Klima-, Energi- og Forsyningsudvalget 2021-22
KEF Alm.del Bilag 361
Offentligt
2590965_0001.png
April 2022
— 14/2021
Rigsrevisionens beretning afgivet
til Folketinget med Statsrevisorernes
bemærkninger
Energinets outsourcing
af driften af forsynings-
kritisk it-infrastruktur
KEF, Alm.del - 2021-22 - Bilag 361: Statsrevisorernes beretning om Energinets beslutning om outsourcing af driften af forsyningskritisk it-infrastruktur
14/2021
Beretning om
Energinets outsourcing
af driften af forsynings-
kritisk it-infrastruktur
Statsrevisorerne fremsender denne beretning med
deres bemærkninger til Folketinget og vedkommende
minister, jf. § 3 i lov om statsrevisorerne og § 18, stk. 1,
i lov om revisionen af statens regnskaber m.m.
København 2022
Denne beretning til Folketinget skal behandles ifølge lov om revisionen af statens regnskaber, § 18:
Statsrevisorerne fremsender med deres bemærkning Rigsrevisionens beretning til Folketinget og ved kom-
mende minister.
Klima-, energi- og forsyningsministeren afgiver en redegørelse til beretningen.
Rigsrevisor afgiver et notat med bemærkninger til ministerens redegørelse.
På baggrund af ministerens redegørelse og rigsrevisors notat tager Statsrevisorerne endelig stilling til beret-
ningen, hvilket forventes at ske i august 2022.
Ministerens redegørelse, rigsrevisors bemærkninger og Statsrevisorernes eventuelle bemærkninger samles
i Statsrevisorernes Endelig betænkning over statsregnskabet, som årligt afgives til Folketinget i februar må -
ned
i dette tilfælde Endelig betænkning over statsregnskabet 2021, som afgives i februar 2023.
KEF, Alm.del - 2021-22 - Bilag 361: Statsrevisorernes beretning om Energinets beslutning om outsourcing af driften af forsyningskritisk it-infrastruktur
2590965_0003.png
Statsrevisorernes bemærkning tager udgangspunkt i denne karakterskala:
Karakterskala
Positiv kritik
finder det meget/særdeles positivt
finder det positivt
finder det tilfredsstillende/er tilfredse med
finder det ikke helt tilfredsstillende
finder det utilfredsstillende/er utilfredse med
påpeger/understreger/henstiller/forventer
beklager/finder det bekymrende/foruroligende
kritiserer/finder det kritisabelt/kritiserer skarpt/indskærper
påtaler/påtaler skarpt
påtaler skarpt og henleder særligt Folketingets opmærksomhed på
Kritik under middel
Middel kritik
Skarp kritik
Skarpeste kritik
Henvendelse vedrørende
denne publikation rettes til:
Statsrevisorerne
Folketinget
Christiansborg
1240 København K
Tlf.: 3337 5987
[email protected]
www.ft.dk/statsrevisorerne
Yderligere eksemplarer kan
købes ved henvendelse til:
Rosendahls Lager og Logistik
Vandtårnsvej 83A
2860 Søborg
Tlf.: 4322 7300
[email protected]
www.rosendahls.dk
ISSN 2245-3008
ISBN trykt 978-87-7434-755-2
ISBN online 978-87-7434-757-6
KEF, Alm.del - 2021-22 - Bilag 361: Statsrevisorernes beretning om Energinets beslutning om outsourcing af driften af forsyningskritisk it-infrastruktur
2590965_0004.png
Statsrevisorernes bemærkning
Statsrevisorernes
bemærkning
Statsrevisorerne
Beretning om Energinets outsourcing af driften
af forsyningskritisk it-infrastruktur
Energinet ejer og driver en stor del af dansk energiinfrastruktur. Energi-
net skal sikre en effektiv drift og udbygning af den overordnede infrastruk-
tur på el- og gasområdet og sikre åben og lige adgang for alle brugere af
nettene. Energinet er en selvstændig offentlig virksomhed, der er 100 %
ejet af staten for at sikre offentlig kontrol med den kritiske infrastruktur,
som energiforsyningen er. Det fremgår således af lov om Energinet, at den
overordnede infrastruktur, som varetages af Energinet, skal forblive i of-
fentligt eje.
Med henblik på at effektivisere og kvalitetssikre driften outsourcede Ener-
ginet i juni 2020 ca. 90 % af Energinets it-systemer, herunder driften af
den forsyningskritiske it-infrastruktur. Beslutningen blev taget på trods af
en meget høj risiko for cyberspionage og cyberkriminalitet i forhold til
Energinets it-infrastruktur og på trods af Rigsrevisionens gentagne påpeg-
ning af sikkerhedsrisici ved outsourcingen.
Statsrevisorerne finder det kritisabelt, at Energinet ikke i tide har ori-
enteret Klima-, Energi- og Forsyningsministeriet om outsourcingen,
selv om Energinet ifølge loven er forpligtet til at orientere om væsent-
lige forhold i Energinets virksomhed.
Statsrevisorerne finder, at klima-, energi- og forsyningsministeren bør
komme med sin redegørelse hurtigt og helst inden 1 måned, da Rigs-
revisionen både i 2020 og senest i november 2021 har konstateret al-
vorlige it-sikkerhedsbrister, som Energinet ikke har rettet op på.
Statsrevisorerne finder, at Klima-, Energi- og Forsyningsministeriets
og Energinets håndtering af outsourcingen af den forsyningskritiske
it-infrastruktur samlet set ikke har været ansvarlig. Ministeriet har
hverken sikret grundlaget for eller gennemført et tilstrækkeligt tilsyn
med Energinets forsyningskritiske it-forhold.
25. april 2022
Klaus Frandsen
Frank Aaen
Henrik Thorup
Mette Abildgaard
Leif Lahn Jensen
Troels Lund Poulsen
KEF, Alm.del - 2021-22 - Bilag 361: Statsrevisorernes beretning om Energinets beslutning om outsourcing af driften af forsyningskritisk it-infrastruktur
2590965_0005.png
Statsrevisorernes bemærkning
Statsrevisorerne kritiserer, at Energinets manglende håndtering af
sikkerhedsrisici før og under outsourcingforløbet har ført til en unø-
dig risiko for kompromittering af forsyningssikkerheden, da man i
2020 outsourcede driften af den forsyningskritiske it-infrastruktur.
Energinet har således ikke risikovurderet outsourcingen i forhold til,
om den sikrede tilstrækkelig offentlig kontrol.
Statsrevisorerne bemærker:
At Klima-, Energi- og Forsyningsministeriet ikke har haft mulighed for
at vurdere Energinets outsourcingprojekt, inden udbudsprocessen
blev igangsat, da Energinet ikke orienterede rettidigt.
At Energinets egen risikovurdering af it-sikkerheden i forbindelse med
outsourcingen har vist, at Energinet i lange perioder ikke har levet op
til gældende it-sikkerhedskrav. Hertil kommer, at Rigsrevisionen flere
gange har peget på endog alvorlige sikkerhedsproblemer.
At Klima-, Energi- og Forsyningsministeriet ikke i ejerskabsdokumen-
ter, koncerninstruks e.l. har gjort det tydeligt, hvornår og om hvilke
større ændringer af forhold vedrørende forsyningssikkerhed Energi-
net skal orientere ministeriet.
At Klima-, Energi- og Forsyningsministeriet løbende har ført tilsyn med
it-sikkerheden i Energinet, men ikke fuldt ud har gjort brug af tilgæn-
gelig viden fra fx sektortilsynsrapporterne.
KEF, Alm.del - 2021-22 - Bilag 361: Statsrevisorernes beretning om Energinets beslutning om outsourcing af driften af forsyningskritisk it-infrastruktur
Indholdsfortegnelse
1. Introduktion og konklusion
.......................................................................................................
1
1.1. Formål og konklusion
.......................................................................................................................
1
1.2. Baggrund
...............................................................................................................................................
4
1.3. Revisionskriterier, metode og afgrænsning
...........................................................................
6
2. Outsourcing af driften af den forsyningskritiske it-infrastruktur
.................................
9
2.1. Energinets beslutning om outsourcing
....................................................................................
9
2.2. Energinets håndtering af sikkerhed ved outsourcingen
...............................................
11
2.3. Rammer for Klima-, Energi- og Forsyningsministeriets tilsyn
....................................
13
2.4. Klima-, Energi- og Forsyningsministeriets løbende tilsyn
............................................
15
Bilag 1. Metodisk tilgang
.................................................................................................................................
18
KEF, Alm.del - 2021-22 - Bilag 361: Statsrevisorernes beretning om Energinets beslutning om outsourcing af driften af forsyningskritisk it-infrastruktur
Rigsrevisionen har selv taget initiativ til denne undersøgelse og af-
giver derfor beretningen til Statsrevisorerne i henhold til § 17, stk. 2,
i rigsrevisorloven, jf. lovbekendtgørelse nr. 101 af 19. januar 2012.
