhedsmæssige forhold.

Det er Rigsrevisionens opfattelse, at det ikke er udmøntet konkret, hvornår Klima-,

Energi- og Forsyningsministeriet skal orienteres om større ændringer af forsyningssik-

kerhedsmæssige forhold i forbindelse med rapportering til og drøftelse på kvartalsmø-

der og i forbindelse med forhåndsorienteringer af ministeren. Ministeriets ejerskabs-

dokumenter understøtter derfor ikke, at ministeriet bliver orienteret om bl.a. ændrin-

ger, der vedrører forsyningskritisk it-infrastruktur.

Resultater

Undersøgelsen viser, at Klima-, Energi- og Forsyningsministeriet ikke fuldt ud har sik-

ret tydelige rammer for tilsynet med Energinets it-forhold.

Undersøgelsen viser desuden, at Klima-, Energi- og Forsyningsministeriet ikke kvalita-

tivt har beskrevet, hvilke større ændringer af forsyningssikkerhedsmæssige forhold

klima-, energi- og forsyningsministeren skal orienteres om. Ministeriets ejerskabsdo-

kumenter har ikke beskrevet de større ændringer af forsyningssikkerhedsmæssige

forhold, som ministeriet forventer at blive orienteret om.

Endelig viser undersøgelsen, at Energinets koncerninstruks ikke indeholder en kvali-

tativ beskrivelse af de forsyningssikkerhedsmæssige forhold, som klima-, energi- og

forsyningsministeren skal orienteres om.

FIU, Alm.del - 2021-22 - Bilag 138: Beretning 14/2021 om energinets outsourcing af driften af forsyningskritisk it-infrastruktur

Outsourcing af driften af den forsyningskritiske it-infrastruktur |

2.4. Klima-, Energi- og Forsyningsministeriets løbende

tilsyn

40. Vi har undersøgt, om Klima-, Energi- og Forsyningsministeriet har ført et tilstræk-

keligt løbende tilsyn med Energinets it-sikkerhed. Ministeriet har et ressortansvar for

forsyningssikkerhed og skal derfor bruge al den viden, som ministeriet har mulighed

for at få.

Vi har derfor lagt til grund, at Klima-, Energi- og Forsyningsministeriet skal anvende

den viden, som ministeriet får fra Energinet og fra Energistyrelsens tilsynsrapporter i

ministeriets løbende tilsyn. Vi har taget udgangspunkt i lov om Energinet og de forud-

sætninger for ministeriets tilsyn, som er angivet i lovbemærkningerne og i

”Statens

ejerskabspolitik”.

41. Klima-, Energi- og Forsyningsministeriet holder kvartalsmøder med Energinet, hvor

bl.a. Energinets kvartalsrapporter bliver drøftet. Da det ikke i ejerskabsdokumenterne

er udmøntet konkret, hvilke større ændringer af forsyningssikkerhedsmæssige for-

hold ministeriet skal orienteres om, har vi undersøgt, hvordan ministeriet har udført

det løbende tilsyn.

For det første har vi gennemgået de informationer, som Energinet har givet Klima-,

Energi- og Forsyningsministeriet om it-forhold. For det andet har vi gennemgået ma-

teriale fra møder mellem ministeriet og Energinet for at vurdere, om ministeriet har for-

holdt sig til de identificerede risici i perioden 2018-2021. For det tredje har vi under-

søgt, i hvilket omfang ministeriet i sit tilsyn anvender Energistyrelsens sektortilsyns-

rapporter om Energinet.

42. Vores gennemgang viser, at Klima-, Energi- og Forsyningsministeriet løbende har

spurgt ind til it-sikkerhed

–

både i forhold til det generelle billede af it-sikkerheden i

Energinets koncern og specifikt i forhold til outsourcingprojektet. Gennemgangen vi-

ser desuden, at ministeriet i sit tilsyn ikke i alle tilfælde har anvendt Energistyrelsens

sektortilsynsrapporter om Energinets outsourcing af driften af den forsyningskritiske

it-infrastruktur, da rapporterne forelå. Figur 2 viser en tidslinje over Klima-, Energi- og

Forsyningsministeriets tilsyn.

