Klima-, Energi- og Forsyningsudvalget 2021-22
KEF Alm.del Bilag 463
Offentligt
2615277_0001.png
Samråd i Folketingets Finansudvalg d. 30. august vedr.
Rigsrevisionens beretning om Energinets outsourcing
af driften af forsyningskritisk IT-infrastruktur
Center
Center for Styring og
Implementering
Team
Koncernstyring
Dato
22. august 2022
J nr.
2022 - 172
/ NICRO, BOVAS, LISGR,
ALBER
Samrådsspørgsmål Ø
I Folketingets Finansudvalg har Troels Lund Poulsen stillet
ministeren følgende samrådsspørgsmål Ø:
Samrådsspørgsmål Ø:
”Vil ministeren kommentere kritikken i beretning nr. 14/2021
om Energinets outsourcing af driften af forsyningskritisk it-
infrastruktur, jf. FIU alm. del - bilag 138 og 179?”
Side 1/11
 KEF, Alm.del - 2021-22 - Bilag 463: Kopi af talepapir fra åbent samråd i Finansudvalget om Rigsrevisionens beretning om Energinets outsourcing af driften med forsyningskritisk IT-infrastruktur
2615277_0002.png
Ministerens svartale:
[Indledning]
Tak for spørgsmålet - jeg har set frem til
muligheden for at kommentere Rigsrevisionens
kritik for udvalget.
Lad mig begynde med at slå fast, at regeringen ser
med stor alvor på sikkerheden omkring den danske
forsyningskritiske infrastruktur. Danmark oplever
sammen med resten af Europa en kombineret
sikkerheds- og forsyningskrise, der for få år siden
ville forekomme utænkelig. Samtidig er cybertruslen
meget høj, og vi kan se, at energisektoren også kan
blive ramt. Et højt sikkerhedsniveau i Energinet er
naturligvis af afgørende væsentlighed i den
sammenhæng. Jeg ser derfor med alvor på
Rigsrevisionens kritik af Energinets outsourcing af
driften af forsyningskritisk it-infrastruktur.
[Rammerne for KEFM’s ejerskabsvaretagelse af
Energinet som selvstændig offentlig
virksomhed]
Før jeg kommer til Rigsrevisionens kritik og de
tiltag, jeg har iværksat for at imødekomme denne,
er det væsentligt at opridse, hvilke rammer der
gælder for Energinet som statsligt selskab. Disse
betinger en klar ansvarsfordeling ml. ministeriet og
selskabet, som man bør gøre sig klart, når man
forholder sig til Rigsrevisionens beretning.
Energinet ejer driver og udbygger den overordnede
danske energiinfrastruktur. Hermed bidrager
Energinet til udviklingen af en klimaneutral
Side 2/11
 KEF, Alm.del - 2021-22 - Bilag 463: Kopi af talepapir fra åbent samråd i Finansudvalget om Rigsrevisionens beretning om Energinets outsourcing af driften med forsyningskritisk IT-infrastruktur
2615277_0003.png
energiforsyning. I sin opgaveløsning skal Energinet
varetage hensyn til forsyningssikkerhed, klima og
miljø samt sikre åben og lige adgang for alle
brugere af nettene og effektivitet i sin drift.
Energinet er ejet af staten og drives som en såkaldt
selvstændig offentlig virksomhed. Klima-, Energi- og
Forsyningsministeriet varetager ejerskabet af
selskabet på statens vegne. Energinets status som
selvstændig offentlig virksomhed medfører en klar
ansvarsfordeling mellem ejer – som er Klima-,
Energi- og Forsyningsministeriet – og selskabet.
Dette er bl.a. reguleret i lov om Energinet samt
Statens Ejerskabspolitik.
Som følge af Statens Ejerskabspolitik skal
ministeriet udøve sit ejerskab under respekt for
bestyrelsens kompetence og princippet om
armslængde mellem ejer og bestyrelse. Dermed
hverken kan eller bør staten påtage sig den faktiske
ledelse af Energinet eller andre statslige selskaber.
Statens direkte indflydelse i Energinet ligger
således fortrinsvist i valg af bestyrelse samt
opsætningen af de overordnede strategiske rammer
og mål. Lov om Energinet giver dog også hjemmel
til, at jeg som minister træffer beslutning om
konkrete forhold i Energinet, såfremt det skulle vise
sig nødvendigt. Herudover fører Klima-, Energi- og
Forsyningsministeriet et overordnet tilsyn, som følge
af sit ejerskab.
