2. Merknader frå komiteen
Komiteen, medlemene frå Arbeidarpartiet, leiaren Dag Terje Andersen, Eva Kristin Hansen og Magne Rommetveit, frå Høgre, Svein Harberg og Bente Stein Mathisen, frå Framstegspartiet, Solveig Horne, frå Senterpartiet, Nils T. Bjørke, frå Sosialistisk Venstreparti, Freddy André Øvstegård, frå Venstre, Terje Breivik, og uavhengig representant Ulf Isak Leirstein, viser til Riksrevisjonen si undersøking av NVE sitt arbeid med IKT-tryggleik i kraftforsyninga, jf. Dokument 3:7 (2020–2021). Komiteen viser til at kraftforsyninga er ein sentral del av den kritiske infrastrukturen i Noreg. Tilgang på elektrisk kraft vert stadig viktigare for å kunne oppretthalde normal aktivitet i samfunnet, sikre kritiske samfunnsfunksjonar i krisesituasjonar og oppretthalde forsvarsevna til landet under beredskap og i krig. Komiteen viser også til at IKT-system i kraftsektoren er kritisk infrastruktur som er særskilt utsett for etterretning og avanserte nettverksoperasjonar, ifølgje nasjonale trusselvurderingar.
Komiteen viser til at målet med Riksrevisjonen si undersøking har vore å vurdere i kva grad NVE sin verkemiddelbruk medverkar til å styrke IKT-tryggleiken i kraftforsyninga. Undersøkinga omfattar perioden 2016–2020.
Komiteen viser til at Riksrevisjonen har konkludert med at NVE ikkje i tilstrekkeleg grad har sikra at det er god beredskap for å handtere IKT-angrep i kraftforsyninga. Komiteen merkar seg at Riksrevisjonen etter ei samla vurdering har kome til at dette er alvorleg.
Komiteen viser til at Riksrevisjonen har funne at NVE si styring og oppfølging av arbeidet med IKT-tryggleik i kraftforsyninga er svak. Komiteen merkar seg at Riksrevisjonen meiner det er kritikkverdig at NVE samla sett har svak styring og oppfølging av arbeidet med IKT-tryggleik i kraftforsyninga. Vidare merkar komiteen seg at Riksrevisjonen meiner det er kritikkverdig at NVE sitt grunnlag for å vurdere statusen og utviklinga i IKT-tryggleikstilstanden i kraftforsyninga samla sett er mangelfullt. Komiteen viser vidare til at det er svakheiter ved NVE sitt tilsyn med IKT-tryggleiken i kraftforsyninga. Komiteen merkar seg at Riksrevisjonen meiner svakheitene ved NVE sine tilsyn med IKT-tryggleiken samla sett er sterkt kritikkverdige. Vidare har NVE skjerpa krava til IKT-tryggleik i kraftforsyninga, men har ikkje følgt det opp med tilstrekkeleg rettleiing. Det er også svakheiter ved NVE sitt arbeid med overvaking, varsling og beredskap ved IKT-hendingar.
Komiteen merkar seg at Riksrevisjonen vurderer det som kritikkverdig at Olje- og energidepartementet ikkje har etterspurt og sikra seg god nok styringsinformasjon om resultata av NVE sitt arbeid med IKT-tryggleiken i kraftforsyninga og om IKT-tryggleikstilstanden.
Komiteen stiller seg bak funna og kritikken frå Riksrevisjonen.
Komiteen merkar seg at olje- og energiministeren meiner slike revisjonar er nyttige, og at statsråden ynskjer å bruke Riksrevisjonen sine funn og tilrådingar for å vidareutvikle og styrke NVE sitt arbeid med IKT-tryggleik i kraftforsyninga. Komiteenmeiner Riksrevisjonen sitt arbeid er viktig, og synest det er positivt at arbeidet vert opplevt som nyttig.
Komiteens medlemmer fra Høyre, Fremskrittspartiet, Venstre og uavhengig representant viser til at kraftberedskapsforskriften ble revidert med virkning fra 1. januar 2019. Fra januar 2019 har NVE hatt rollen med å koordinere og håndtere IKT-sikkerhetshendelser i kraftforsyningen. KraftCERT har bistått med varsling, informasjonsdeling og analyse av sikkerhetshendelser for å støtte NVE i denne oppgaven. Disse medlemmer merker seg at statsråden påpeker at mye er forbedret etter at Riksrevisjonens undersøkelse ble avsluttet.