Ejertilsyn og sektortilsyn

Klima-, Energi- og Forsynings-

ministeriet fører ejertilsyn

med den overordnede udvik-

ling i Energinet, jf.

”Statens

ejerskabspolitik” og øvrig lov-

givning.

Energistyrelsen fører sektor-

tilsyn med Energinets virksom-

hed. Sektortilsynet udføres

bl.a. på baggrund af:

•

bekendtgørelse nr. 819 om

beredskab for elsektoren

•

bekendtgørelse nr. 820 om

it-beredskab for el- og na-

turgassektorerne

•

bekendtgørelse nr. 821 om

beredskab for naturgassek-

toren.

FIU, Alm.del - 2021-22 - Bilag 138: Beretning 14/2021 om energinets outsourcing af driften af forsyningskritisk it-infrastruktur

| Outsourcing af driften af den forsyningskritiske it-infrastruktur

Figur 2

Tidslinje over Klima-, Energi- og Forsyningsministeriets tilsyn

Ejertilsyn

April

2018

Sektortilsyn

Ministeren

understreger over for Energinet, at Energi-

net skal have fokus på it-sikkerhed, fordi Energinets it-

sikkerhed spiller en afgørende rolle i forhold til it-sikker-

hed i hele el- og naturgassektoren.

Ministeriet

bliver i Energinets kvartalsrapport gjort op-

mærksom på, at der er problemer med sikkerheden

hos Energinets leverandør i Filippinerne.

Ministeriet

spørger ind til generelle it-sikkerhedsforhold

i Energinet. Energinet forsikrer om, at de identificerede

forhold er mitigeret.

Ministeriet

spørger Energinet om it-sikkerheden i for-

bindelse med outsourcingprojektet. Energinet forsikrer

om, at Energinet har gjort sig grundige overvejelser

herom.

Ministeriet

stiller en række spørgsmål til Energinet som

opfølgning på Energistyrelsens tilsynsrapport fra 2018.

Energinet svarer hertil, at alle problemer er mitigeret.

Ministeriet

inddrager ikke Energistyrelsens tilsynsrap-

port i tilsynet.

Ministeriet

spørger Energinet om hændelser om tab af

kritisk it-infrastruktur.

Ministeriet

inddrager ikke Energistyrelsens tilsynsrap-

port i tilsynet.

Ministeriet

spørger ind til outsourcingprojektet.

Ministeriet

modtager Energistyrelsens vurdering af

Energinets outsourcingprojekt som opfølgning på et

notat fra Energinet til ministeriet vedrørende outsour-

cingprojektet. Ministeriet indskærper over for Energi-

net, at udfordringer i forhold til outsourcingprojektet

skal udbedres.

Det fremgår af

Energistyrelsens

tilsynsrapport fra

2020 (afgivet i 2021), at Energinet har sikkerheds-

mæssige udfordringer med outsourcingen.

Ministeriet

bliver informeret om resultaterne af Energi-

styrelsens tilsynsrapport fra 2018 (afgivet i 2019) af

Energinet. Tilsynet omtaler sikkerhedsmæssige udfor-

dringer.

Det fremgår af

Energistyrelsens

tilsynsrapport fra

2019 (afgivet i 2020), at Energinet har sikkerheds-

mæssige udfordringer på it-området.

September

2018

Marts

2019

Maj

2019

August-

september

2019

Januar

2020

November

2020

Januar

2021

Marts

2021

April

2021

Kilde:

Rigsrevisionen på baggrund af oplysninger fra Energistyrelsen og Klima-, Energi- og Forsyningsministeriet.

Det fremgår af figur 2, at Klima-, Energi- og Forsyningsministeriet flere gange blev

gjort opmærksom på risici vedrørende it-sikkerheden i Energinet, herunder vedrø-

rende outsourcingen. Det fremgår af figuren, at ministeriet fulgte op på disse risici

ved at stille spørgsmål til Energinet om it-sikkerheden. Ministeriet stillede bl.a. en

række spørgsmål til Energinet om it-sikkerhed som opfølgning på Energistyrelsens

tilsynsrapport fra 2018 (afgivet i 2019). Tilsynsrapporten omtalte sikkerhedsmæs-

sige udfordringer. Energinet svarede, at alle problemer var mitigeret.