Da Klima-, Energi- og Forsyningsministeriet udover
at varetage ejerskabet af Energinet samtidigt
udøver tilsynet for den danske energisektor,
Side 3/11
 KEF, Alm.del - 2021-22 - Bilag 463: Kopi af talepapir fra åbent samråd i Finansudvalget om Rigsrevisionens beretning om Energinets outsourcing af driften med forsyningskritisk IT-infrastruktur
2615277_0004.png
varetager ministeriet – konkret Energistyrelsen –
samtidigt tilsyn med Energinet som led i dette
sektortilsyn.
Den grundlæggende forudsætning for, at ministeriet
kan udøve sit tilsyn som ejer, er Energinets
lovfastsatte orienteringspligt. Denne pålægger
Energinets bestyrelse, at orientere ministeriet om
sager, der er af væsentlig og/eller principiel
betydning i forhold til Energinets virksomhed,
herunder forhold som er af væsentlig og/eller
principiel økonomisk, strategisk eller politisk
betydning.
[Rigsrevisionens kritik i beretning om
Energinets IT-outsourcing og KEFM’s
igangsatte tiltag for at imødekomme denne]
Med disse overordnede rammer på plads, vil jeg nu
forholde mig til de enkelte dele af Rigsrevisionen
kritik. I sin beretning kritiserer Rigsrevisionen
overordnet fire forhold:
1. Energinet har ikke orienteret ministeriet rettidigt
om outsourcingen.
2. Energinet har ikke sikret sikkerheden i
forbindelse med outsourcingen.
3. Ministeriet har ikke fuldt ud sikret tydelige
rammer for tilsynet med Energinets it-forhold.
4. Ministeriet har ført et løbende tilsyn med
Energinets it-sikkerhed, men har ikke anvendt
sin viden fuldt ud.
Side 4/11
 KEF, Alm.del - 2021-22 - Bilag 463: Kopi af talepapir fra åbent samråd i Finansudvalget om Rigsrevisionens beretning om Energinets outsourcing af driften med forsyningskritisk IT-infrastruktur
2615277_0005.png
[Ad 1. Energinet har ikke orienteret KEFM rettidigt
om outsourcingen]
For så vidt angår kritikken af, at Energinet ikke har
orienteret Ministeriet rettidigt om outsourcingen,
deler jeg Rigsrevisionens opfattelse. Jeg er
ligeledes enig med Rigsrevisionen i, at ministeriet
dermed ikke fik mulighed for særskilt at vurdere
Energinets outsourcingsprojekt, inden
udbudsprocessen blev igangsat.
En sådan orientering er en forudsætning for, at
Klima-, Energi- og Forsyningsministeriet kan
reagere på Energinets planer. Dette er således en
alvorlig kritik, som ministeriet er i gang med at følge
op på over for Energinet. Herunder har jeg igangsat
en revision af relevante selskabs- og
ejerskabsdokumenter for at tydeliggøre
orienteringspligten. Dette kommer jeg tilbage til.
[Ad 2. Energinet har ikke sikret sikkerheden i
forbindelse med outsourcingen]
For så vidt angår kritikken af, at Energinet ikke har
sikret sikkerheden i forbindelse med outsourcingen,
er det en kritik jeg finder meget alvorlig.
Rigsrevisionens undersøgelse viser, at Energinet
ved forberedelsen ikke har risikovurderet
outsourcingen i forhold til at sikre tilstrækkelig
offentlig kontrol med forsyningskritisk it-infrastruktur.
Rigsrevisionen har dertil konstateret alvorlige
sikkerhedsbrister i forbindelse med outsourcingen.
Dette er en meget alvorlig kritik, der kræver en
grundig it-teknisk vurdering. Af den grund har jeg
Side 5/11
 KEF, Alm.del - 2021-22 - Bilag 463: Kopi af talepapir fra åbent samråd i Finansudvalget om Rigsrevisionens beretning om Energinets outsourcing af driften med forsyningskritisk IT-infrastruktur
2615277_0006.png
nedsat en ekspertgruppe, der er i gang med at
undersøge mulige sikkerhedsbrister mv. Dette tiltag
vil jeg uddybe afslutningsvis.
[Ad 3. KEFM har ikke fuldt ud sikret tydelige rammer
for tilsynet med Energinets it-forhold]
Dernæst er der Rigsrevisionens kritik af, at Klima-,
Energi- og Forsyningsministeriets
ejerskabsdokumenter ikke understøtter, at
ministeriet bliver orienteret om større ændringer af
forsyningssikkerhedsmæssige forhold.
Rigsrevisionens kritiserer konkret, at selskabs- og
ejerskabsdokumenter vedrørende Energinet ikke
kvalitativt beskriver, hvilke oplysninger om
forsyningssikkerhedsmæssige forhold ministeriet
skal orienteres om.
Jeg deler Rigsrevisionens opfattelse af, at det skal
være meget tydeligt, at væsentlige beslutninger
vedr. forsyningskritisk infrastruktur – herunder IT-
systemer – hører under Energinets orienteringspligt.