Rigsrevisionen har revideret regnskaberne efter § 2, stk. 1, nr. 1 og 3,
jf. § 3 i rigsrevisorloven.
Beretningen vedrører finanslovens § 29. Klima-, Energi- og Forsy-
ningsministeriet.
I undersøgelsesperioden har der været følgende ministre:
Lars Christian Lilleholt: juni 2015 - juni 2019
Dan Jørgensen: juni 2019 -
Beretningen har i udkast været forelagt Klima-, Energi- og Forsy-
ningsministeriet og Energinet, hvis bemærkninger er afspejlet i
beretningen.
KEF, Alm.del - 2021-22 - Bilag 361: Statsrevisorernes beretning om Energinets beslutning om outsourcing af driften af forsyningskritisk it-infrastruktur
2
|
Introduktion og konklusion.. Introduktion og konklusion
|
1.
Introduktion og konklusion |
1
1. Introduktion og
konklusion
1.1.
Formål og konklusion
Outsourcing
1. Denne beretning handler om Energinets beslutning om at outsource driften af forsy-
ningskritisk it-infrastruktur.
Energisektoren er en livsnerve i det moderne samfund. Den forsyningskritiske it-infra-
struktur har afgørende og direkte betydning for elforsyningen i Danmark og for centra-
le samfundskritiske funktioner. Derfor er det vigtigt, at den forsyningskritiske it-infra-
struktur er beskyttet, og at sikkerheden omkring it-infrastrukturen ikke kompromitte-
res. Når driften af den forsyningskritiske it-infrastruktur outsources, har den eksterne
leverandør mulighed for at påvirke funktioner, som understøtter elforsyningen. Når der
outsources, er det derfor vigtigt, at sikkerheden er i fokus, hvilket Energinet fortsat har
ansvaret for.
2. Det overordnede formål med det statslige ejerskab af Energinet er at sikre offentlig
kontrol med kritisk infrastruktur. Energinet varetager som systemoperatør en række
samfundsmæssigt centrale opgaver, som staten har en interesse i at have kontrol med.
3. Energinet er organiseret i en koncern med et moderselskab og 7 datterselskaber.
Koncernen blev omorganiseret i 2018. Omorganiseringen betød, at en del af selskabets
aktiviteter blev flyttet til datterselskaber og dermed længere væk fra ministerens kon-
trol. Som følge af omorganiseringen blev der vedtaget en lovændring i 2019, som skul-
le sikre, at ministerens indsigt i og kontrol med Energinets datterselskaber blev styrket.
Lovændringen gjorde det muligt at etablere en ubrudt styringskæde fra ministeren ned
til datterselskaberne.
4. Formålet med outsourcingen er ifølge Energinet at opnå økonomiske besparelser og
fordele, herunder en agil og fleksibel tilgang til opgaveløsningen, hurtigere leverancer,
skalerbart driftsmiljø, øgede kompetencer hos medarbejderne, som imødekommer
øgede krav fra it-miljøet, og bedre leverandørstyring med færre eksterne leverandører.
5. Center for Cybersikkerheds trusselsvurdering i 2020 viser, at der er en meget høj
risiko for cyberspionage og cyberkriminalitet i forhold til Energinets it-infrastruktur og
den øvrige forsyningssektor. Center for Cybersikkerhed vurderer, at fremmede stater
bl.a. har interesse i at stjæle informationer til at kunne styrke og udvikle deres egen
energisektor eller til brug i en eventuel politisk eller militær konflikt. Center for Cyber-
sikkerhed konstaterer, at der har været forsøg på kompromittering af den danske
energisektor.
Outsourcing betyder, at en
virksomhed køber ydelser,
som virksomheden hidtil selv
har varetaget, hos en ekstern
leverandør.
Drift af forsyningskritisk
it-infrastruktur
It-infrastrukturen er de dele af
et it-system, som er en forud-
sætning for, at øvrig software
og applikationer kan fungere
korrekt. It-infrastrukturen om-
fatter fx netværk, routere og
servere. Når en ekstern leve-
randør står for driften af den
forsyningskritiske it-infrastruk-
tur, kan leverandøren direkte
påvirke funktionaliteten af fx
netværk, routere og servere.
KEF, Alm.del - 2021-22 - Bilag 361: Statsrevisorernes beretning om Energinets beslutning om outsourcing af driften af forsyningskritisk it-infrastruktur
2
| Introduktion og konklusion
6. I maj 2021 blev USA’s største olieledning, Colonial Pipeline, ramt af et hackerangreb.
Angrebet betød, at rørledningens operatør i en periode blev nødt til at lukke ned for
olietransporten mellem Texas og New York med store konsekvenser for forsyningen.
Det er afgørende for forsyningssikkerheden, at den danske energisektor ikke bliver
kompromitteret på lignende vis.
7. Rigsrevisionen har flere gange over for Energinet rejst spørgsmål om og peget på
sikkerhedsrisici ved Energinets beslutning i januar 2019 om at outsource driften af den
forsyningskritiske it-infrastruktur. Rigsrevisionen tog initiativ til denne undersøgelse i
april 2021, fordi beslutningen om outsourcing efter Rigsrevisionens opfattelse var så
væsentlig, at Klima-, Energi- og Forsyningsministeriet på forhånd burde have været ori-
enteret om beslutningen. Det var dog på daværende tidspunkt uklart, om ministeriet
var blevet orienteret, inden Energinet i juni 2020 indgik en kontrakt om outsourcing.
8. Formålet med undersøgelsen er at vurdere, om Klima-, Energi- og Forsyningsmini-
steriet og Energinet har håndteret outsourcingen af driften af den forsyningskritiske
it-infrastruktur ansvarligt.
Væsentlige forhold, som
klima-, energi- og for-
syningsministeren skal
orienteres om som følge
af ændringen af lov om
Energinet i 2019
Væsentlige ændringer i
9. Energinet har oplyst, at Energinet er uenig med Rigsrevisionen i, at outsourcing af
driften af den forsyningskritiske it-infrastruktur er et væsentligt forhold, som Klima-,
Energi- og Forsyningsministeriet skulle have været orienteret om, inden udbudspro-
cessen blev igangsat.
Det er Rigsrevisionens opfattelse, at beslutningen om at outsource driften af den for-
syningskritiske it-infrastruktur er et væsentligt forhold, fordi formålet med det stats-
lige ejerskab af Energinet er at sikre offentlig kontrol med kritisk infrastruktur, og for-
di driften af den forsyningskritiske it-infrastruktur er afgørende for forsyningssikker-
heden.
10. Energinet har desuden oplyst, at Energinet vurderer, at Rigsrevisionens beskrivel-
se og behandling af it-sikkerhedsmæssige forhold i forbindelse med undersøgelsen af
outsourcingen af driften af den forsyningskritiske it-infrastruktur er fortrolige oplys-
ninger, som i særdeleshed i den nuværende sikkerhedssituation kan kompromittere
statens sikkerhed og rigets forsvar.
Rigsrevisionen har imødekommet Energinets ønske om fortrolighed. Beretningen in-
deholder således ingen konkrete beskrivelser af de it-sikkerhedsbrister, som Rigsre-
visionen konkluderer om. Det er Rigsrevisionens opfattelse, at beskrivelserne er på et
så overordnet niveau, at de i sig selv ikke kan anvendes til kompromitterende formål.
Energinets økonomi, her-
under indtægter, omkost-
ninger, kapitalpolstring og
risikoeksponering.
Større ændringer vedrø-
rende forsyningssikker-
hedsmæssige forhold.
Ændringer i Energinets
strategi og aktiviteter.
Forhold af politisk betyd-
ning.
KEF, Alm.del - 2021-22 - Bilag 361: Statsrevisorernes beretning om Energinets beslutning om outsourcing af driften af forsyningskritisk it-infrastruktur
2590965_0010.png
Introduktion og konklusion |
3
Hovedkonklusion
Klima-, Energi- og Forsyningsministeriet og Energinet har samlet set ikke
håndteret outsourcingen af driften af den forsyningskritiske it-infrastruk-
tur ansvarligt. Energinets beslutningsgrundlag og implementering af out-
sourcingen har været kritisabel. Konsekvensen er, at der er risiko for, at
outsourcingen kan kompromittere forsyningssikkerheden.
Energinet har ikke orienteret Klima-, Energi- og Forsyningsministeriet rettidigt om
outsourcingen
Energinet har ikke levet op til forpligtelserne om at orientere Klima-, Energi- og Forsy-
ningsministeriet rettidigt om væsentlige forhold. Ministeriet fik dermed ikke mulighed
for særskilt at vurdere Energinets outsourcingprojekt, inden udbudsprocessen blev
igangsat.