FIU, Alm.del - 2021-22 - Bilag 138: Beretning 14/2021 om energinets outsourcing af driften af forsyningskritisk it-infrastruktur

Metodisk tilgang.. Metodisk tilgang

Outsourcing af driften af den forsyningskritiske it-infrastruktur |

Desuden fremgår det af Energistyrelsens tilsynsrapport fra 2020 (afgivet i 2021), at

Energinet havde sikkerhedsmæssige udfordringer med outsourcingen, jf. figur 2.

43. Klima-, Energi- og Forsyningsministeriet har oplyst, at ministeriet ikke har rekvire-

ret Energistyrelsens tilsynsrapporter fra den 21. august 2019 til foråret 2021, hvor Rigs-

revisionen anmodede om materialet i forbindelse med denne undersøgelse.

Rigsrevisionen bemærker, at Klima-, Energi- og Forsyningsministeriet i oktober 2019

indskærpede over for Energistyrelsen, at styrelsen skulle fremsende de færdige til-

synsrapporter, så snart de forelå.

Klima-, Energi- og Forsyningsministeriet har oplyst, at ministeriet ikke fik Energistyrel-

sens tilsynsrapporter, fordi ministeriet i overensstemmelse med

”Statens

ejerskabs-

politik” skelner mellem tilsynsforpligtelsen som ejerministerium og sektortilsynet, der

udføres af Energistyrelsen. Ministeriet har oplyst, at den anbefalede rollefordeling har

været implementeret i ministeriet siden 2019. Energistyrelsen er ifølge ministeriet kun

forpligtet til at forelægge tilsynsrapporten for Energinet. Ministeriet er dog enig i, at

ministeriets processer i forhold til brugen af sektortilsynet ikke har været klare.

44. Rigsrevisionen kan konstatere, at Klima-, Energi- og Forsyningsministeriet ikke har

inddraget Energistyrelsens tilsynsrapporter, der forelå i januar 2020 og i januar 2021.

45. Klima-, Energi- og Forsyningsministeriet har oplyst, at ministeriet efter igangsæt-

telsen af Rigsrevisionens undersøgelse i april 2021 har indskærpet over for Energinet,

at udfordringer i forhold til outsourcingprojektet skal udbedres. Ministeriet har herud-

over bedt Energistyrelsen om at fremskynde et tilsyn med Energinets it-beredskab.

Resultater

Undersøgelsen viser, at Klima-, Energi- og Forsyningsministeriet har ført et løbende

tilsyn med Energinets it-sikkerhed, men ikke har anvendt sin viden fuldt ud i tilsynet.

Undersøgelsen viser desuden, at Klima-, Energi- og Forsyningsministeriet løbende har

spurgt ind til it-sikkerheden i Energinet og i forhold til outsourcingprojektet.

Endelig viser undersøgelsen, at Klima-, Energi- og Forsyningsministeriet har intensive-

ret tilsynet med Energinets forsyningskritiske it-infrastruktur, da ministeriet blev op-

lyst om outsourcingens omfang i april 2021. Ministeriet har i sit tilsyn ikke i alle tilfælde

anvendt Energistyrelsens sektortilsynsrapporter om Energinet.

Rigsrevisionen, den 11. april 2022

Lone Strøm

/Claus Vejlø Thomsen

FIU, Alm.del - 2021-22 - Bilag 138: Beretning 14/2021 om energinets outsourcing af driften af forsyningskritisk it-infrastruktur

| Metodisk tilgang

Bilag 1. Metodisk tilgang

Formålet med undersøgelsen er at vurdere, om Klima-, Energi- og Forsyningsministe-

riet og Energinet har håndteret outsourcingen af driften af den forsyningskritiske it-

infrastruktur ansvarligt.

I undersøgelsen indgår Klima-, Energi- og Forsyningsministeriet og Energinet.

Undersøgelsen afgrænses primært til perioden fra 2018, hvor klima-, energi- og forsy-

ningsministeren understregede over for Energinet, at Energinet skulle have fokus på

it-sikkerhed, til april 2021, hvor Rigsrevisionen igangsatte undersøgelsen.

