Olje- og energidepartementet hadde i 2009 et
utgiftsbudsjett på 43,3 mrd. kroner. Departementet har ansvar for
tre virksomheter, fire fond og seks selskaper.
Riksrevisjonen har avgitt seks avsluttende revisjonsbrev
uten merknad og ett avsluttende revisjonsbrev med merknad til Norges
vassdrags- og energidirektorat (NVE).
Riksrevisjonen er kritisk til at departementet ikke
har stilt krav til underliggende virksomheter om identifisering,
klassifisering, risikoanalyser og beskyttelse av samfunns- og virksomhetskritisk
ikt-infrastruktur. Departementet har et ansvar for å identifisere
samfunns- og virksomhetskritisk ikt-infrastruktur i sektoren, samt
sørge for at det blir gjennomført risikoanalyser for å avdekke sårbare
og risikoutsatte områder og at disse blir beskyttet. Identifikasjon
av slik infrastruktur har betydning for utarbeidelsen av gode risikoanalyser.
Riksrevisjonen har merket seg at departementet vil
innhente nødvendig informasjon om samfunnskritisk ikt-infrastruktur
innenfor departementets ansvarsområde. Riksrevisjonen forutsetter
at departementet følger opp at underliggende virksomheter har klassifisert
hva som er samfunns- og virksomhetskritisk informasjon og at informasjonen
blir beskyttet. Føringer for hvordan informasjonen skal klassifiseres
øker sannsynligheten for at underliggende virksomheter klassifiserer
samfunns- og virksomhetskritisk informasjon på lik linje innen departementets
ansvarsområde.
Riksrevisjonen vil bemerke at det på revisjonstidspunktet
ble opplyst at departementet ikke hadde utarbeidet egne notater
for oppfølging av risikostyringsrapportene fra virksomhetene. Riksrevisjonen
ser positivt på at departementet nå har endret praksis på dette
punktet.
Riksrevisjonen er kritisk til at det er mangler
ved klassifisering av digitale aktiva og beskyttelse av ikt-infrastruktur
i NVE. Riksrevisjonen forutsetter at departementet følger opp NVEs
arbeid med IKT-sikkerhet gjennom styringsdialogen og at tiltakene
for å sikre god praksis innen informasjonssikkerhet i NVE blir gjennomført.
Riksrevisjonen ser alvorlig på at regelverket
for anskaffelser i flere tilfeller ikke har blitt fulgt av NVE.
Riksrevisjonen har merket seg at det vil bli gjennomført en særskilt
risikovurdering av anskaffelsesområdet i NVE som et tiltak for å
bedre internkontrollen. Riksrevisjonen forutsetter at departementet
iverksetter nevnte tiltak for å sikre at regelverket blir fulgt.