Energinet har ikke sikret sikkerheden i forbindelse med outsourcingen
Undersøgelsen viser, at Energinet ved forberedelsen ikke har risikovurderet outsour-
cingen i forhold til at sikre tilstrækkelig offentlig kontrol med forsyningskritisk it-infra-
struktur. Energinet har dog i forbindelse med gennemførelsen af outsourcingen fore-
taget en risikovurdering af it-sikkerheden, der viser, at Energinet i en lang periode ik-
ke vil kunne leve op til gældende it-sikkerhedsmæssige krav. Rigsrevisionen har kon-
stateret alvorlige sikkerhedsbrister i forbindelse med outsourcingen. Rigsrevisionen
har gjort opmærksom på sikkerhedsbristerne i både 2020 og 2021, men Energinet har
ikke rettet op herpå.
Klima-, Energi- og Forsyningsministeriet har ikke fuldt ud sikret tydelige rammer
for tilsynet med Energinets it-forhold
Klima-, Energi- og Forsyningsministeriets ejerskabsdokumenter understøtter ikke, at
ministeriet bliver orienteret om større ændringer af forsyningssikkerhedsmæssige for-
hold. Undersøgelsen viser, at ministeriet i sine ejerskabsdokumenter ikke kvalitativt
har beskrevet, hvilke oplysninger om forsyningssikkerhedsmæssige forhold ministe-
riet skal orienteres om. Dette fremgår heller ikke af Energinets koncerninstruks.
Klima-, Energi- og Forsyningsministeriet har ført et løbende tilsyn med Energinets
it-sikkerhed, men har ikke anvendt sin viden fuldt ud
Undersøgelsen viser, at Klima-, Energi- og Forsyningsministeriet løbende har forholdt
sig til it-sikkerhed på møder med Energinet, og at ministeriet har intensiveret tilsynet
med Energinets forsyningskritiske it-forhold, da ministeriet blev oplyst om outsourcin-
gens omfang i april 2021. Ministeriet har i sit tilsyn ikke i alle tilfælde anvendt Energi-
styrelsens sektortilsynsrapporter om Energinet, da rapporterne forelå.
KEF, Alm.del - 2021-22 - Bilag 361: Statsrevisorernes beretning om Energinets beslutning om outsourcing af driften af forsyningskritisk it-infrastruktur
2
|
Outsourcing af driften af den forsyningskritiske it-infrastruktur.. Outsourcing af driften af den forsyningskritiske it-infrastruktur
|
1.
4
| Introduktion og konklusion
1.2. Baggrund
Statens ejerskabspolitik
”Statens
ejerskabspolitik” er
en publikation, som Finansmi-
nisteriet udgav i 2015. Ejer-
skabspolitikken beskriver,
hvordan ministerierne skal
udøve statsligt ejerskab af
selvstændige offentlige virk-
somheder (SOV’er).
11. Energinet er en selvstændig offentlig virksomhed (SOV), der er 100
%
ejet af sta-
ten. Ejerskabet varetages af klima-, energi- og forsyningsministeren i henhold til lov
om Energinet og
”Statens
ejerskabspolitik”. Det overordnede formål med det statsli-
ge ejerskab af Energinet er at sikre offentlig kontrol med kritisk infrastruktur. Energi-
nets kerneopgaver er at eje, drive og udbygge den overordnede energiinfrastruktur
og at varetage hensyn til forsyningssikkerhed, klima og miljø.
12. Det fremgår af
”Statens
ejerskabspolitik”, at koncernbestyrelsen skal varetage
ejernes interesser med omhu og således træffe beslutninger ud fra, hvad der tjener
selskabet bedst. Koncernbestyrelsen har samtidig en forpligtelse til aktivt at medvir-
ke til, at forventningerne til selskabets forhold og udvikling er afstemt med ejerministe-
ren. Staten udøver sin indflydelse gennem klima-, energi- og forsyningsministerens ud-
pegning af bestyrelsesmedlemmer, som varetager Energinets overordnede og strate-
giske ledelse. Der etableres således armslængde mellem staten som ejer og Energi-
nets koncernbestyrelse.
13. Energinet er en koncern, som består af et moderselskab og 7 datterselskaber. Dat-
terselskaberne blev etableret i 2018 for at forankre de driftsrelaterede opgaver i un-
derselskaber, mens de myndighedslignende opgaver skulle forankres i moderselska-
bet. Strategiske beslutninger vedrørende Energinets kerneopgaver skulle fortsat ske
i moderselskabet.
Energinet har en koncernbestyrelse for moderselskabet, og hvert datterselskab har
sin egen bestyrelse. Koncernbestyrelsen er udpeget af klima-, energi- og forsynings-
ministeren, mens bestyrelserne i datterselskaberne består af generalforsamlingsvalg-
te medlemmer og medlemmer, der er valgt i henhold til lovgivningens regler om med-
arbejder- og/eller koncernrepræsentation i bestyrelsen.
Den daglige ledelse af moderselskabet varetages af en koncerndirektion, der er an-
sat af koncernbestyrelsen. Datterselskabernes bestyrelser ansætter ligeledes en di-
rektion til datterselskabet. Energinets koncerndirektion består af den administreren-
de direktør og finansdirektøren. Koncerndirektionen i Energinets moderselskab udgør
flertallet i bestyrelserne i de helejede datterselskaber. Med koncerndirektionens fler-
tal i bestyrelserne i datterselskaberne vil implementeringen af instruktionerne fra kli-
ma-, energi- og forsyningsministeren til datterselskaberne blive understøttet, så der
etableres en ubrudt styringskæde fra ministeren til datterselskaberne. Figur 1 viser
styringskæden mellem Klima-, Energi- og Forsyningsministeriet og Energinet samt
Energinets organisation.
KEF, Alm.del - 2021-22 - Bilag 361: Statsrevisorernes beretning om Energinets beslutning om outsourcing af driften af forsyningskritisk it-infrastruktur
2590965_0012.png
Introduktion og konklusion |
5
Figur 1
Styringskæde mellem Klima-, Energi- og Forsyningsministeriet og Energinet samt Energinets
organisation
Klima-, Energi- og
Forsyningsministeriet
Energinets
koncernbestyrelse
Energinets koncerndirektion og -stabe
HR, Strategi
og
Kommunikation
Innovation
og
Digitalisering
Koncernjura
Revisions- og
risikoudvalget
Koncernintern
revision
Teknik og Anlæg A/S
Forretningsservice A/S
Koncernøkonomi og
Business Support
It
Systemansvar
A/S
Eltransmission
A/S
Gastransmission
A/S
Gas Storage Denmark
A/S
DataHub
A/S
Note: De lysegrønne bokse er Energinets datterselskaber. Revisions- og risikoudvalget er et rådgivende udvalg, som refererer til koncernbestyrelsen.
Kilde:
Rigsrevisionen på baggrund af oplysninger fra Energinet.
Et af Energinets datterselskaber er Forretningsservice A/S, som blev etableret i 2018,
og som skal varetage administrative ydelser og it-ydelser i Energinetkoncernen. For-
retningsservice A/S traf i januar 2019 beslutning om at outsource driften af den forsy-
ningskritiske it-infrastruktur.
14. Energinet indgik i juni 2020 en kontrakt med KMD, som bl.a. indebar outsourcing
af driften af den forsyningskritiske it-infrastruktur. Beslutningen om outsourcing ved-
rører Energinets kerneopgave om at sikre forsyningssikkerheden i Danmark.
Outsourcingen omfatter ca. 90 % af Energinets it-systemer, herunder driften af den
forsyningskritiske it-infrastruktur. Outsourcingen indebærer, at den forsyningskriti-
ske it-infrastruktur fortsat er placeret fysisk i Energinet, men at hovedleverandøren
KMD og underleverandøren IBM er ansvarlige for driften og således har både fysisk
og virtuel adgang til at kunne påvirke de it-systemer, der styrer elforsyningen.
KEF, Alm.del - 2021-22 - Bilag 361: Statsrevisorernes beretning om Energinets beslutning om outsourcing af driften af forsyningskritisk it-infrastruktur
6
| Introduktion og konklusion
15. Energinet har tidligere outsourcet driften af den forsyningskritiske it-infrastruktur.
Energinet outsourcede nærmere bestemt driften af en række it-systemer til en leve-
randør i Filippinerne i 2014. Energinet afbrød dog samarbejdet i 2018, bl.a. på grund af
identificerede sikkerhedsbrister i forhold til den forsyningskritiske it-infrastruktur i
Danmark.
