FIU, Alm.del - 2021-22 - Bilag 179: Ministerredegørelse til beretning om Energinets outsourcing af driften af forsyningskritisk it-infrastruktur

Finansudvalget 2021-22
FIU Alm.del Bilag 179
Offentligt

Statsrevisorerne 2021-22

Beretning Nr. 14 Klima-, energi- og forsyningsministerens redegørelse af 2. juni 2022

Offentligt

Statsrevisorernes Sekretariat

Folketinget

Christiansborg

1240 København K

Ministeren

Dato

2. juni 2022

J nr.

2022 - 172

Klima-, energi- og forsyningsministerens redegørelse vedrørende Statsrevi-

sorernes beretning nr. 4/2021 om Energinets outsourcing af driften af

forsyningskritisk it-infrastruktur

I det følgende redegøres for de foranstaltninger og overvejelser, som Rigsrevisi-

onens beretning om Energinets outsourcing af driften af forsyningskritisk it-infra-

struktur og Statsrevisorernes bemærkninger herom giver anledning til.

Rigsrevisionen konkluderer i beretningen, at ”Klima-, Energi- og Forsyningsmini-

steriet og Energinet har samlet set ikke håndteret outsourcingen af driften af

den forsyningskritiske it-infrastruktur ansvarligt. Energinets beslutningsgrundlag

og implementering af outsourcingen har været kritisabel. Konsekvensen er, at

der er risiko for, at outsourcingen kan kompromittere forsyningssikkerheden.”

Energinet har ansvar for samfundsvigtig infrastruktur, så indledningsvis vil jeg

understrege, at det selvfølgelig er en kritik, der skal tages meget seriøst. Jeg har

derfor bedt Klima-, Energi- og Forsyningsministeriet om hurtigst muligt at igang-

sætte en række tiltag, så kritikken af Energinet og ministeriet imødekommes på

bedste vis. Tiltagene blev meddelt til Energinet den 22. april 2022.

De igangsatte tiltag er:



Klima-, Energi- og Forsyningsministeriet har sammensat en ekspertgruppe

med deltagelse af Energistyrelsen og Center for Cybersikkerhed. Gruppen

er i gang med at lægge en plan for, hvordan der bedst muligt sikres effektiv

fremdrift i opfølgningen på og udbedringen af den kritik af Energinets it-sik-

kerhed, som Rigsrevisionen har rejst. Jeg forventer, at Energinet er samar-

bejdsvillige i dette arbejde.

IT-området i Energinet er i dag placeret i datterselskabet Energinet Forret-

ningsservice A/S. Energinet pålægges at flytte IT-området til moderselska-

bet Energinet SOV.



Klima-, Energi- og

Forsyningsministeriet

Holmens Kanal 20

1060 København K

T: +45 3392 2800

E: [email protected]

www.kefm.dk

Side 1/4

FIU, Alm.del - 2021-22 - Bilag 179: Ministerredegørelse til beretning om Energinets outsourcing af driften af forsyningskritisk it-infrastruktur



Klima-, Energi- og Forsyningsministeriet vil præcisere ejerskabsdokumen-

terne for at sikre, at Energinets oplysningspligt entydigt afspejler lovgivnin-

gen, samt sikre en tydelig sondring mellem det ejermæssige tilsyn og sek-

tortilsynet.

Energinet pålægges at rapportere løbende om it-outsourcingen i en peri-

ode. Jeg forventer hertil fuld fokus på it-sikkerhed fra Energinets bestyrelse

og direktion.



Energinets bestyrelse er blevet anmodet om en udtalelse om de foranstaltninger

og overvejelser, som beretningen giver bestyrelsen anledning til. Bestyrelsens

udtalelse er vedlagt. Jeg noterer mig, at Energinets bestyrelse er af den hold-

ning, at Energinets ”gennemførte foranstaltninger og fremtidige tiltag - sammen

med de tiltag, der er initieret af klima-, energi- og forsyningsministeren - er hen-

sigtsmæssige og tilstrækkelige, og at yderligere betryggelse vil opnås i forbin-

delse med den fremadrettede håndtering, der valideres af eksterne eksperter”.

