Nyhetsartikkel

26 mars 2021

Undersøkelse av NVEs arbeid med IKT-sikkerhet i kraftforsyningen

Undersøkelse av NVEs arbeid med IKT-sikkerhet i kraftforsyningen

Et dataangrep i kraftforsyningen kan få katastrofale følger for samfunnet. Vår undersøkelse viser at Norges vassdrags- og energidirektorat (NVE) ikke har fulgt opp at beredskapen mot slike angrep er god nok, konkluderer Riksrevisjonen.

Kort fortalt

  • Kraftforsyningen er en sentral del av Norges kritiske infrastruktur.
  • NVE skal påse at beredskapen i kraftforsyningen er god og i tråd med gjeldende krav.
  • Et viktig beredskapsområde er kraftforsyningens IKT-systemer.
  • Kraftselskapene har selv ansvaret for at datasikkerheten er i tråd med regelverket.
  • NVE skal påse at kraftselskapene gjør det de skal for å sikre beredskapen. Riksrevisjonen har undersøkt hvordan NVE følger opp dette ansvaret.

NVE har ikke i tilstrekkelig grad påsett at det er god beredskap for å håndtere IKT-angrep i kraftforsyningenNVEs styring og oppfølging av arbeidet med IKT-sikkerhet i kraftforsyningen er svakDet er svakheter ved NVEs tilsyn med IKT-sikkerhet i kraftforsyningenNVE har skjerpet kravene til IKT-sikkerhet i kraftforsyningen, men ikke fulgt opp med tilstrekkelig veiledningDet er svakheter ved NVEs arbeid med overvåking, varsling og beredskap ved IKT-hendelserOppfølgingen av leverandørene er mangelfull til tross for at de har stor betydning for IKT-sikkerheten i kraftforsyningenOlje- og energidepartementet sikrer seg ikke god nok styringsinformasjon om IKT-sikkerhetstilstanden i kraftforsyningen og resultatene av NVEs arbeid med IKT-sikkerhet i kraftforsyningen

Kritikknivå:

Alvorlig

  • Det er alvorlig at NVE ikke i tilstrekkelig grad har påsett at kraftselskapene har god beredskap for å håndtere IKT-angrep mot kraftforsyningen.

Kritikknivå:

Sterkt kritikkverdig

  • Svakhetene ved NVEs tilsyn med IKT-sikkerheten er samlet sett sterkt kritikkverdige.

Kritikknivå:

Kritikkverdig

  • Det er kritikkverdig at NVE samlet sett har svak styring og oppfølging av arbeidet med IKT-sikkerhet i kraftforsyningen. Det har ført til svakheter i gjennomføringen av sentrale oppgaver som tilsyn, veiledning og arbeidet med overvåking, varsling og beredskap ved IKT-hendelser.
  • Det er kritikkverdig at NVEs grunnlag for å vurdere statusen og utviklingen i IKT-sikkerhetstilstanden i kraftforsyningen samlet sett er mangelfullt.
  • Det er kritikkverdig at beredskapsorganisasjonen i NVE ikke har fått trent nok på å håndtere IKT-angrep mot kraftforsyningen.
  • Det er kritikkverdig at Olje- og energidepartementet ikke har etterspurt og sikret seg god nok styringsinformasjon om resultatene av NVEs arbeid med IKT-sikkerhet i kraftforsyningen og om IKT-sikkerhetstilstanden.

Anbefalinger til Olje- og energidepartementet

Vi anbefaler departementet å sørge for at NVE styrker arbeidet med IKT-sikkerhet i kraftforsyningen, herunder:

  • Videreutvikler verktøy for å styre og følge opp arbeidet.
    Sikrer et bedre kunnskapsgrunnlag for IKT-sikkerhetstilstanden.
  • Vurderer tilsynsmetodikken og gjennomfører risikobaserte IKT-sikkerhetstilsyn.
  • Sikrer god veiledning til bransjen.
  • Fortsetter med kompetansehevende tiltak internt og for bransjen.
  • Videreutvikler systemet for avdekking og deling av IKT-sikkerhetshendelser.
  • Oppdaterer beredskapsplanverk og gjennomfører flere IKT-øvelser.
  • Vurderer tiltak for å håndtere utfordringen med å følge opp leverandørenes IKT-sikkerhet.

Vi anbefaler departementet å sørge for at NVEs rapportering gir tilstrekkelig styringsinformasjon om resultatene av NVEs arbeid med IKT-sikkerhet i kraftforsyningen.

Kommentarer

kommentarer