Energinet iværksatte sideløbende et nyt outsourcingprojekt i 2017, som i april 2021
blev foreløbigt afsluttet med overdragelsen af driften af den forsyningskritiske it-infra-
struktur til KMD og underleverandøren IBM. Overdragelsen af opgaven skulle være
sket i januar 2021, men blev efterfølgende rykket, da kompleksiteten var højere, end
det var forudsat ved indgåelsen af kontrakten. Det fremgår af Energinets interne sta-
tus på outsourcingprojektet fra marts 2022, at outsourcingen er yderligere forsinket
og forventes endeligt afsluttet i september 2023.
1.3. Revisionskriterier, metode og afgrænsning
Revisionskriterier
16. Formålet med undersøgelsen er at vurdere, om Klima-, Energi- og Forsyningsmini-
steriet og Energinet har håndteret outsourcingen af driften af den forsyningskritiske
it-infrastruktur ansvarligt.
17. Vi har opstillet 4 revisionskriterier for at besvare undersøgelsens formål.
For det første undersøger vi, om Energinet har orienteret Klima-, Energi- og Forsy-
ningsministeriet rettidigt om outsourcingen af driften af den forsyningskritiske it-infra-
struktur. Vi har taget udgangspunkt i lov om Energinet og lovbemærkningerne hertil,
som bl.a. fremgår af 2018/1 LSF 178. Det fremgår af lovens § 5, stk. 5, at Energinet skal
orientere klima-, energi- og forsyningsministeren om væsentlige forhold vedrørende
Energinets virksomhed. Dette fremgår ligeledes af Energinets vedtægter.
Det fremgår af lovbemærkningerne, at væsentlige forhold fx vil være større ændringer
af forsyningssikkerhedsmæssige forhold. Vi lægger til grund, at outsourcing af driften
af den forsyningskritiske it-infrastruktur er et væsentligt forhold, som Energinet skal
orientere Klima-, Energi- og Forsyningsministeriet om. Det skyldes, at formålet med
det statslige ejerskab af Energinet er at sikre offentlig kontrol med kritisk infrastruktur,
og at driften af den forsyningskritiske it-infrastruktur er afgørende for forsyningssik-
kerheden.
Det fremgår desuden af lovbemærkningerne, at der indsættes en eksplicit oplysnings-
pligt for Energinet over for klima-, energi- og forsyningsministeren foranlediget af den
ændrede organisering, hvor en del af selskabets aktiviteter er flyttet til datterselska-
ber og dermed længere væk fra ministerens kontrol. Oplysningspligten indsættes for
at sikre, at ministeren har et oplyst grundlag for at føre tilsyn med Energinet og i rette
tid kan træffe de nødvendige foranstaltninger for at imødegå et særligt forhold, hvis
der skulle opstå behov for det.
Med rettidig forstår vi, at outsourcingprojektet blev forelagt Klima-, Energi- og Forsy-
ningsministeriet, inden udbudsprocessen blev igangsat.
KEF, Alm.del - 2021-22 - Bilag 361: Statsrevisorernes beretning om Energinets beslutning om outsourcing af driften af forsyningskritisk it-infrastruktur
Introduktion og konklusion |
7
Vi undersøger for det andet, om Energinet har sikret sikkerheden i forbindelse med
outsourcingen af driften af den forsyningskritiske it-infrastruktur. Vi lægger til grund,
at det fremgår af Klima-, Energi- og Forsyningsministeriets strategiske ejerskabsdo-
kument, at det overordnede rationale for det statslige ejerskab af Energinet er at sik-
re offentlig kontrol med kritisk infrastruktur, og at Energinet som systemoperatør va-
retager en række samfundsmæssigt centrale opgaver, som staten har en interesse i
at føre kontrol med. Vi undersøger også, om Energinet har sikret helt basale sikker-
hedsmæssige foranstaltninger inden overdragelsen af driften af it-infrastrukturen til
forsyningskritiske systemer.
For det tredje undersøger vi, om Klima-, Energi- og Forsyningsministeriet har sikret ty-
delige rammer for tilsynet med Energinets it-forhold. Med tydelige rammer mener vi,
om ministeriet kvalitativt har beskrevet, hvilke væsentlige forhold ministeren skal ori-
enteres om.
Vi lægger til grund, at Klima-, Energi- og Forsyningsministeriet bør forholde sig til, hvil-
ke større ændringer af forsyningssikkerhedsmæssige forhold klima-, energi- og forsy-
ningsministeren skal orienteres om, og som koncernbestyrelsen skal beskrive i kon-
cerninstruksen. Vi har taget udgangspunkt i lov om Energinet og lovbemærkningerne
hertil. Det fremgår af lovens § 5, stk. 4, og lovbemærkningerne hertil, at Energinet fast-
sætter en koncerninstruks, der beskriver, hvilke beslutninger der på grund af deres
karakter altid skal træffes af koncernbestyrelsen i Energinet. Disse emner skal beskri-
ves kvalitativt i koncerninstruksen og godkendes af klima-, energi- og forsyningsmini-
steren.
Vi lægger også til grund, at Klima-, Energi- og Forsyningsministeriet skal anvende de
kommunikationsværktøjer i tilsynet, som fremgår af
”Statens
ejerskabspolitik”. Kom-
munikationsværktøjerne omfatter:
Strategisk ejerskabs-
dokument
Et strategisk ejerskabsdoku-
ment er et dokument, som
Klima-, Energi- og Forsynings-
ministeriet udarbejder som et
led i udøvelsen af statens ak-
tive ejerskabsrolle, og som
også anvendes i tilsynsrollen.
kvartalsmøder mellem Energinet og Klima-, Energi- og Forsyningsministeriet
årsrapporter og delårsrapporter
Energinets forhåndsorienteringer af klima-, energi- og forsyningsministeren.
Kommunikationsværktøjerne skal understøtte, at klima-, energi- og forsyningsmini-
steren orienteres om alle væsentlige forhold, herunder større ændringer af forsynings-
sikkerhedsmæssige forhold. Dette omfatter efter Rigsrevisionens opfattelse krav om
orientering om bl.a. større ændringer vedrørende forsyningskritiske it-systemer.
Vi undersøger for det fjerde, om Klima-, Energi- og Forsyningsministeriet har ført et til-
strækkeligt løbende tilsyn med Energinets it-sikkerhed. Ministeriet har et ressortan-
svar for forsyningssikkerhed og skal derfor bruge al den viden, som ministeriet har mu-
lighed for at få. Vi lægger derfor til grund, at Klima-, Energi- og Forsyningsministeriet
skal anvende den viden, som ministeriet får fra Energinet og fra Energistyrelsens til-
synsrapporter i ministeriets løbende tilsyn. Vi har taget udgangspunkt i lov om Energi-
net og de forudsætninger for ministeriets tilsyn, som er angivet i lovbemærkningerne
og i
”Statens
ejerskabspolitik”.
KEF, Alm.del - 2021-22 - Bilag 361: Statsrevisorernes beretning om Energinets beslutning om outsourcing af driften af forsyningskritisk it-infrastruktur
8
| Introduktion og konklusion
Metode
18. Undersøgelsen er baseret på dokumentgennemgang og møder med de revidere-
de. Formålet med møderne har været at stille spørgsmål til det udleverede materiale
og få en dybere forståelse for de forhold, som vi har undersøgt.
19. Vi har indhentet materiale fra Energinet og Klima-, Energi- og Forsyningsministe-
riet, som belyser beslutningsprocessen vedrørende outsourcing af driften af den for-
syningskritiske it-infrastruktur. Dette materiale omfatter bl.a. mødereferater og mate-
riale fra Forretningsservice A/S, koncerndirektionen, koncernbestyrelsen og revisions-
og risikoudvalget. Vi har desuden indhentet materiale og referater fra kvartalsmøder
mellem Energinet og Klima-, Energi- og Forsyningsministeriet. Endelig har vi indhentet
Energistyrelsens sektortilsynsrapporter om Energinet.
20. Revisionen er udført i overensstemmelse med standarderne for offentlig revision,
jf. bilag 1.
Afgrænsning
21. Undersøgelsen afgrænses primært til perioden fra 2018, hvor klima-, energi- og for-
syningsministeren understregede over for Energinet, at Energinet skulle have fokus på
it-sikkerhed, til april 2021, hvor Rigsrevisionen igangsatte undersøgelsen.
22. Energinet har oplyst, at Energinet vurderer, at Rigsrevisionens beskrivelse og be-
handling af it-sikkerhedsmæssige forhold i forbindelse med undersøgelsen af outsour-
cingen af driften af den forsyningskritiske it-infrastruktur er fortrolige oplysninger, som
i særdeleshed i den nuværende sikkerhedssituation kan kompromittere statens sik-
kerhed og rigets forsvar.
Rigsrevisionen har imødekommet Energinets ønske om fortrolighed. Beretningen inde-
holder således ingen konkrete beskrivelser af de it-sikkerhedsbrister, som Rigsrevisio-
nen konkluderer om. Det er Rigsrevisionens opfattelse, at beskrivelserne er på et så
overordnet niveau, at de i sig selv ikke kan anvendes til kompromitterende formål.
