Undersøkelse av NVEs arbeid med IKT-sikkerhet i kraftforsyningen
Undersøkelse av NVEs arbeid med IKT-sikkerhet i kraftforsyningen
Et dataangrep i kraftforsyningen kan få katastrofale følger for samfunnet. Vår undersøkelse viser at Norges vassdrags- og energidirektorat (NVE) ikke har fulgt opp at beredskapen mot slike angrep er god nok, konkluderer Riksrevisjonen.
Kort fortalt
- Kraftforsyningen er en sentral del av Norges kritiske infrastruktur.
- NVE skal påse at beredskapen i kraftforsyningen er god og i tråd med gjeldende krav.
- Et viktig beredskapsområde er kraftforsyningens IKT-systemer.
- Kraftselskapene har selv ansvaret for at datasikkerheten er i tråd med regelverket.
- NVE skal påse at kraftselskapene gjør det de skal for å sikre beredskapen. Riksrevisjonen har undersøkt hvordan NVE følger opp dette ansvaret.
NVE har ikke i tilstrekkelig grad påsett at det er god beredskap for å håndtere IKT-angrep i kraftforsyningenNVEs styring og oppfølging av arbeidet med IKT-sikkerhet i kraftforsyningen er svakDet er svakheter ved NVEs tilsyn med IKT-sikkerhet i kraftforsyningenNVE har skjerpet kravene til IKT-sikkerhet i kraftforsyningen, men ikke fulgt opp med tilstrekkelig veiledningDet er svakheter ved NVEs arbeid med overvåking, varsling og beredskap ved IKT-hendelserOppfølgingen av leverandørene er mangelfull til tross for at de har stor betydning for IKT-sikkerheten i kraftforsyningenOlje- og energidepartementet sikrer seg ikke god nok styringsinformasjon om IKT-sikkerhetstilstanden i kraftforsyningen og resultatene av NVEs arbeid med IKT-sikkerhet i kraftforsyningen
Kritikknivå:
Alvorlig
- Det er alvorlig at NVE ikke i tilstrekkelig grad har påsett at kraftselskapene har god beredskap for å håndtere IKT-angrep mot kraftforsyningen.
Kritikknivå:
Sterkt kritikkverdig
- Svakhetene ved NVEs tilsyn med IKT-sikkerheten er samlet sett sterkt kritikkverdige.
Kritikknivå:
Kritikkverdig
- Det er kritikkverdig at NVE samlet sett har svak styring og oppfølging av arbeidet med IKT-sikkerhet i kraftforsyningen. Det har ført til svakheter i gjennomføringen av sentrale oppgaver som tilsyn, veiledning og arbeidet med overvåking, varsling og beredskap ved IKT-hendelser.
- Det er kritikkverdig at NVEs grunnlag for å vurdere statusen og utviklingen i IKT-sikkerhetstilstanden i kraftforsyningen samlet sett er mangelfullt.
- Det er kritikkverdig at beredskapsorganisasjonen i NVE ikke har fått trent nok på å håndtere IKT-angrep mot kraftforsyningen.
- Det er kritikkverdig at Olje- og energidepartementet ikke har etterspurt og sikret seg god nok styringsinformasjon om resultatene av NVEs arbeid med IKT-sikkerhet i kraftforsyningen og om IKT-sikkerhetstilstanden.
Anbefalinger til Olje- og energidepartementet
Vi anbefaler departementet å sørge for at NVE styrker arbeidet med IKT-sikkerhet i kraftforsyningen, herunder:
- Videreutvikler verktøy for å styre og følge opp arbeidet.
Sikrer et bedre kunnskapsgrunnlag for IKT-sikkerhetstilstanden. - Vurderer tilsynsmetodikken og gjennomfører risikobaserte IKT-sikkerhetstilsyn.
- Sikrer god veiledning til bransjen.
- Fortsetter med kompetansehevende tiltak internt og for bransjen.
- Videreutvikler systemet for avdekking og deling av IKT-sikkerhetshendelser.
- Oppdaterer beredskapsplanverk og gjennomfører flere IKT-øvelser.
- Vurderer tiltak for å håndtere utfordringen med å følge opp leverandørenes IKT-sikkerhet.
Vi anbefaler departementet å sørge for at NVEs rapportering gir tilstrekkelig styringsinformasjon om resultatene av NVEs arbeid med IKT-sikkerhet i kraftforsyningen.
Kommentarer
Om forfatteren
