Kraftforsyningen
er en sentral del av Norges kritiske infrastruktur, og tilgang på
elektrisk kraft blir stadig viktigere for å kunne opprettholde normal
aktivitet i samfunnet, sikre kritiske samfunnsfunksjoner i krisesituasjoner
og opprettholde landets forsvarsevne under beredskap og i krig.
Bruk av ny teknologi,
skyløsninger og utenlandske leverandører og integrering av ulike
systemer som er koblet til internett øker risikoen for IKT-hendelser
i kraftforsyningen. Ifølge nasjonale trusselvurderinger utgjør systemer
i kraftsektoren kritisk infrastruktur som er spesielt utsatt for
etterretning og avanserte nettverksoperasjoner.
Olje- og energidepartementet
skal legge til rette for sikker kraftforsyning gjennom god beredskap
og har delegert viktige beredskapsoppgaver til Norges vassdrags- og
energidirektorat (NVE). Et av NVEs viktigste mål er å fremme en
sikker kraftforsyning. Sikkerhet i kraftforsyningens IKT-systemer
er et av flere sentrale områder som skal bidra til å opprettholde
en stabil og sikker kraftforsyning. NVE skal påse at beredskapen
i kraftforsyningen er god og i tråd med gjeldende krav.
De viktigste selskapene
i kraftforsyningen er med i Kraftforsyningens beredskapsorganisasjon
(KBO). KBO består av NVE og virksomheter som står for kraftforsyning,
som større kraftprodusenter, nettselskaper og fjernvarmeselskaper.
KBO-enhetene er underlagt energiloven og kraftberedskapsforskriften,
som stiller krav til selskapenes arbeid med IKT-sikkerhet. Kraftberedskapsforskriften
ble revidert med virkning fra 1. januar 2019, men også den tidligere
forskriften stilte strenge krav til IKT-sikkerheten i kraftforsyningen.
Den 1. januar 2019 ble NVE utpekt som sektorvist responsmiljø for
å koordinere og håndtere IKT-sikkerhetshendelser i kraftforsyningen.
KraftCERT AS har fra 2019 utført enkelte oppgaver innenfor varsling,
informasjonsdeling og analyse av IKT-sikkerhetshendelser for å støtte NVE
som sektorvist responsmiljø. KraftCERT ble opprettet av store aktører
i kraftforsyningen i 2014 for å hjelpe medlemsselskapene med å forebygge
og håndtere IKT-sikkerhetshendelser.
Målet med Riksrevisjonens
undersøkelse har vært å vurdere i hvilken grad NVEs virkemiddelbruk
bidrar til å styrke IKT-sikkerheten i kraftforsyningen. Undersøkelsen
omfatter perioden 2016–2020 og tar blant annet utgangspunkt i følgende
vedtak og forutsetninger fra Stortinget:
-
Energiloven av 29. juni
1990 og kraftberedskapsforskriften av 1. januar 2013, sist endret
1. januar 2019
-
Prop. 1 S fra Olje-
og energidepartementet i perioden 2016–2020 med tilhørende innstillinger
-
Meld. St. 25 (2015–2016)
Kraft til endring – Energipolitikken mot 2030, jf. Innst. 401 S
(2015–2016)
-
Meld. St. 38 (2016–2017)
IKT-sikkerhet – Et felles ansvar, jf. Innst. 187 S (2017–2018)
-
Reglement for økonomistyring
i staten og bestemmelser om økonomistyring i staten fastsatt 12. desember
2003 med endringer, senest 5. november 2015
Rapporten ble forelagt
Olje- og energidepartementet ved brev 16. desember 2020. Departementet
har i brev 26. januar 2021 til Riksrevisjonen gitt kommentarer til
rapporten. Kommentarene er i hovedsak innarbeidet i Riksrevisjonens
dokument.