Klima-, Energi- og Forsyningsudvalget 2021-22
KEF Alm.del Bilag 373
Offentligt
2591910_0001.png
Statsrevisorerne 2021-22
Beretning Nr. 14 Klima-, energi- og forsyningsministerens redegørelse af 2. juni 2022
Offentligt
1/4
Energinet
Tonne Kjærsvej 65
DK-7000 Fredericia
NOTAT
+45 70 10 22 44
[email protected]
CVR-nr. 28 98 06 71
Dato:
24. maj 2022
Forfatter:
AIK/AIK
BESTYRELSENS UDTALELSE
1. Indledning og baggrund
Statsrevisorerne har den 25. april 2022 afgivet Beretning 14/2021 om Energinets outsourcing
af driften af forsyningskritisk it-infrastruktur. Statsrevisorerne har efter at have afgivet beret-
ning anmodet klima-, energi- og forsyningsministeren om en redegørelse for de foranstaltnin-
ger og overvejelser, som beretningen giver anledning til.
I forbindelse med udarbejdelsen af ministerredegørelsen er Energinets bestyrelse blevet an-
modet om en udtalelse om de foranstaltninger og overvejelser, som beretningen giver besty-
relsen anledning til.
Energinets bestyrelse vil alene udtale sig om de kritikpunkter, der er rettet mod Energinet.
2. Forløbet i forbindelse med Rigsrevisionens beretning
Rigsrevisionen åbnede i foråret 2021 på egen foranledning en undersøgelse af Energinets out-
sourcing af forsyningskritisk it-infrastruktur (servere m.v.). Denne blev udvidet til en egentlig
”større undersøgelse” i sensommeren 2021, med udkast til afrapportering i januar 2022, æn-
dringer i marts 2022 og endelig afrapportering i april 2022. Bestyrelsen har været inddraget i
hele forløbet og har afgivet høringssvar til Rigsrevisionen i løbet af processen.
3. Rigsrevisionens kritikpunkter
3.1
Energinet har ikke orienteret Klima-, Energi- og Forsyningsministeriet rettidigt om out-
sourcingen
Energinet har ikke levet op til forpligtelserne om at orientere Klima-, Energi- og Forsy-
ningsministeriet rettidigt om væsentlige forhold. Ministeriet fik dermed ikke mulighed for
særskilt at vurdere Energinets outsourcingprojekt, inden udbudsprocessen blev igangsat
3.2
Energinet har ikke sikret sikkerheden i forbindelse med outsourcingen Undersøgelsen vi-
ser, at Energinet ved forberedelsen ikke har risikovurderet outsourcingen i forhold til at
sikre tilstrækkelig offentlig kontrol med forsyningskritisk it-infrastruktur. Energinet har
dog i forbindelse med gennemførelsen af outsourcingen foretaget en risikovurdering af it-
sikkerheden, der viser, at Energinet i en lang periode ikke vil kunne leve op til gældende it-
Dok. 18/01667-66
Til arbejdsbrug/Restricted
KEF, Alm.del - 2021-22 - Bilag 373: Ministerredegørelse til beretning om Energinets outsourcing af driften af forsyningskritisk it-infrastruktur
2591910_0002.png
2/4
sikkerhedsmæssige krav. Rigsrevisionen har konstateret alvorlige sikkerhedsbrister i for-
bindelse med outsourcingen. Rigsrevisionen har gjort opmærksom på sikkerhedsbristerne i
både 2020 og 2021, men Energinet har ikke rettet op herpå.
4. Energinets bemærkninger til kritikpunkterne
Bestyrelsen er enig i, at Klima-, Energi- og Forsyningsministeriet hensigtsmæssigt kunne have
været orienteret inden den indledende konkurrencebaserede dialog om outsourcingen blev
igangsat. Energinet er dog af den overbevisning, at der er tale om en driftsbeslutning, der lig-
ger indenfor bestyrelsens kompetence. Af denne årsag tilpassede Energinet tidsmæssigt orien-
teringen af ministeriet til den kvartalsmæssige kadence for ministeriets tilsynsmøder med
Energinet, hvorved ministeriet var orienteret mere end et år før sourcingaftalen blev indgået.
Bestyrelsen er ikke enig i Rigsrevisors kritik af, at Energinet ikke har sikret sikkerheden i forbin-
delse med outsourcingen. Gennem forberedelsen af udbuddet, kontraktforhandlingerne og be-
styrelsens revisions- og risikoudvalgs opfølgning har dette forhold været behandlet med stor
alvor, og resultatet er, at den forsyningskritiske it-infrastruktur er udbudt og i kontrakten be-
handlet på en helt anden måde end den generelle it. Det er rigtigt, at Energinet
ved forberedel-
sen
af udbuddet ikke har lavet en risikoanalyse, hvor der er konkluderet på den offentlige kon-
trol, men det ændrer ikke på, at Energinet under hele processen har prioriteret sikring af it-sik-
kerhed højt.
