Presidenten: Etter
ønske fra kontroll- og konstitusjonskomiteen vil presidenten ordne
debatten slik: 5 minutter til saksordføreren, 3 minutter til de
øvrige partigruppene og 3 minutter til medlemmer av regjeringen.
Videre vil det – innenfor
den fordelte taletid – bli gitt
anledning til inntil seks replikker med svar etter innlegg fra medlemmer
av regjeringen, og de som måtte tegne seg på talerlisten utover
den fordelte taletid, får også en taletid på inntil 3 minutter.
Magne Rommetveit (A) [13:17:46 ] (ordførar for saka): At det
er lys i lampa, liv i mobilen og varme på kokeplata, avheng av god
og sikker kraftforsyning. I eit stadig meir digitalisert samfunn
er det ikkje berre vind og uvêr som kan ta straumen frå folk. Straumen
kan også forsvinna på grunn av datavirus, hackar-angrep eller andre
feil med datasystema. I denne saka har Riksrevisjonen sett nærare
på nettopp om NVE sin verkemiddelbruk medverkar til å styrkja IKT-tryggleiken.
Lat meg fyrst
nytta høvet til å takka komiteen for eit godt samarbeid i saka.
Riksrevisjonen
har i rapporten sin funne grunnlag for sin nest sterkaste form for
kritikk. Riksrevisjonen har konkludert med at NVE ikkje i tilstrekkeleg
grad har sikra at det er god beredskap for å handtera IKT-angrep
i kraftforsyninga. Riksrevisjonen har etter ei samla vurdering kome
til at dette er alvorleg. Vidare har Riksrevisjonen funne at NVE
si svake styring og oppfylging av arbeidet med IKT-tryggleik i kraftforsyninga
er kritikkverdig. Riksrevisjonen meiner også at det er kritikkverdig
at NVE sitt grunnlag for å fylgja med på utviklinga samla sett er
mangelfullt.
Vidare har tilsynet
som NVE gjennomfører, svakheiter som Riksrevisjonen samla sett finn
er kritikkverdige. Til sist meiner Riksrevisjonen at det er kritikkverdig
at Olje- og energidepartementet ikkje har fylgt opp området tett
nok.
Det er ein samla
komité som stiller seg bak funna og kritikken frå Riksrevisjonen.
Det er også ein samla komité som støttar tilrådingane og ber Riksrevisjonen
fylgja utviklinga innanfor IKT-tryggleiken vidare.
Til sist vil eg
slutta der eg begynte: Lys i lampa, straum på mobilen og varme på
kokeplata er noko vi alle treng kvar dag. Kraftforsyninga er ein
del av den kritiske infrastrukturen og er eit utsett mål i krig
og konflikt.
Dette er dessverre
ikkje fyrste gongen denne komiteen har handsama riksrevisjonsrapportar
som viser alvorlege manglar ved IKT-tryggleiken i landet vårt. Seinast
for eit par veker sidan debatterte me dei svært alvorlege manglane
ved IKT-tryggleiken i helseføretaka. Denne våren har me også sett
vår eigen institusjon, Stortinget, verta utsett for eit alvorleg
hackar-angrep. Me er difor sårbare på område der det er reell risiko
for åtak utanfrå.
Statsminister
Erna Solberg lovde oss tryggleik og beredskap då ho vart valt for
åtte år sidan. Koronapandemien har sett beredskapen på prøve, og
statsministeren sitt svar på Koronakommisjonen sine kritiske funn
var at regjeringa var budd på ein pandemi, men ikkje denne pandemien.
Eg håpar me ikkje hamnar i ein situasjon der statsministeren må
seia at me var budd på eit IKT-angrep, men ikkje dette IKT-angrepet.
Ut frå dei sakene
komiteen har handsama, kjenner eg at det er grunn til uro.
Bente Stein Mathisen (H) [13:21:51 ] : Jeg vil takke saksordføreren
for et godt samarbeid i denne saken.
Riksrevisjonens
konklusjon i denne rapporten er at Norges vassdrags- og energidirektorat,
forkortet NVE, ikke i tilstrekkelig grad har påsett at det er god
beredskap for å håndtere dataangrep i kraftforsyningen. Riksrevisjonen
vurderer dette som alvorlig. Kraftforsyningen er en helt sentral
del av vår kritiske infrastruktur for å ivareta viktige samfunnsfunksjoner.
Svakheten som
nevnes, er knyttet til NVEs styring, oppfølging og tilsyn med datasikkerheten
i kraftforsyningen. Vi leser også at det er svakheter ved NVEs arbeid med
overvåkning, varsling og beredskap. Olje- og energidepartementet
får også kritikk for å ha for lite fokus på å innhente og sikre
bedre styringsinformasjon om resultatene av NVEs arbeid med IKT-sikkerhet
i kraftforsyningen. Altså er Riksrevisjonens overordnede kritikk
at NVE ikke har fulgt opp sikkerhetsarbeidet godt nok, og at departementets
oppfølging også kan sies å ha vært for passiv.