23. I bilag 1 er undersøgelsens metodiske tilgang beskrevet.
KEF, Alm.del - 2021-22 - Bilag 361: Statsrevisorernes beretning om Energinets beslutning om outsourcing af driften af forsyningskritisk it-infrastruktur
Outsourcing af driften af den forsyningskritiske it-infrastruktur |
9
2. Outsourcing af driften
af den forsyningskritiske
it-infrastruktur
24. Dette kapitel handler om, hvorvidt Energinet har orienteret Klima-, Energi- og For-
syningsministeriet rettidigt om outsourcingen af driften af den forsyningskritiske it-in-
frastruktur, hvorvidt Energinet har sikret sikkerheden i forbindelse med outsourcingen,
hvorvidt ministeriet har sikret tydelige rammer for tilsynet med Energinets it-forhold,
og hvorvidt ministeriet har ført et tilstrækkeligt tilsyn med Energinets it-sikkerhed.
2.1. Energinets beslutning om outsourcing
25. Vi har undersøgt, om Energinet har orienteret Klima-, Energi- og Forsyningsmini-
steriet rettidigt om outsourcingen af driften af den forsyningskritiske it-infrastruktur.
Det har vi gjort ved at undersøge beslutningskæden fra datterselskabet Forretnings-
service A/S til koncerndirektionen, fra koncerndirektionen til koncernbestyrelsen og
fra koncernbestyrelsen til ministeriet i forbindelse med beslutningen om outsourcing
i Energinet.
Vi har taget udgangspunkt i lov om Energinet og lovbemærkningerne hertil, som bl.a.
fremgår af 2018/1 LSF 178. Det fremgår af lovens § 5, stk. 5, at Energinet skal oriente-
re klima-, energi- og forsyningsministeren om væsentlige forhold vedrørende Energi-
nets virksomhed. Dette fremgår ligeledes af Energinets vedtægter.
Det fremgår af lovbemærkningerne, at væsentlige forhold fx vil være større ændringer
af forsyningssikkerhedsmæssige forhold. Vi lægger til grund, at outsourcing af driften
af den forsyningskritiske it-infrastruktur er et væsentligt forhold, som Energinet skal
orientere Klima-, Energi- og Forsyningsministeriet om. Det skyldes, at formålet med
det statslige ejerskab af Energinet er at sikre offentlig kontrol med kritisk infrastruk-
tur, og at driften af den forsyningskritiske it-infrastruktur er afgørende for forsynings-
sikkerheden.
Det fremgår af lovbemærkningerne, at der indsættes en eksplicit oplysningspligt for
Energinet over for klima-, energi- og forsyningsministeren foranlediget af den ændre-
de organisering, hvor en del af selskabets aktiviteter er flyttet til datterselskaber og
dermed længere væk fra ministerens kontrol. Oplysningspligten indsættes for at sik-
re, at ministeren har et oplyst grundlag for at føre tilsyn med Energinet og i rette tid
kan træffe de nødvendige foranstaltninger for at imødegå et særligt forhold, hvis der
skulle opstå behov for det.
KEF, Alm.del - 2021-22 - Bilag 361: Statsrevisorernes beretning om Energinets beslutning om outsourcing af driften af forsyningskritisk it-infrastruktur
10
| Outsourcing af driften af den forsyningskritiske it-infrastruktur
Med rettidig forstår vi, at outsourcingprojektet blev forelagt Klima-, Energi- og Forsy-
ningsministeriet, inden udbudsprocessen blev igangsat.
26. Vores gennemgang viser, at datterselskabet Forretningsservice
A/S’
bestyrelse,
som bl.a. består af koncerndirektionen, godkendte en businesscase for outsourcingen
i januar 2019, der omfattede driften af den forsyningskritiske it-infrastruktur. Det frem-
går af en intern korrespondance i Energinet, at Forretningsservice
A/S’
bestyrelse vur-
derede, at koncernbestyrelsen skulle orienteres om outsourcingen, inden den blev
igangsat. Dette er i overensstemmelse med Energinets koncerninstruks, hvor det frem-
går, at det kun er koncernbestyrelsen, der kan træffe beslutninger af usædvanlig art
eller af stor betydning.
27. Energinet har oplyst, at koncernbestyrelsen blev orienteret mundtligt om outsour-
cingprojektet under en bustur på en studietur i USA i januar 2019 og skriftligt på et mø-
de i koncernbestyrelsen den 23. maj 2019.
Vores gennemgang viser, at det ikke fremgår af det skriftlige materiale til mødet i kon-
cernbestyrelsen i maj 2019, at outsourcingen omfattede driften af den forsyningskriti-
ske it-infrastruktur. Det er Rigsrevisionens opfattelse, at det af materialet tydeligt bur-
de have fremgået, at der også var tale om outsourcing af driften af den forsyningskri-
tiske it-infrastruktur, så det var dokumenteret, at koncernbestyrelsen traf beslutnin-
gen på et fuldstændigt og oplyst grundlag.
Rigsrevisionen skal bemærke, at rigsrevisor på et møde i revisions- og risikoudvalget
i november 2020 påpegede, at det
ud fra det materiale, der var tilgået koncernbe-
styrelsen den 23. maj 2019
ikke var muligt at vurdere, hvor stor en del af driften af
den forsyningskritiske it-infrastruktur der skulle outsources.
Kvartalsmøder
Energinet og Klima-, Energi-
og Forsyningsministeriet hol-
der kvartalsvise møder, hvor
ministeriet orienteres om rele-
vante forhold vedrørende
Energinets virksomhed. Kvar-
talsmøderne skal holdes for at
sikre en løbende dialog mel-
lem ministeriet og Energinet
om selskabets økonomiske
udvikling, selskabets forvent-
ninger til og planer for den
kommende tid, selskabets ri-
sici og andre relevante emner.
28. Gennemgangen af referater fra kvartalsmøder mellem Energinet og Klima-, Ener-
gi- og Forsyningsministeriet viser, at ministeriet blev orienteret om outsourcingen den
28. maj 2019. Det fremgår ikke af mødematerialet, at outsourcingen vedrørte driften
af den forsyningskritiske it-infrastruktur. Det fremgår af mødereferatet, at ministeriet
spurgte ind til it-sikkerheden i forbindelse med outsourcingen af it-opgaver. Energinet
forsikrede ministeriet om, at Energinet i forbindelse med outsourcingen havde gjort
sig grundige overvejelser i forhold til it-sikkerhed.
Klima-, Energi- og Forsyningsministeriet har oplyst, at ministeriet ikke betragter den-
ne orientering som en orientering om outsourcingen af driften af den forsyningskriti-
ske it-infrastruktur.
Energinet har oplyst, at Energinet løbende har orienteret Klima-, Energi- og Forsy-
ningsministeriet om outsourcingprojektet på møder, og at Energinet på et møde den
5. september 2019 gennemgik en kvartalsrapport, hvori risikorapporteringen vedrø-
rende outsourcingprojektet indgik.
Rigsrevisionen kan konstatere, at det ikke fremgår af referatet fra mødet den 5. sep-
tember 2019, at risikorapporteringen vedrørende outsourcingprojektet blev gennem-
gået.
KEF, Alm.del - 2021-22 - Bilag 361: Statsrevisorernes beretning om Energinets beslutning om outsourcing af driften af forsyningskritisk it-infrastruktur
Outsourcing af driften af den forsyningskritiske it-infrastruktur |
11
Energinet har oplyst, at Energinet ikke vurderer, at der er tale om en strategisk beslut-
ning eller et væsentligt forhold, som Klima-, Energi- og Forsyningsministeriet skal ori-
enteres om.
Klima-, Energi- og Forsyningsministeriet har oplyst, at ministeriet først blev orienteret
om outsourcingens omfang på et møde med Energinet i april 2021. Ministeriet har des-
uden oplyst, at beslutningen om outsourcing af driften af den forsyningskritiske it-in-
frastruktur helt entydigt er omfattet af orienteringspligten om væsentlige forhold, der
følger af lov om Energinet.
29. Det er Rigsrevisionens opfattelse, at Energinet burde have orienteret Klima-, Ener-
gi- og Forsyningsministeriet i januar 2019, så ministeriet havde mulighed for at forhol-
de sig til beslutningen, inden udbudsprocessen blev igangsat.
Resultater
Undersøgelsen viser, at Energinet ikke har orienteret Klima-, Energi- og Forsyningsmi-
nisteriet rettidigt om outsourcingen af driften af den forsyningskritiske it-infrastruktur.
På trods af at outsourcingen var et væsentligt forhold, blev Klima-, Energi- og Forsy-
ningsministeriet først orienteret, efter udbudsprocessen var igangsat.
