Komiteen, medlemene frå Arbeidarpartiet,
leiaren Dag Terje Andersen, Eva Kristin Hansen og Magne Rommetveit,
frå Høgre, Svein Harberg og Bente Stein Mathisen, frå Framstegspartiet,
Solveig Horne, frå Senterpartiet, Nils T. Bjørke, frå Sosialistisk
Venstreparti, Freddy André Øvstegård, frå Venstre, Terje Breivik,
og uavhengig representant Ulf Isak Leirstein, viser til Riksrevisjonen
si undersøking av NVE sitt arbeid med IKT-tryggleik i kraftforsyninga,
jf. Dokument 3:7 (2020–2021). Komiteen viser til at kraftforsyninga
er ein sentral del av den kritiske infrastrukturen i Noreg. Tilgang
på elektrisk kraft vert stadig viktigare for å kunne oppretthalde
normal aktivitet i samfunnet, sikre kritiske samfunnsfunksjonar
i krisesituasjonar og oppretthalde forsvarsevna til landet under
beredskap og i krig. Komiteen viser
også til at IKT-system i kraftsektoren er kritisk infrastruktur
som er særskilt utsett for etterretning og avanserte nettverksoperasjonar, ifølgje
nasjonale trusselvurderingar.
Komiteen viser til at målet
med Riksrevisjonen si undersøking har vore å vurdere i kva grad
NVE sin verkemiddelbruk medverkar til å styrke IKT-tryggleiken i kraftforsyninga.
Undersøkinga omfattar perioden 2016–2020.
Komiteen viser til at Riksrevisjonen
har konkludert med at NVE ikkje i tilstrekkeleg grad har sikra at
det er god beredskap for å handtere IKT-angrep i kraftforsyninga. Komiteen merkar
seg at Riksrevisjonen etter ei samla vurdering har kome til at dette
er alvorleg.
Komiteen viser til at Riksrevisjonen
har funne at NVE si styring og oppfølging av arbeidet med IKT-tryggleik
i kraftforsyninga er svak. Komiteen merkar seg at Riksrevisjonen
meiner det er kritikkverdig at NVE samla sett har svak styring og
oppfølging av arbeidet med IKT-tryggleik i kraftforsyninga. Vidare
merkar komiteen seg
at Riksrevisjonen meiner det er kritikkverdig at NVE sitt grunnlag
for å vurdere statusen og utviklinga i IKT-tryggleikstilstanden
i kraftforsyninga samla sett er mangelfullt. Komiteen viser vidare til
at det er svakheiter ved NVE sitt tilsyn med IKT-tryggleiken i kraftforsyninga. Komiteen merkar
seg at Riksrevisjonen meiner svakheitene ved NVE sine tilsyn med IKT-tryggleiken
samla sett er sterkt kritikkverdige. Vidare har NVE skjerpa krava
til IKT-tryggleik i kraftforsyninga, men har ikkje følgt det opp
med tilstrekkeleg rettleiing. Det er også svakheiter ved NVE sitt
arbeid med overvaking, varsling og beredskap ved IKT-hendingar.
Komiteen merkar seg at Riksrevisjonen
vurderer det som kritikkverdig at Olje- og energidepartementet ikkje
har etterspurt og sikra seg god nok styringsinformasjon om resultata
av NVE sitt arbeid med IKT-tryggleiken i kraftforsyninga og om IKT-tryggleikstilstanden.
Komiteen stiller seg bak funna
og kritikken frå Riksrevisjonen.
Komiteen merkar seg at olje-
og energiministeren meiner slike revisjonar er nyttige, og at statsråden
ynskjer å bruke Riksrevisjonen sine funn og tilrådingar for å vidareutvikle
og styrke NVE sitt arbeid med IKT-tryggleik i kraftforsyninga. Komiteenmeiner Riksrevisjonen
sitt arbeid er viktig, og synest det er positivt at arbeidet vert
opplevt som nyttig.
Komiteens medlemmer
fra Høyre, Fremskrittspartiet, Venstre og uavhengig representant viser
til at kraftberedskapsforskriften ble revidert med virkning fra
1. januar 2019. Fra januar 2019 har NVE hatt rollen med å koordinere
og håndtere IKT-sikkerhetshendelser i kraftforsyningen. KraftCERT har
bistått med varsling, informasjonsdeling og analyse av sikkerhetshendelser
for å støtte NVE i denne oppgaven. Disse medlemmer merker seg
at statsråden påpeker at mye er forbedret etter at Riksrevisjonens
undersøkelse ble avsluttet.