Energinet har desuden oplyst, at Energinet vurderer, at Rigsrevisionens beskrivelse

og behandling af it-sikkerhedsmæssige forhold i forbindelse med undersøgelsen af

outsourcingen af driften af den forsyningskritiske it-infrastruktur er fortrolige oplys-

ninger, som i særdeleshed i den nuværende sikkerhedssituation kan kompromittere

statens sikkerhed og rigets forsvar.

Rigsrevisionen har imødekommet Energinets ønske om fortrolighed. Beretningen in-

deholder således ingen konkrete beskrivelser af de it-sikkerhedsbrister, som Rigsre-

visionen konkluderer om. Det er Rigsrevisionens opfattelse, at beskrivelserne er på et

så overordnet niveau, at de i sig selv ikke kan anvendes til kompromitterende formål.

Undersøgelsen bygger på en gennemgang af dokumenter, herunder mødereferater

og mødemateriale fra bestyrelsesmøder i Forretningsservice A/S samt fra møder i

revisions- og risikoudvalget, it-udvalgsmøder, koncerndirektionsmøder og koncern-

bestyrelsesmøder.

Vi har desuden holdt møder med Klima-, Energi- og Forsyningsministeriet, Energisty-

relsen og Energinet for at få indsigt i området. Formålet med møderne har været at

stille spørgsmål til det udleverede materiale og at få en dybere forståelse for de for-

hold, vi har undersøgt.

For at undersøge, om Energinet har orienteret Klima-, Energi- og Forsyningsministe-

riet rettidigt om outsourcingen af driften af den forsyningskritiske it-infrastruktur (af-

snit 2.1), har vi gennemgået mødereferater og materiale fra bestyrelsesmøder i Forret-

ningsservice A/S samt fra it-udvalgsmøder, koncerndirektionsmøder, koncernbesty-

relsesmøder. Vi har desuden gennemgået materiale fra møder i revisions- og risiko-

udvalget og fra kvartalsmøder mellem ministeriet og Energinet.

For at undersøge, om Energinet har sikret sikkerheden i forbindelse med outsourcin-

gen (afsnit 2.2), har vi sammenholdt Energinets it-forhold med basale sikkerhedsmæs-

sige foranstaltninger. Herudover har vi gennemgået Energinets businesscase og risiko-

vurderinger. Vi har baseret vores revision på afrapporteringer til Energinet om it-for-

hold, som Rigsrevisionen afgav i november 2020 og i november 2021.

FIU, Alm.del - 2021-22 - Bilag 138: Beretning 14/2021 om energinets outsourcing af driften af forsyningskritisk it-infrastruktur

Metodisk tilgang |

For at undersøge, om Klima-, Energi- og Forsyningsministeriet har sikret tydelige ram-

mer for tilsynet med Energinets it-forhold (afsnit 2.3), har vi undersøgt ministeriets

ejerskabsdokumenter, retningslinjer for kommunikation mellem Energinet og ministe-

riet samt Energinets koncerninstruks.

For at undersøge, om Klima-, Energi- og Forsyningsministeriet har ført et tilstrække-

ligt løbende tilsyn med Energinets it-sikkerhed (afsnit 2.4), har vi gennemgået materia-

le til kvartalsmøder, herunder kvartalsrapporter fra Energinet og eventuelle forhånds-

orienteringer, som ministeriet har modtaget fra Energinet vedrørende it-området. Her-

udover har vi gennemgået Energistyrelsens sektortilsynsrapporter om Energinet.

Kvalitetssikring

Denne undersøgelse er kvalitetssikret via vores interne procedurer for kvalitetssik-

ring, som omfatter høring hos de reviderede samt ledelsesbehandling og sparring på

forskellige tidspunkter i undersøgelsesforløbet med chefer og medarbejdere i Rigsre-

visionen med relevante kompetencer.

Standarderne for offentlig revision

Revisionen er udført i overensstemmelse med standarderne for offentlig revision.

Standarderne fastlægger, hvad brugerne og offentligheden kan forvente af revisio-

nen, for at der er tale om en god faglig ydelse. Standarderne er baseret på de grund-

læggende revisionsprincipper i rigsrevisionernes internationale standarder (ISSAI

100-999).