2.2. Energinets håndtering af sikkerhed ved outsourcin-
gen
30. Vi har undersøgt, om Energinet har sikret sikkerheden i forbindelse med outsour-
cingen af driften af den forsyningskritiske it-infrastruktur. Vi har desuden undersøgt,
om Energinet ved forberedelsen af outsourcingen har vurderet, hvilken betydning out-
sourcingen ville få for den offentlige kontrol med forsyningskritisk it-infrastruktur. En-
delig har vi undersøgt, om Energinet har sikret helt basale sikkerhedsmæssige foran-
staltninger inden outsourcingen.
Offentlig kontrol med kritisk infrastruktur
31. Det fremgår af Klima-, Energi- og Forsyningsministeriets strategiske ejerskabsdo-
kument, at det overordnede rationale for det statslige ejerskab af Energinet er at sik-
re offentlig kontrol med kritisk infrastruktur, og at Energinet som systemoperatør va-
retager en række samfundsmæssigt centrale opgaver, som staten har en interesse i
at have kontrol med.
32. Vi har undersøgt, om Energinet ved forberedelsen af outsourcingen af driften af
den forsyningskritiske it-infrastruktur har vurderet, hvilken betydning outsourcingen
ville få for den offentlige kontrol med forsyningskritisk it-infrastruktur.
KEF, Alm.del - 2021-22 - Bilag 361: Statsrevisorernes beretning om Energinets beslutning om outsourcing af driften af forsyningskritisk it-infrastruktur
12
| Outsourcing af driften af den forsyningskritiske it-infrastruktur
33. Vores gennemgang viser, at Energinet ved forberedelsen ikke har risikovurderet
outsourcingen af driften af den forsyningskritiske it-infrastruktur i forhold til Energi-
nets formål om at bevare den offentlige kontrol af forsyningskritisk it-infrastruktur.
Gennemgangen viser, at den businesscase, der lå til grund for beslutningen om at out-
source driften af den forsyningskritiske it-infrastruktur i januar 2019, indeholder en
beskrivelse af risici for gennemførelsen af outsourcingen. Businesscasen beskriver ri-
sici i forhold til overholdelse af fremdriften, den overordnede tidsplan, kompetencer
og den interne organisering. Der fremgår ikke overvejelser i businesscasen om out-
sourcingens risici for den offentlige kontrol med forsyningskritisk it-infrastruktur.
Gennemgangen viser desuden, at Energinet i forbindelse med gennemførelsen af out-
sourcingen i januar 2021 foretog en risikovurdering af it-sikkerheden. Risikovurderin-
gen viste, at Energinet i en lang periode ikke ville kunne leve op til gældende it-sikker-
hedsmæssige krav.
34. Det er Rigsrevisionens opfattelse, at Energinet burde have foretaget en analyse af,
om Energinet ved outsourcingen samtidig ville kunne bevare en tilstrækkelig offentlig
kontrol med forsyningskritisk it-infrastruktur. Rigsrevisionen bemærker, at Energisty-
relsen i tilsynsrapporten fra januar 2021 om Energinets it-beredskab udtrykte bekym-
ring for outsourcingen.
Konstaterede sikkerhedsrisici
35. Vi har undersøgt, om Energinet har sikret helt basale sikkerhedsmæssige foran-
staltninger inden overdragelsen af driften af it-infrastrukturen til forsyningskritiske sy-
stemer.
36. Vores gennemgang viser, at Energinets risikovurdering fra januar 2021 viste, at
Energinet i en lang periode ikke ville kunne leve op til gældende it-sikkerhedsmæssige
krav.
37. Rigsrevisionen har endvidere konstateret alvorlige sikkerhedsbrister i forbindelse
med outsourcingen. Rigsrevisionen har gjort Energinet opmærksom på sikkerhedsbri-
sterne i november 2020 og i november 2021, men Energinet har ikke rettet op herpå.
Resultater
Undersøgelsen viser, at Energinet ikke har sikret sikkerheden i forbindelse med out-
sourcingen af driften af den forsyningskritiske it-infrastruktur.
Undersøgelsen viser desuden, at Energinet ved forberedelsen ikke har risikovurderet
outsourcingen i forhold til at sikre tilstrækkelig offentlig kontrol med den forsyningskri-
tiske it-infrastruktur. Energinet har dog i forbindelse med gennemførelsen af outsour-
cingen foretaget en risikovurdering af it-sikkerheden. Risikovurderingen viste, at Ener-
ginet i en lang periode ikke ville kunne leve op til gældende it-sikkerhedsmæssige krav.
Endelig viser undersøgelsen, at der er konstateret alvorlige sikkerhedsbrister i forbin-
delse med Energinets outsourcing. Rigsrevisionen har gjort Energinet opmærksom på
sikkerhedsbristerne i november 2020 og i november 2021, men Energinet har ikke ret-
tet op herpå.
KEF, Alm.del - 2021-22 - Bilag 361: Statsrevisorernes beretning om Energinets beslutning om outsourcing af driften af forsyningskritisk it-infrastruktur
Outsourcing af driften af den forsyningskritiske it-infrastruktur |
13
2.3. Rammer for Klima-, Energi- og Forsyningsministe-
riets tilsyn
38. Vi har undersøgt, om Klima-, Energi- og Forsyningsministeriet har sikret tydelige
rammer for tilsynet med Energinets it-forhold. Med tydelige rammer mener vi, om mi-
nisteriet kvalitativt har beskrevet, hvilke væsentlige forhold klima-, energi- og forsy-
ningsministeren skal orienteres om.
Vi har lagt til grund, at Klima-, Energi- og Forsyningsministeriet bør forholde sig til, hvil-
ke større ændringer af forsyningssikkerhedsmæssige forhold klima-, energi- og forsy-
ningsministeren skal orienteres om, og som koncernbestyrelsen skal beskrive i kon-
cerninstruksen.
Vi har taget udgangspunkt i lov om Energinet og lovbemærkningerne hertil. Det frem-
går af lovens § 5, stk. 4, og af lovbemærkningerne hertil, at Energinet fastsætter en
koncerninstruks, der beskriver, hvilke beslutninger der på grund af deres karakter al-
tid skal træffes af koncernbestyrelsen i Energinet. Disse emner skal beskrives kvalita-
tivt i koncerninstruksen og godkendes af klima-, energi- og forsyningsministeren.
Herudover fremgår det af lov om Energinet, at klima-, energi- og forsyningsministe-
ren kan træffe beslutning om ethvert forhold vedrørende Energinets anliggender. Det
fremgår af lovbemærkningerne, at det forudsættes, at ministeren ikke træffer beslut-
ning i et sådant omfang, at der herved sker en overtagelse af den faktiske ledelse af
Energinet fra bestyrelse og direktion. Dette svarer til de ejerskabsbeføjelser, som frem-
går af
”Statens
ejerskabspolitik”.
Vi har også lagt til grund, at Klima-, Energi- og Forsyningsministeriet skal anvende de
kommunikationsværktøjer i tilsynet, som fremgår af
”Statens
ejerskabspolitik”. Kom-
munikationsværktøjerne omfatter:
kvartalsmøder mellem Energinet og Klima-, Energi- og Forsyningsministeriet
årsrapporter og delårsrapporter
Energinets forhåndsorienteringer af klima-, energi- og forsyningsministeren.
Det fremgår af
”Statens
ejerskabspolitik”, at der skal holdes regelmæssige møder for
at sikre en løbende dialog mellem ejerministeriet og selskabet om selskabets økono-
miske udvikling, selskabets forventninger til og planer for den kommende tid, selska-
bets risici og andre relevante emner. Herudover er års- og delårsrapporter den primæ-
re kilde til information om et selskabs udvikling og økonomiske stilling for selskabets
ejere, kreditorer og andre interessenter. Ligeledes fremgår det af ejerskabspolitikken,
at selskabet er forpligtet til at forhåndsorientere ejerministeren om forhold, som er af
væsentlig betydning for selskabet, og at give ministeren information, hvis der anmodes
herom. I eneejede statslige selskaber skal orienteringen af ejerministeren følge et
”in-
gen overraskelser”-princip. Dette indebærer, at bestyrelsen i eneejede selskaber er
forpligtet til at forhåndsorientere ministeren om sager, der er af væsentlig eller princi-
piel betydning i forhold til selskabets virksomhed.
KEF, Alm.del - 2021-22 - Bilag 361: Statsrevisorernes beretning om Energinets beslutning om outsourcing af driften af forsyningskritisk it-infrastruktur
14
| Outsourcing af driften af den forsyningskritiske it-infrastruktur
Kommunikationsværktøjerne skal understøtte, at klima-, energi- og forsyningsministe-
ren orienteres om alle væsentlige forhold, herunder større ændringer af forsyningssik-
kerhedsmæssige forhold. Dette omfatter efter Rigsrevisionens opfattelse krav om ori-
entering om bl.a. større ændringer vedrørende forsyningskritiske it-systemer.