Disse medlemmer merker seg videre statsrådens svar om at Riksrevisjonens funn og anbefalinger vil være nyttige bidrag i det påbegynte arbeidet med å videreutvikle og styrke NVEs arbeid med IKT-sikkerhet i kraftforsyningen. Som en del av dette utarbeider NVE en ny strategi for perioden 2022–2026, som vil gi grunnlag for bedre mål og resultatstyring. Metoden for tilsyn skal gjennomgås, og NVE og KraftCERT har i fellesskap et pågående FOU-prosjekt om analyserammeverket for innrapporterte hendelser. Videre revideres beredskapsplanverket i NVE i 2021, og den flerårige øvingsplanen oppdateres. Disse medlemmer viser også til at statsråden i sitt svar til Riksrevisjonen fremhever at NVE er bedt om å styrke arbeidet med IKT-sikkerhet i kraftforsyningen og bedre rapporteringen til departementet på tilstanden i kraftforsyningen. Det fremgår av tildelingsbrevet for 2021 at NVE har fått styringsparametere der de skal identifisere og omtale indikatorer for vurdering av tilstanden i kraftforsyningen og beskrive og vurdere resultatene fra tilsyn.
Komiteen merkar seg at Riksrevisjonen har tilrådd Olje- og energidepartementet å:
-
sørge for at NVE styrker arbeidet med IKT-tryggleiken i kraftforsyninga, irekna:
-
vidareutviklar verktøy for å styre og følgje opp arbeidet
-
sikrar eit betre kunnskapsgrunnlag for tilstanden for IKT-tryggleiken
-
vurderer tilsynsmetodikken og gjennomfører risikobaserte tilsyn med IKT-tryggleiken
-
sikrar god rettleiing til bransjen
-
held fram med kompetansehevande tiltak internt og for bransjen
-
vidareutviklar systemet for avdekking og deling av IKT-tryggleikshendingar
-
oppdaterer beredskapsplanverket og gjennomfører fleire IKT-øvingar
-
vurderer tiltak for å handtere utfordringa med å følgje opp leverandørane sin IKT-tryggleik
-
-
sørge for at NVE si rapportering gjev tilstrekkeleg styringsinformasjon om resultata av direktoratet sitt arbeid med IKT-tryggleik i kraftforsyninga.
Komiteen støttar tilrådingane og ber Riksrevisjonen følgje utviklinga innanfor IKT-tryggleiken i kraftforsyninga vidare.
Komiteen viser til at kraftforsyninga er ein del av den kritiske infrastrukturen. Komiteen meiner det er viktig å vere budd på krisesituasjonar, og at faren for aksjonar mot kraftforsyninga aukar i slike krisesituasjonar. I krig er kraftforsyninga eit klart utsett mål. Sikker kraftforsyning er ein del av beredskapen, og det er alvorleg at forvaltinga ikkje har sikra god nok beredskap for denne kritiske infrastrukturen. Komiteen viser til at Riksrevisjonen samla sett har funne grunnlag for alvorleg kritikk, og ventar at statsråden vil følgje området tett opp vidare.
Fleirtalet i komiteen, medlemene frå Arbeidarpartiet, Senterpartiet og Sosialistisk Venstreparti, viser til at Riksrevisjonen over lang tid har rapportert svak informasjonstryggleik i sentrale samfunnsfunksjonar og i statlege verksemder, jf. Dokument 3:2 (2020–2021), Dokument 1 (2019–2020), Dokument 1 (2018–2019), Dokument 1 (2017–2018), Dokument 1 (2016–2017), Dokument 1 (2015–2016), Dokument 3:2 (2015–2016), Dokument 3:2 (2014–2015) og Dokument 1 (2014–2015).
Fleirtalet viser til at risikovurderinga frå Nasjonal sikkerhetsmyndigheit for 2021 legg vekt på at det digitale risikobildet er skjerpa, og at pandemien har gitt auka risiko. Det er gjennomført alvorlege angrep mot demokratiske institusjonar som syner at risikoen er reell. Digital beredskap er ein kritisk samfunnsfunksjon. Fleirtalet oppfordrar difor regjeringa til å gå gjennom og vurdera om dei tverrgåande verkemidla, kompetansen og risikoforståinga i staten er tilstrekkeleg for å møta dei truslane som er identifiserte.