Dokument 3:7 (2020–2021) / Offentliggjort Undersøkelse av NVEs arbeid med IKT-sikkerhet i kraftforsyningen

Et dataangrep i kraftforsyningen kan få katastrofale følger for samfunnet. Vår undersøkelse viser at Norges vassdrags- og energidirektorat (NVE) ikke har fulgt opp at beredskapen mot slike angrep er god nok.

Kort fortalt

  • Kraftforsyningen er en sentral del av Norges kritiske infrastruktur.
  • NVE skal påse at beredskapen i kraftforsyningen er god og i tråd med gjeldende krav.
  • Et viktig beredskapsområde er kraftforsyningens IKT-systemer.
  • Kraftselskapene har selv ansvaret for at datasikkerheten er i tråd med regelverket.
  • NVE skal påse at kraftselskapene gjør det de skal for å sikre beredskapen. Riksrevisjonen har undersøkt hvordan NVE følger opp dette ansvaret.

Kritikknivå:

Alvorlig

  • Det er alvorlig at NVE ikke i tilstrekkelig grad har påsett at kraftselskapene har god beredskap for å håndtere IKT-angrep mot kraftforsyningen.

Kritikknivå:

Sterkt kritikkverdig

  • Svakhetene ved NVEs tilsyn med IKT-sikkerheten er samlet sett sterkt kritikkverdige.

Kritikknivå:

Kritikkverdig

  • Det er kritikkverdig at NVE samlet sett har svak styring og oppfølging av arbeidet med IKT-sikkerhet i kraftforsyningen. Det har ført til svakheter i gjennomføringen av sentrale oppgaver som tilsyn, veiledning og arbeidet med overvåking, varsling og beredskap ved IKT-hendelser.
  • Det er kritikkverdig at NVEs grunnlag for å vurdere statusen og utviklingen i IKT-sikkerhetstilstanden i kraftforsyningen samlet sett er mangelfullt.
  • Det er kritikkverdig at beredskapsorganisasjonen i NVE ikke har fått trent nok på å håndtere IKT-angrep mot kraftforsyningen.
  • Det er kritikkverdig at Olje- og energidepartementet ikke har etterspurt og sikret seg god nok styringsinformasjon om resultatene av NVEs arbeid med IKT-sikkerhet i kraftforsyningen og om IKT-sikkerhetstilstanden.

Anbefalinger til Olje- og energidepartementet

Vi anbefaler departementet å sørge for at NVE styrker arbeidet med IKT-sikkerhet i kraftforsyningen, herunder:

  • Videreutvikler verktøy for å styre og følge opp arbeidet.
    Sikrer et bedre kunnskapsgrunnlag for IKT-sikkerhetstilstanden.
  • Vurderer tilsynsmetodikken og gjennomfører risikobaserte IKT-sikkerhetstilsyn.
  • Sikrer god veiledning til bransjen.
  • Fortsetter med kompetansehevende tiltak internt og for bransjen.
  • Videreutvikler systemet for avdekking og deling av IKT-sikkerhetshendelser.
  • Oppdaterer beredskapsplanverk og gjennomfører flere IKT-øvelser.
  • Vurderer tiltak for å håndtere utfordringen med å følge opp leverandørenes IKT-sikkerhet.

Vi anbefaler departementet å sørge for at NVEs rapportering gir tilstrekkelig styringsinformasjon om resultatene av NVEs arbeid med IKT-sikkerhet i kraftforsyningen.

Til behandling i Stortinget

Vi overleverte undersøkelsen til Stortinget 23. mars 2021.

Følg saken videre på stortinget.no
Kategorier: Forsvar, sikkerhet og beredskap Digitalisering og ikt

Spørsmål?

Bilde av Annette Gohn-Hellum

Annette Gohn-Hellum

Ekspedisjonssjef

22 24 12 99 Annette.Gohn-Hellum@riksrevisjonen.no
Bilde av Stian Fjelldal

Stian Fjelldal

Kommunikasjonsrådgiver

915 43 760 stian.fjelldal@riksrevisjonen.no