Energinet har i forbindelse med udbuddet taget højde for en række konkrete elementer, der
sikrer Energinets kontrol med og ejerskab af den forsyningskritiske it-infrastruktur. Fra projek-
tets start samt løbende er der lavet risikovurderinger, herunder med eksterne parter til at vur-
dere sikkerhedsløsningerne. Der er i aftalen skelnet skarpt mellem forsyningskritiske og ikke-
forsyningskritiske it-systemer og infrastruktur, med skærpede aftalekrav til driften af servere
på det forsyningskritiske område. For så vidt angår den forsyningskritiske it-infrastruktur er
både servere og netværk fortsat ejet af Energinet og placeret på Energinets lokationer. Der er
også undervejs i forløbet lavet pauser i udbuddet og præciseringer af aftalen, så outsourcingen
kan gennemføres på sikker og effektiv vis uden at gå på kompromis med sikkerheden.
Det er ligeledes rigtigt, at der blev udarbejdet en risikoanalyse, hvorefter der var risiko for ikke
at leve op til alle gældende it-sikkerhedsmæssige krav. Der er i samme risikoanalyse opstillet en
række mitigerende tiltag, hvoraf størstedelen på nuværende tidspunkt er gennemført, mens
der for andre er tale om en længerevarende indsats, der vil blive fulgt til dørs i takt med at out-
sourcingen realiseres frem mod januar 2024, således at sikkerheden altid er på et tilfredsstil-
lende niveau.
For så vidt angår kontrakten, følger Energinet fuldt ud Digitaliseringsstyrelsens katalog over
kontraktbestemmelser til outsourcingkontrakter for myndigheder, som outsourcer driften af
samfundskritiske it-systemer. Et katalog, der udspringer af den Nationale Strategi for Cyber- og
Informationssikkerhed 2018- 2021, og hvor målgruppen for kataloget er myndigheder, der er
ansvarlige for samfundskritiske it-systemer og outsourcer driftsopgaver vedrørende disse.
Energinet vurderer ikke, at der er noget i samarbejdsaftalen, der gør, at Energinet dermed ikke
lever op til lovgivningsmæssige krav, krav fra myndigheder mv.
Energinet har undervejs i processen afdækket en række it-sikkerhedsrisici. Disse forhold skyl-
Dok.18/01667-66
Til arbejdsbrug/Restricted
KEF, Alm.del - 2021-22 - Bilag 373: Ministerredegørelse til beretning om Energinets outsourcing af driften af forsyningskritisk it-infrastruktur
2591910_0003.png
3/4
des ikke udbuddet. Tværtimod så har arbejdet med at skulle overføre serverdrift mv. til en pro-
fessionel samarbejdspartner afdækket en række it-sikkerhedsrisici relateret til særligt de ældre
dele af Energinets it-infrastruktur og processerne omkring dem.
Endelig er det rigtigt, at Rigsrevisionen har konstateret konkrete sikkerhedsudfordringer i for-
bindelse med nærværende undersøgelse. Det er Energinets opfattelse, at der i al væsentlighed
er rettet op på disse eller gennemført alternative mitigerende tiltag. Der har dog ikke været af-
holdt opfølgende revision af Rigsrevisionen på tiltagene, hvorfor Rigsrevisionen endnu ikke ved
selvsyn har haft mulighed for at konstatere dette.
5. Iværksatte foranstaltninger og tiltag
Energinet tager forsyningssikkerhed meget alvorligt. Da cybertrusler kan være en trussel for
forsyningssikkerheden, tager Energinet cybersikkerhed lige så alvorligt. I begyndelsen af 2021
godkendte Energinets bestyrelse derfor stiftelsen og medlemskabet af EnergiCert, den sek-
torcert, som fremgik af klima-, energi- og forsyningsministerens første cybersikkerhedsstrategi.
EnergiCerten skal understøtte cybersikkerheden for netop de forsyningskritiske systemer i hele
energisektoren.