39. Vores gennemgang af Klima-, Energi- og Forsyningsministeriets ejerskabsdoku-
menter, herunder ministeriets retningslinjer for kommunikation mellem Energinet og
ministeriet, viser, at dokumenterne ikke kvalitativt beskriver, hvilke større ændringer
af forsyningssikkerhedsmæssige forhold ministeriet skal orienteres om. Ministeriet
har derfor ikke forholdt sig til, hvilke større ændringer af forsyningsmæssige forhold
klima-, energi- og forsyningsministeren skal orienteres om.
Energinets koncerninstruks indeholder heller ikke en kvalitativ beskrivelse af større
ændringer af forsyningssikkerhedsmæssige forhold. Koncerninstruksen understøtter
derfor heller ikke, at klima-, energi- og forsyningsministeren bliver orienteret om stør-
re ændringer af forsyningssikkerhedsmæssige forhold.
Det er Rigsrevisionens opfattelse, at det ikke er udmøntet konkret, hvornår Klima-,
Energi- og Forsyningsministeriet skal orienteres om større ændringer af forsyningssik-
kerhedsmæssige forhold i forbindelse med rapportering til og drøftelse på kvartalsmø-
der og i forbindelse med forhåndsorienteringer af ministeren. Ministeriets ejerskabs-
dokumenter understøtter derfor ikke, at ministeriet bliver orienteret om bl.a. ændrin-
ger, der vedrører forsyningskritisk it-infrastruktur.
Resultater
Undersøgelsen viser, at Klima-, Energi- og Forsyningsministeriet ikke fuldt ud har sik-
ret tydelige rammer for tilsynet med Energinets it-forhold.
Undersøgelsen viser desuden, at Klima-, Energi- og Forsyningsministeriet ikke kvalita-
tivt har beskrevet, hvilke større ændringer af forsyningssikkerhedsmæssige forhold
klima-, energi- og forsyningsministeren skal orienteres om. Ministeriets ejerskabsdo-
kumenter har ikke beskrevet de større ændringer af forsyningssikkerhedsmæssige
forhold, som ministeriet forventer at blive orienteret om.
Endelig viser undersøgelsen, at Energinets koncerninstruks ikke indeholder en kvali-
tativ beskrivelse af de forsyningssikkerhedsmæssige forhold, som klima-, energi- og
forsyningsministeren skal orienteres om.
KEF, Alm.del - 2021-22 - Bilag 361: Statsrevisorernes beretning om Energinets beslutning om outsourcing af driften af forsyningskritisk it-infrastruktur
Outsourcing af driften af den forsyningskritiske it-infrastruktur |
15
2.4. Klima-, Energi- og Forsyningsministeriets løbende
tilsyn
40. Vi har undersøgt, om Klima-, Energi- og Forsyningsministeriet har ført et tilstræk-
keligt løbende tilsyn med Energinets it-sikkerhed. Ministeriet har et ressortansvar for
forsyningssikkerhed og skal derfor bruge al den viden, som ministeriet har mulighed
for at få.
Vi har derfor lagt til grund, at Klima-, Energi- og Forsyningsministeriet skal anvende
den viden, som ministeriet får fra Energinet og fra Energistyrelsens tilsynsrapporter i
ministeriets løbende tilsyn. Vi har taget udgangspunkt i lov om Energinet og de forud-
sætninger for ministeriets tilsyn, som er angivet i lovbemærkningerne og i
”Statens
ejerskabspolitik”.
41. Klima-, Energi- og Forsyningsministeriet holder kvartalsmøder med Energinet, hvor
bl.a. Energinets kvartalsrapporter bliver drøftet. Da det ikke i ejerskabsdokumenterne
er udmøntet konkret, hvilke større ændringer af forsyningssikkerhedsmæssige for-
hold ministeriet skal orienteres om, har vi undersøgt, hvordan ministeriet har udført
det løbende tilsyn.
For det første har vi gennemgået de informationer, som Energinet har givet Klima-,
Energi- og Forsyningsministeriet om it-forhold. For det andet har vi gennemgået ma-
teriale fra møder mellem ministeriet og Energinet for at vurdere, om ministeriet har for-
holdt sig til de identificerede risici i perioden 2018-2021. For det tredje har vi under-
søgt, i hvilket omfang ministeriet i sit tilsyn anvender Energistyrelsens sektortilsyns-
rapporter om Energinet.
42. Vores gennemgang viser, at Klima-, Energi- og Forsyningsministeriet løbende har
spurgt ind til it-sikkerhed
både i forhold til det generelle billede af it-sikkerheden i
Energinets koncern og specifikt i forhold til outsourcingprojektet. Gennemgangen vi-
ser desuden, at ministeriet i sit tilsyn ikke i alle tilfælde har anvendt Energistyrelsens
sektortilsynsrapporter om Energinets outsourcing af driften af den forsyningskritiske
it-infrastruktur, da rapporterne forelå. Figur 2 viser en tidslinje over Klima-, Energi- og
Forsyningsministeriets tilsyn.
Ejertilsyn og sektortilsyn
Klima-, Energi- og Forsynings-
ministeriet fører ejertilsyn
med den overordnede udvik-
ling i Energinet, jf.
”Statens
ejerskabspolitik” og øvrig lov-
givning.
Energistyrelsen fører sektor-
tilsyn med Energinets virksom-
hed. Sektortilsynet udføres
bl.a. på baggrund af:
bekendtgørelse nr. 819 om
beredskab for elsektoren
bekendtgørelse nr. 820 om
it-beredskab for el- og na-
turgassektorerne
bekendtgørelse nr. 821 om
beredskab for naturgassek-
toren.
KEF, Alm.del - 2021-22 - Bilag 361: Statsrevisorernes beretning om Energinets beslutning om outsourcing af driften af forsyningskritisk it-infrastruktur
2590965_0023.png
16
| Outsourcing af driften af den forsyningskritiske it-infrastruktur
Figur 2
Tidslinje over Klima-, Energi- og Forsyningsministeriets tilsyn
Ejertilsyn
April
2018
Sektortilsyn
Ministeren
understreger over for Energinet, at Energi-
net skal have fokus på it-sikkerhed, fordi Energinets it-
sikkerhed spiller en afgørende rolle i forhold til it-sikker-
hed i hele el- og naturgassektoren.
Ministeriet
bliver i Energinets kvartalsrapport gjort op-
mærksom på, at der er problemer med sikkerheden
hos Energinets leverandør i Filippinerne.
Ministeriet
spørger ind til generelle it-sikkerhedsforhold
i Energinet. Energinet forsikrer om, at de identificerede
forhold er mitigeret.
Ministeriet
spørger Energinet om it-sikkerheden i for-
bindelse med outsourcingprojektet. Energinet forsikrer
om, at Energinet har gjort sig grundige overvejelser
herom.
Ministeriet
stiller en række spørgsmål til Energinet som
opfølgning på Energistyrelsens tilsynsrapport fra 2018.
Energinet svarer hertil, at alle problemer er mitigeret.
Ministeriet
inddrager ikke Energistyrelsens tilsynsrap-
port i tilsynet.
Ministeriet
spørger Energinet om hændelser om tab af
kritisk it-infrastruktur.
Ministeriet
inddrager ikke Energistyrelsens tilsynsrap-
port i tilsynet.
Ministeriet
spørger ind til outsourcingprojektet.
Ministeriet
modtager Energistyrelsens vurdering af
Energinets outsourcingprojekt som opfølgning på et
notat fra Energinet til ministeriet vedrørende outsour-
cingprojektet. Ministeriet indskærper over for Energi-
net, at udfordringer i forhold til outsourcingprojektet
skal udbedres.
Det fremgår af
Energistyrelsens
tilsynsrapport fra
2020 (afgivet i 2021), at Energinet har sikkerheds-
mæssige udfordringer med outsourcingen.
Ministeriet
bliver informeret om resultaterne af Energi-
styrelsens tilsynsrapport fra 2018 (afgivet i 2019) af
Energinet. Tilsynet omtaler sikkerhedsmæssige udfor-
dringer.
Det fremgår af
Energistyrelsens
tilsynsrapport fra
2019 (afgivet i 2020), at Energinet har sikkerheds-
mæssige udfordringer på it-området.
September
2018
Marts
2019
Maj
2019
August-
september
2019
Januar
2020
November
2020
Januar
2021
Marts
2021
April
2021
Kilde:
Rigsrevisionen på baggrund af oplysninger fra Energistyrelsen og Klima-, Energi- og Forsyningsministeriet.