Mit primære fokus er at sikre, at de tiltag, som Energinet har gennemført, er

hensigtsmæssige og tiltrækkelige i forhold til Rigsrevisionens konklusion om, at

der er risiko for kompromittering af forsyningssikkerheden. Det vil den nedsatte

ekspertgruppe bidrage til at svare på. Jeg vil derfor afvente med at konkludere

på Energinets gennemførte tiltag, samt om der er behov for yderligere tiltag, til

ekspertgruppen har afsluttet sit arbejde.

I de følgende afsnit vil jeg adressere de konkrete kritikpunkter fra Rigsrevisionen

og Statsrevisorerne.

Energinet har ikke orienteret Klima-, Energi- og Forsyningsministeriet rettidigt

om outsourcingen

Jeg noterer mig Rigsrevisionens og Statsrevisorernes kritik af, at Energinet ikke

orienterede Klima-, Energi- og Forsyningsministeriet om outsourcingen inden

udbudsprocessen blev igangsat, hvorfor ministeriet ikke havde mulighed for

særskilt at vurdere outsourcingprojektet. Jeg er enig i, at Energinet burde have

orienteret ministeriet tidligere inden for den gældende udformning af oriente-

ringspligten. Jeg noterer mig, at Energinets bestyrelse udtaler følgende: ”Besty-

relsen er enig i, at Klima-, Energi- og Forsyningsministeriet hensigtsmæssigt

kunne have været orienteret inden den indledende konkurrencebaserede dialog

om outsourcingen blev igangsat. Energinet er dog af den overbevisning, at der

er tale om en driftsbeslutning, der ligger indenfor bestyrelsens kompetence. Af

denne årsag tilpassede Energinet tidsmæssigt orienteringen af ministeriet til den

kvartalsmæssige kadence for ministeriets tilsynsmøder med Energinet, hvorved

ministeriet var orienteret mere end et år før sourcingaftalen blev indgået.”

Side 2/4

FIU, Alm.del - 2021-22 - Bilag 179: Ministerredegørelse til beretning om Energinets outsourcing af driften af forsyningskritisk it-infrastruktur

Som beskrevet vil Klima-, Energi- og Forsyningsministeriet præcisere ejerskabs-

dokumenterne for at sikre, at Energinets oplysningspligt entydigt afspejler lov-

givningen. Dette arbejde er igangsat og vil inkludere en præcisering af beskri-

velsen af Energinets orienteringspligt ved henholdsvis løbende skriftlige oriente-

ringer og på tilsynsmøder.

Energinet har ikke sikret sikkerheden i forbindelse med outsourcingen

Jeg noterer mig Rigsrevisionens og Statsrevisorernes kritik af, at i) Energinet

ved forberedelsen ikke har risikovurderet outsourcingen i forhold til, om den sik-

rede tiltrækkelig offentlig kontrol med forsyningskritisk it-infrastruktur, at ii) Ener-

ginet i forbindelse med outsourcingen har gennemført en risikovurdering af it-

sikkerheden, der viser, at Energinet i en lang periode ikke vil kunne leve op til

gældende it-sikkerhedsmæssige krav, samt at iii) Rigsrevisionen har gjort op-

mærksom på alvorlige sikkerhedsbrister i både 2020 og 2021, som Energinet

ikke har rettet op på.