For at bestyrelsesmedlemmer med særlige kompetencer indenfor området på bestyrelsens
vegne kan følge væsentlige risici for Energinet tæt, nedsatte Energinets bestyrelse i 2017 et re-
visions- og risikoudvalg med deltagelse af tre medlemmer af bestyrelsen, Energinets CFO, Rigs-
revisionen, intern revisor (EY) og koncernintern revisor. Udvalget har fra første møde i oktober
2018 haft cybersikkerhed som fast punkt på agendaen. På grund af outsourcingens vigtighed
kombineret med utilfredsstillende fremdrift i outsourcingprojektet begyndte udvalget at følge
outsourcingen og sikkerheden omkring outsourcingen med hjælp og løbende rapportering til
udvalget og bestyrelsen fra koncernintern revision og intern revision (EY) fra foråret 2019 med
henblik på at få etableret en plan for at få projektet tilbage på sporet.
Energinet vil forsætte sit fokus på det intensive arbejde, som bestyrelsen igangsatte i septem-
ber 2021, der løbende skal styrke sikkerheden, og som allerede i væsentlighed har rettet op på
eller mitigeret de risici, som Rigsrevisionen har peget på i sin beretning. Energinet har derud-
over i foråret 2022 styrket kapaciteten omkring CISO-funktionen med henblik på en længereva-
rende indsats, der skal opgradere Energinets it-sikkerhedsniveau til at være sektorledende.
Energinet vil endvidere sikre fortsat løbende opfølgning på projektet omkring outsourcing af
driften af infrastrukturen (servere og netværk), der som nævnt er planlagt til at ske successivt i
perioden frem til januar 2024, herunder særligt have opmærksomheden rettet mod, at de
krav, der med hjælp fra eksterne konsulenter er opstillet til leverandørens værktøjer og drift,
for at sikre fuld efterlevelse af alle krav og højeste sikkerhed, bliver implementeret og testet.
6. Fremadrettet håndtering af it-sikkerhed i Energinet
Energinets bestyrelse og revisions- og risikoudvalg vil med fortsat hjælp og rapportering fra
koncernintern revision og intern revision (EY) følge de igangsatte tiltag tæt for at medvirke til,
at det kontinuerlige arbejde med at sikre it-sikkerheden leverer de ønskede resultater. Det vil
ikke blive accepteret, at der gås på kompromis med it-sikkerheden.
Dok.18/01667-66
Til arbejdsbrug/Restricted
KEF, Alm.del - 2021-22 - Bilag 373: Ministerredegørelse til beretning om Energinets outsourcing af driften af forsyningskritisk it-infrastruktur
2591910_0004.png
4/4
På den længere bane er der behov for at udvikle og implementere større systemmæssige op-
dateringer som et naturligt led i udviklingen på sikkerheden omkring de forsyningskritiske sy-
stemer. Energinet er aktuelt ved at udskifte ældre driftssystemer og it-infrastruktur, hvilket lø-
bende vil reducere risici relateret til drift og it-sikkerhed. Dette sker samtidig med, at der plan-
lægges en omfattende opgradering af den it-mæssige og digitale understøttelse af kontrolcen-
teret. Formålet hermed er, at der også på den længere bane sikres en arkitektur omkring de
forsyningskritiske systemer, der dels sikrer, at systemerne kan håndtere styring og balancering
af el- og gassystemet og samtidig har indbygget et moderne sikkerhedsdesign
7. Afsluttende bemærkninger
Med ovennævnte er Energinets bestyrelse af den holdning, at de gennemførte foranstaltninger
og fremtidige tiltag – sammen med de tiltag, der er initieret af klima-, energi- og forsyningsmi-
nisteren – er hensigtsmæssige og tilstrækkelige, og at yderligere betryggelse vil opnås i forbin-
delse med den fremadrettede håndtering, der valideres af eksterne eksperter.
Det er bestyrelsens vurdering, at Energinet har fulgt op på de sikkerhedsudfordringer og risici,
der er identificeret i løbet af processen med outsourcing af Energinets it-infrastruktur, og at
Energinet sikrer løbende validering af de konkrete tiltag, både af revision og af eksterne parter.
Bestyrelsen er opmærksom på, at der er behov for løbende opgradering af Energinets nuvæ-
rende it-systemer og it-infrastruktur, på både den korte og den lange bane. Dette for at imøde-
komme et behov for mere digital drift af el og gassystemet, men i særlig grad også for at opgra-
dere til et mere tidssvarende sikkerhedsdesign. Bestyrelsen følger dette arbejde tæt og imøde-
kommer et samarbejde herom med ministeriets nedsatte ekspertgruppe.
På vegne af bestyrelsen i Energinet
Mogens Lykketoft
Bestyrelsesformand, Energinet
Dok.18/01667-66
Til arbejdsbrug/Restricted