Det fremgår af figur 2, at Klima-, Energi- og Forsyningsministeriet flere gange blev
gjort opmærksom på risici vedrørende it-sikkerheden i Energinet, herunder vedrø-
rende outsourcingen. Det fremgår af figuren, at ministeriet fulgte op på disse risici
ved at stille spørgsmål til Energinet om it-sikkerheden. Ministeriet stillede bl.a. en
række spørgsmål til Energinet om it-sikkerhed som opfølgning på Energistyrelsens
tilsynsrapport fra 2018 (afgivet i 2019). Tilsynsrapporten omtalte sikkerhedsmæs-
sige udfordringer. Energinet svarede, at alle problemer var mitigeret.
KEF, Alm.del - 2021-22 - Bilag 361: Statsrevisorernes beretning om Energinets beslutning om outsourcing af driften af forsyningskritisk it-infrastruktur
2
|
Metodisk tilgang.. Metodisk tilgang
|
1.
Outsourcing af driften af den forsyningskritiske it-infrastruktur |
17
Desuden fremgår det af Energistyrelsens tilsynsrapport fra 2020 (afgivet i 2021), at
Energinet havde sikkerhedsmæssige udfordringer med outsourcingen, jf. figur 2.
43. Klima-, Energi- og Forsyningsministeriet har oplyst, at ministeriet ikke har rekvire-
ret Energistyrelsens tilsynsrapporter fra den 21. august 2019 til foråret 2021, hvor Rigs-
revisionen anmodede om materialet i forbindelse med denne undersøgelse.
Rigsrevisionen bemærker, at Klima-, Energi- og Forsyningsministeriet i oktober 2019
indskærpede over for Energistyrelsen, at styrelsen skulle fremsende de færdige til-
synsrapporter, så snart de forelå.
Klima-, Energi- og Forsyningsministeriet har oplyst, at ministeriet ikke fik Energistyrel-
sens tilsynsrapporter, fordi ministeriet i overensstemmelse med
”Statens
ejerskabs-
politik” skelner mellem tilsynsforpligtelsen som ejerministerium og sektortilsynet, der
udføres af Energistyrelsen. Ministeriet har oplyst, at den anbefalede rollefordeling har
været implementeret i ministeriet siden 2019. Energistyrelsen er ifølge ministeriet kun
forpligtet til at forelægge tilsynsrapporten for Energinet. Ministeriet er dog enig i, at
ministeriets processer i forhold til brugen af sektortilsynet ikke har været klare.
44. Rigsrevisionen kan konstatere, at Klima-, Energi- og Forsyningsministeriet ikke har
inddraget Energistyrelsens tilsynsrapporter, der forelå i januar 2020 og i januar 2021.
45. Klima-, Energi- og Forsyningsministeriet har oplyst, at ministeriet efter igangsæt-
telsen af Rigsrevisionens undersøgelse i april 2021 har indskærpet over for Energinet,
at udfordringer i forhold til outsourcingprojektet skal udbedres. Ministeriet har herud-
over bedt Energistyrelsen om at fremskynde et tilsyn med Energinets it-beredskab.
Resultater
Undersøgelsen viser, at Klima-, Energi- og Forsyningsministeriet har ført et løbende
tilsyn med Energinets it-sikkerhed, men ikke har anvendt sin viden fuldt ud i tilsynet.
Undersøgelsen viser desuden, at Klima-, Energi- og Forsyningsministeriet løbende har
spurgt ind til it-sikkerheden i Energinet og i forhold til outsourcingprojektet.
Endelig viser undersøgelsen, at Klima-, Energi- og Forsyningsministeriet har intensive-
ret tilsynet med Energinets forsyningskritiske it-infrastruktur, da ministeriet blev op-
lyst om outsourcingens omfang i april 2021. Ministeriet har i sit tilsyn ikke i alle tilfælde
anvendt Energistyrelsens sektortilsynsrapporter om Energinet.
Rigsrevisionen, den 11. april 2022
Lone Strøm
/Claus Vejlø Thomsen
KEF, Alm.del - 2021-22 - Bilag 361: Statsrevisorernes beretning om Energinets beslutning om outsourcing af driften af forsyningskritisk it-infrastruktur
18
| Metodisk tilgang
Bilag 1. Metodisk tilgang
Formålet med undersøgelsen er at vurdere, om Klima-, Energi- og Forsyningsministe-
riet og Energinet har håndteret outsourcingen af driften af den forsyningskritiske it-
infrastruktur ansvarligt.
I undersøgelsen indgår Klima-, Energi- og Forsyningsministeriet og Energinet.
Undersøgelsen afgrænses primært til perioden fra 2018, hvor klima-, energi- og forsy-
ningsministeren understregede over for Energinet, at Energinet skulle have fokus på
it-sikkerhed, til april 2021, hvor Rigsrevisionen igangsatte undersøgelsen.
Energinet har desuden oplyst, at Energinet vurderer, at Rigsrevisionens beskrivelse
og behandling af it-sikkerhedsmæssige forhold i forbindelse med undersøgelsen af
outsourcingen af driften af den forsyningskritiske it-infrastruktur er fortrolige oplys-
ninger, som i særdeleshed i den nuværende sikkerhedssituation kan kompromittere
statens sikkerhed og rigets forsvar.
Rigsrevisionen har imødekommet Energinets ønske om fortrolighed. Beretningen in-
deholder således ingen konkrete beskrivelser af de it-sikkerhedsbrister, som Rigsre-
visionen konkluderer om. Det er Rigsrevisionens opfattelse, at beskrivelserne er på et
så overordnet niveau, at de i sig selv ikke kan anvendes til kompromitterende formål.
Undersøgelsen bygger på en gennemgang af dokumenter, herunder mødereferater
og mødemateriale fra bestyrelsesmøder i Forretningsservice A/S samt fra møder i
revisions- og risikoudvalget, it-udvalgsmøder, koncerndirektionsmøder og koncern-
bestyrelsesmøder.
Vi har desuden holdt møder med Klima-, Energi- og Forsyningsministeriet, Energisty-
relsen og Energinet for at få indsigt i området. Formålet med møderne har været at
stille spørgsmål til det udleverede materiale og at få en dybere forståelse for de for-
hold, vi har undersøgt.
For at undersøge, om Energinet har orienteret Klima-, Energi- og Forsyningsministe-
riet rettidigt om outsourcingen af driften af den forsyningskritiske it-infrastruktur (af-
snit 2.1), har vi gennemgået mødereferater og materiale fra bestyrelsesmøder i Forret-
ningsservice A/S samt fra it-udvalgsmøder, koncerndirektionsmøder, koncernbesty-
relsesmøder. Vi har desuden gennemgået materiale fra møder i revisions- og risiko-
udvalget og fra kvartalsmøder mellem ministeriet og Energinet.
For at undersøge, om Energinet har sikret sikkerheden i forbindelse med outsourcin-
gen (afsnit 2.2), har vi sammenholdt Energinets it-forhold med basale sikkerhedsmæs-
sige foranstaltninger. Herudover har vi gennemgået Energinets businesscase og risiko-
vurderinger. Vi har baseret vores revision på afrapporteringer til Energinet om it-for-
hold, som Rigsrevisionen afgav i november 2020 og i november 2021.
KEF, Alm.del - 2021-22 - Bilag 361: Statsrevisorernes beretning om Energinets beslutning om outsourcing af driften af forsyningskritisk it-infrastruktur
Metodisk tilgang |
19
For at undersøge, om Klima-, Energi- og Forsyningsministeriet har sikret tydelige ram-
mer for tilsynet med Energinets it-forhold (afsnit 2.3), har vi undersøgt ministeriets
ejerskabsdokumenter, retningslinjer for kommunikation mellem Energinet og ministe-
riet samt Energinets koncerninstruks.
For at undersøge, om Klima-, Energi- og Forsyningsministeriet har ført et tilstrække-
ligt løbende tilsyn med Energinets it-sikkerhed (afsnit 2.4), har vi gennemgået materia-
le til kvartalsmøder, herunder kvartalsrapporter fra Energinet og eventuelle forhånds-
orienteringer, som ministeriet har modtaget fra Energinet vedrørende it-området. Her-
udover har vi gennemgået Energistyrelsens sektortilsynsrapporter om Energinet.
Kvalitetssikring
Denne undersøgelse er kvalitetssikret via vores interne procedurer for kvalitetssik-
ring, som omfatter høring hos de reviderede samt ledelsesbehandling og sparring på
forskellige tidspunkter i undersøgelsesforløbet med chefer og medarbejdere i Rigsre-
visionen med relevante kompetencer.
Standarderne for offentlig revision
Revisionen er udført i overensstemmelse med standarderne for offentlig revision.
Standarderne fastlægger, hvad brugerne og offentligheden kan forvente af revisio-
nen, for at der er tale om en god faglig ydelse. Standarderne er baseret på de grund-
læggende revisionsprincipper i rigsrevisionernes internationale standarder (ISSAI
100-999).