Jeg noterer mig, at Energinets bestyrelse bl.a. udtaler, at i) ”Energinet har i for-

bindelse med udbuddet taget højde for en række konkrete elementer, der sikrer

Energinets kontrol med og ejerskab af den forsyningskritiske it-infrastruktur.”, ii)

”der blev udarbejdet en risikoanalyse, hvorefter der var risiko for ikke at leve op

til alle gældende it-sikkerhedsmæssige krav. Der er i samme risikoanalyse op-

stillet en række mitigerende tiltag, hvoraf størstedelen på nuværende tidspunkt

er gennemført, mens der for andre er tale om en længerevarende indsats, der

vil blive fulgt til dørs i takt med at outsourcingen realiseres” og iii) ”Rigsrevisio-

nen har konstateret konkrete sikkerhedsudfordringer i forbindelse med nærvæ-

rende undersøgelse. Det er Energinets opfattelse, at der i al væsentlighed er

rettet op på disse eller gennemført alternative mitigerende tiltag.”

Som beskrevet er der nedsat en ekspertgruppe som vil lægge en plan for, hvor-

dan der bedst muligt sikres effektiv fremdrift i opfølgningen på og udbedringen

af den kritik af Energinets it-sikkerhed, som Rigsrevisionen har rejst. Ekspert-

gruppen har igangsat arbejdet og afholder første møde med den samlede delta-

gerkreds den 1. juni 2022. Jeg vil vente med at drage en konklusion i forhold til,

om Energinet har sikret sikkerheden, til ekspertgruppen har afsluttet sit arbejde.

Klima-, Energi- og Forsyningsministeriet har ikke fuldt ud sikret tydelige rammer

for tilsynet med Energinets it-forhold

Jeg noterer mig Rigsrevisionens og Statsrevisorernes kritik af, at Klima-, Energi-

og Forsyningsministeriet ikke i ejerskabsdokumenter, koncerninstruks e.l. har

gjort det tydeligt, hvornår og om hvilke større ændringer af forhold vedrørende

forsyningssikkerhed Energinet skal orientere ministeriet. Jeg tager kritikken til

efterretning og har som beskrevet igangsat en præcisering af Energinets oplys-

ningspligt i ejerskabsdokumenterne.

Side 3/4

FIU, Alm.del - 2021-22 - Bilag 179: Ministerredegørelse til beretning om Energinets outsourcing af driften af forsyningskritisk it-infrastruktur

Klima-, Energi- og Forsyningsministeriet har ført et løbende tilsyn med Energi-

nets it-sikkerhed, men har ikke anvendt sin viden fuldt ud

Jeg noterer mig Rigsrevisionens og Statsrevisorernes kritik af, at Klima-, Energi-

og Forsyningsministeriet i deres tilsyn ikke i alle tilfælde har anvendt Energisty-

relsens sektortilsynsrapporter om Energinet.

Varetagelsen af det ejermæssige tilsyn med Energinet og sektortilsynet har si-

den 2019 været organisatorisk adskilt i Klima-, Energi- og Forsyningsministeri-

ets departementet, som anbefalet i

Statens Ejerskabspolitik

. Jeg er enig i, at

der ikke har foreligget klare beskrivelser af delingen mellem det ejermæssige til-

syn og sektortilsynet. Der er derfor igangsat et arbejde, der skal sikre en klar be-

skrivelse af opdelingen af disse tilsynsopgaver.

Jeg forventer på baggrund af de igangsatte tiltag i både Energinet og i Klima-,

Energi- og Forsyningsministeriet, at der i 2022 vil være rettet op på de kritise-

rede forhold eller være iværksat de nødvendige tiltag, som skal sikre, at der ret-

tes op på de kritiserede forhold hurtigst muligt herefter.

En kopi af denne redegørelse er sendt til Rigsrevisionen.

Med venlig hilsen

Dan Jørgensen

I Statens Ejerskabspolitiks afsnit

2.4 Organiseringen af statens roller

fremgår der bl.a.

følgende anbefaling om organisering af statens roller: ”Ved placering af en ejerandel i et

ministerium, som samtidig varetager myndighedsopgaver i forhold til det pågældende

selskab, skal varetagelsen af statens ejerinteresser som hovedregel henlægges til dele

af ministeriet, der ikke er direkte involveret i varetagelsen af myndighedsopgaverne.”

Side 4/4