Af den grund har jeg igangsat en revision af de
gældende dokumenter.
Det er dog værd at bemærke, at Rigsrevisionen
finder, at Energinet skulle have orienteret ministeriet
allerede ved den gældende udformning af disse
dokumenter. Dette er jeg enig med Rigsrevisionen i.
Den daværende udformning af orienteringspligten i
selskabs- og ejerskabsdokumenterne kan således
ikke siges, at være begrundelse for den manglende
orientering fra Energinet.
Side 6/11
 KEF, Alm.del - 2021-22 - Bilag 463: Kopi af talepapir fra åbent samråd i Finansudvalget om Rigsrevisionens beretning om Energinets outsourcing af driften med forsyningskritisk IT-infrastruktur
2615277_0007.png
[Ad 4. KEFM har ført et løbende tilsyn med
Energinets it-sikkerhed, men har ikke anvendt sin
viden fuldt ud]
Endelig er der kritikken af, at ministeriet ikke har
anvendt sin viden fuldt ud i sit tilsyn vedr.
Energinets it-sikkerhed. Således finder
Rigsrevisionen, at Klima-, Energi- og
Forsyningsministeriet løbende har forholdt sig til it-
sikkerhed på møder med Energinet, og at
ministeriet har intensiveret tilsynet med Energinets
forsyningskritiske it-forhold, da ministeriet blev
oplyst om outsourcingens omfang i april 2021.
Rigsrevisionen finder dog, at ministeriet ikke i sit
tilsyn i alle tilfælde har anvendt Energistyrelsens
sektortilsynsrapporter om Energinet, da rapporterne
forelå.
På baggrund af denne kritik, har jeg igangsat en
proces, der skal optimere ministeriets tilsyn –
herunder sikre klare rammer for henholdsvis det
ejerskabsmæssige og sektormæssige tilsyn. Også
dette tiltag vil jeg komme til en uddybning af. Jeg vil
dog inden, at jeg beskriver de konkrete initiativer,
som er sat i gang, kort gennemgå tidslinjen for
kritikken.
[Kort proces for behandling af kritikken]
Ministeriet modtog den 21. april i år Rigsrevisionens
endelige beretning. Dagen efter igangsætter jeg en
række tiltag for at følge op på Rigsrevisionens
konklusioner. Et af tiltagene vedrører nedsættelse
af en ekspertgruppe, som skal følge op på
udbedringen af den kritik, som Rigsrevisionen har
rejst af Energinets it-sikkerhed. Samme dag sender
Side 7/11
 KEF, Alm.del - 2021-22 - Bilag 463: Kopi af talepapir fra åbent samråd i Finansudvalget om Rigsrevisionens beretning om Energinets outsourcing af driften med forsyningskritisk IT-infrastruktur
2615277_0008.png
jeg Energinets bestyrelsesformand og direktør et
brev, hvor jeg pålægger Energinet at igangsætte de
tiltag, som Energinet skal gennemføre. I den
efterfølgende periode igangsættes arbejdet med
tiltagene, bl.a. afholder ekspertgruppen den 16. juni
sit første møde med Energinet. Forud for besøget
har gruppen afholdt flere møder med
Rigsrevisionens it-revision, for at få indblik i de
detaljer i Rigsrevisionens observationer, som af
sikkerhedsmæssige hensyn ikke kunne fremgå af
beretningen.
Statsrevisorerne offentliggør beretningen den 25.
april, og samme dag orienterer ministeriet
ordførerne i KEF-udvalget om, at Rigsrevisionen har
udgivet beretningen, samt at ordførerne vil få en
orientering på et kommende møde. Den varslede
orientering afholdes den 22. juni, hvor jeg har
inviteret Energinet til at redegøre for outsourcingen
for KEF-udvalget. Finansudvalget er ligeledes
inviteret med.
[Uddybning og status for ministerens igangsatte
tiltag]
Jeg har nu overordnet gennemgået kritikken i
Rigsrevisionens beretning, skitseret de igangsatte
tiltag og redegjort for processen. I den resterende
del af denne samrådstale vil jeg uddybe de
igangsatte tiltag og give udvalget en status på deres
implementering.
Hovedparten af de tiltag jeg gennemgår i det
følgende er meldt ud i førnævnte ministerbrev til
Energinet af den 22. april 2022.
Side 8/11
 KEF, Alm.del - 2021-22 - Bilag 463: Kopi af talepapir fra åbent samråd i Finansudvalget om Rigsrevisionens beretning om Energinets outsourcing af driften med forsyningskritisk IT-infrastruktur
2615277_0009.png
Lad mig gennemgå tiltagenes indhold og
nuværende status enkeltvis herefter:
For det første
har jeg nedsat en ekspertgruppe med
deltagelse af repræsentanter fra departementet,
Energistyrelsen, Forsvarets Efterretningstjenestes
Center for Cybersikkerhed og en ekstern konsulent
til grundigt at undersøge IT-sikkerheden i Energinet.