Disse medlemmer merker seg
videre statsrådens svar om at Riksrevisjonens funn og anbefalinger vil
være nyttige bidrag i det påbegynte arbeidet med å videreutvikle
og styrke NVEs arbeid med IKT-sikkerhet i kraftforsyningen. Som
en del av dette utarbeider NVE en ny strategi for perioden 2022–2026,
som vil gi grunnlag for bedre mål og resultatstyring. Metoden for
tilsyn skal gjennomgås, og NVE og KraftCERT har i fellesskap et
pågående FOU-prosjekt om analyserammeverket for innrapporterte hendelser.
Videre revideres beredskapsplanverket i NVE i 2021, og den flerårige
øvingsplanen oppdateres. Disse medlemmer viser også
til at statsråden i sitt svar til Riksrevisjonen fremhever at NVE er
bedt om å styrke arbeidet med IKT-sikkerhet i kraftforsyningen og
bedre rapporteringen til departementet på tilstanden i kraftforsyningen.
Det fremgår av tildelingsbrevet for 2021 at NVE har fått styringsparametere der
de skal identifisere og omtale indikatorer for vurdering av tilstanden
i kraftforsyningen og beskrive og vurdere resultatene fra tilsyn.
Komiteen merkar
seg at Riksrevisjonen har tilrådd Olje- og energidepartementet å:
-
sørge for at NVE
styrker arbeidet med IKT-tryggleiken i kraftforsyninga, irekna:
-
vidareutviklar verktøy
for å styre og følgje opp arbeidet
-
sikrar eit betre
kunnskapsgrunnlag for tilstanden for IKT-tryggleiken
-
vurderer tilsynsmetodikken
og gjennomfører risikobaserte tilsyn med IKT-tryggleiken
-
sikrar god rettleiing
til bransjen
-
held fram med kompetansehevande
tiltak internt og for bransjen
-
vidareutviklar systemet
for avdekking og deling av IKT-tryggleikshendingar
-
oppdaterer beredskapsplanverket
og gjennomfører fleire IKT-øvingar
-
vurderer tiltak
for å handtere utfordringa med å følgje opp leverandørane sin IKT-tryggleik
-
sørge for at NVE
si rapportering gjev tilstrekkeleg styringsinformasjon om resultata
av direktoratet sitt arbeid med IKT-tryggleik i kraftforsyninga.
Komiteen støttar
tilrådingane og ber Riksrevisjonen følgje utviklinga innanfor IKT-tryggleiken
i kraftforsyninga vidare.
Komiteen viser til at kraftforsyninga
er ein del av den kritiske infrastrukturen. Komiteen meiner det er viktig
å vere budd på krisesituasjonar, og at faren for aksjonar mot kraftforsyninga
aukar i slike krisesituasjonar. I krig er kraftforsyninga eit klart
utsett mål. Sikker kraftforsyning er ein del av beredskapen, og
det er alvorleg at forvaltinga ikkje har sikra god nok beredskap for
denne kritiske infrastrukturen. Komiteen viser til at Riksrevisjonen
samla sett har funne grunnlag for alvorleg kritikk, og ventar at
statsråden vil følgje området tett opp vidare.
Fleirtalet i komiteen,
medlemene frå Arbeidarpartiet, Senterpartiet og Sosialistisk Venstreparti,
viser til at Riksrevisjonen over lang tid har rapportert svak informasjonstryggleik
i sentrale samfunnsfunksjonar og i statlege verksemder, jf. Dokument
3:2 (2020–2021), Dokument 1 (2019–2020), Dokument 1 (2018–2019),
Dokument 1 (2017–2018), Dokument 1 (2016–2017), Dokument 1 (2015–2016), Dokument
3:2 (2015–2016), Dokument 3:2 (2014–2015) og Dokument 1 (2014–2015).
Fleirtalet viser til at risikovurderinga
frå Nasjonal sikkerhetsmyndigheit for 2021 legg vekt på at det digitale
risikobildet er skjerpa, og at pandemien har gitt auka risiko. Det
er gjennomført alvorlege angrep mot demokratiske institusjonar som
syner at risikoen er reell. Digital beredskap er ein kritisk samfunnsfunksjon. Fleirtalet oppfordrar
difor regjeringa til å gå gjennom og vurdera om dei tverrgåande
verkemidla, kompetansen og risikoforståinga i staten er tilstrekkeleg
for å møta dei truslane som er identifiserte.