Ekspertgruppen har over de seneste måneder
arbejdet intensivt på at undersøge IT-sikkerheden i
Energinet og afdække alle forhold relevante herfor.
Ekspertgruppen har meddelt, at den oplever et
konstruktivt samarbejde med Energinet, og der er
tæt dialog med selskabet om forbedringer af
sikkerheden. Ekspertgruppens arbejde er dog ikke
afsluttet, og det er for tidligt at konkludere herpå
under dette samråd. Ekspertgruppen forventer, at
arbejdet er afsluttet ultimo september. Jeg vil
herefter orientere både KEF-udvalget og FIU.
For det andet
har jeg pålagt Energinet at foretage
ændringer i sin selskabsstruktur. Ved den pålagte
omorganisering skal Energinet flytte it-området til
moderselskabet for at styrke bestyrelses- og
direktionsforankringen i varetagelsen af Energinets
arbejde med cybersikkerhed. Formelt kræver
organisationsændringen en godkendelse fra
Energinets bestyrelse, som jeg forventer sker på
bestyrelsesmødet, der afholdes senere i dag.
Næste skridt herefter er, at jeg godkender
organisationsændringen på baggrund af indstilling
Side 9/11
 KEF, Alm.del - 2021-22 - Bilag 463: Kopi af talepapir fra åbent samråd i Finansudvalget om Rigsrevisionens beretning om Energinets outsourcing af driften med forsyningskritisk IT-infrastruktur
2615277_0010.png
fra Energinets bestyrelse. Dette processkridt
forventes gennemført i løbet af få uger.
For det tredje
har jeg pålagt Energinet at opdatere
relevante selskabsdokumenter for at uddybe og
præcisere Energinets orienteringspligt. Dette
arbejde er indholdsmæssigt gennemført - konkret er
vedtægter og koncerninstruks opdateret i
samarbejde med ministeriet. Formelt kræver også
disse ændringer tilslutning fra Energinets
bestyrelse, hvilket jeg ligeledes forventer på dagens
bestyrelsesmøde. Herefter skal dokumenterne
sendes til min godkendelse, hvorefter ændringerne
træder i kraft. Dette forventes gennemført i løbet af
få uger.
For det fjerde
er ministeriets retningslinjer for
ejerskabsvaretagelse og kommunikation mellem
ministeriet og Energinet under opdatering –
ligeledes for yderligere at uddybe og præcisere
Energinets orienteringspligt. Med denne revision af
selskabs- og ejerskabsdokumenterne er jeg
overbevist om, at Energinet ikke fremadrettet kan
være i tvivl om, at ministeriet skal orienteres om
ethvert væsentligt forhold vedrørende
forsyningskritisk infrastruktur – herunder IT-
infrastruktur.
Et udkast til denne opdatering har været i høring i
Energinet med frist ved udgangen af i går og er
således inde i sin sidste fase. Jeg forventer, at
kunne godkende den endelige version af de
opdaterede retningslinjer i løbet af få uger.
Side 10/11
 KEF, Alm.del - 2021-22 - Bilag 463: Kopi af talepapir fra åbent samråd i Finansudvalget om Rigsrevisionens beretning om Energinets outsourcing af driften med forsyningskritisk IT-infrastruktur
2615277_0011.png
For det femte
har ministeriet igangsat et arbejde,
der skal sikre klare beskrivelser af arbejdsdelingen
ml. de to typer af tilsyn– dvs. ejerskabstilsynet og
sektortilsynet. Disse opgaver har været adskilt siden
2019, men der har ikke forelagt en klar skriftlige
beskrivelse af grænsen mellem dem. Jeg har derfor
sat departementet i gang med at udarbejde en
grundig beskrivelse af rolle- og ansvarsfordeling ml.
de to typer af tilsyn. Dette arbejde forventer jeg
ligeledes afsluttet i løbet af få uger.
For det sjette
har ministeriet generelt intensiveret sit
fokus på cybersikkerhed i forbindelse med sit
ejermæssige tilsyn. Således har jeg pålagt
Energinet månedligt at rapportere til ministeriet om
den igangværende outsourcings fremdrift, herunder
en løbende risikovurdering af projektet.
Det er min opfattelse, at de tiltag jeg netop har
opridset, samlet vil skabe et meget højt niveau af
sikkerhed omkring Energinets samfundskritiske
infrastruktur.
Jeg ser nu frem til at besvare udvalgets spørgsmål
til min redegørelse.
Tak for ordet.
Side 11/11