Statsråden har
uttalt at hun synes at Riksrevisjonens funn er nyttige. Funnene
blir brukt for å videreutvikle og styrke NVEs arbeid med IKT-sikkerhet
i kraftforsyningen, bl.a. i arbeidet med ny strategi for perioden
2022–2026. Flere av anbefalingene er fulgt opp gjennom igangsatt
arbeid, og mye har blitt forbedret etter at Riksrevisjonen avsluttet
sin undersøkelse, og det er bra.
Statsråden sier
også i sitt svar at NVE prioriterer veiledning til bransjen og kompetansehevende
tiltak høyt, og at arbeidet til NVE på området omfatter mer enn
det som fremgår av undersøkelsen. En del av dette arbeidet er den
nye veiledningen for hele kraftberedskapsforskriften, som kom i
desember 2020. Siden denne forskriften trådte i kraft har NVE sørget
for at det har blitt avholdt en rekke kurs. Statsråden har bedt
NVE styrke arbeidet med IKT-sikkerheten i kraftforsyningen og bedre
rapporteringen til departementet, og av tildelingsbrevet for 2021
kan man lese at NVE har fått styringsparametere som skal bidra til
å vurdere tilstanden i kraftforsyningen og vurdere resultatene fra
tilsyn.
Revisjon og tilsyn
er viktige bidrag i forbedringsarbeid. Denne rapporten fra Riksrevisjonen
om IKT-sikkerhet i kraftforsyningen, med de anbefalingene som gis,
er også det. Men kanskje hadde undersøkelsen vært enda mer nyttig
om den hadde kommet på et noe senere tidspunkt. Den nye kraftberedskapsforskriften
trådte i kraft fra januar 2019. Undersøkelsen er fra 2016–2020. NVE
ønsket å gi virksomhetene anledning til å tilpasse seg endringene
før de begynte med tilsyn andre halvår i 2019. Pandemisituasjonen
har i tillegg gjort det vanskeligere å føre tilsyn i 2020.
Vi vet at et dataangrep
i kraftforsyningen kan få store følger for samfunnet vårt. En sikker
kraftforsyning er en viktig del av beredskapen, og er et klart mål
for interesser som ikke vil oss vel. Utviklingen har gått raskt
de siste årene. Derfor må IKT-sikkerhet, tekniske systemer og utviklingen
hele tiden ha topp prioritet.
Nils T. Bjørke (Sp) [13:25:06 ] : Eg takkar saksordføraren
for godt samarbeid.
IKT-tryggleik
i kraftforsyninga handlar om sikring av dei systema som fører straum
heim til deg og meg. Riksrevisjonen har over lang tid rapportert
om svak informasjonssikring i viktige system for samfunnet. Sist me
handsama temaet, galdt det tryggleiken i systema til sjukehusa,
denne gongen er det Noregs vassdrags- og energidirektorat, NVE,
som skal ha påsyn med at tryggleiken i kraftselskapa er god nok.
Den samla vurderinga
til Riksrevisjonen er at det er alvorleg at NVE ikkje i tilstrekkeleg
grad har hatt påsyn med at det er god beredskap for å handtera IKT-angrep
i kraftforsyninga. NVE har svak styring, lite ressursar og mangel
på kunnskap for å vurdera tilstanden for IKT-tryggleiken i kraftforsyninga.
NVE har skjerpa krava på området, men har ikkje følgt dette opp
med rettleiing til selskapa. NVE har lita erfaring med å handtera
IKT-angrep mot kraftforsyninga. Departementet har ikkje god nok
informasjon til å sjå svakheita.
Både for IKT-tryggleiken
og for andre område handlar beredskap om å vera førebudd på det
upårekna. Beredskap handlar òg om å vera førebudd på dei områda ein
veit er risiko. Nasjonal sikkerheitsmyndigheit legg i den siste
risikovurderinga vekt på at det digitale risikobildet er skjerpa.
Pandemien har gjeve auka risiko for IKT-angrep, som me alle kjenner
til. Då må ein ta på alvor at beredskapen ikkje er god nok. Når
me ikkje er førebudde korkje på det kjende eller på det upårekna,
er ikkje beredskapen god nok.
Det er naudsynt
at departementet følgjer opp tilrådinga frå Riksrevisjonen raskt
for å sjå til at det er god sikring av kraftforsyninga framover,
og at Riksrevisjonen følgjer utviklinga innanfor IKT-tryggleiken
i kraftforsyninga vidare. Det å ha tryggleik for straumforsyninga
er heilt avgjerande både for enkeltpersonar og, ikkje minst, for
bedriftene rundt om i landet.
Freddy André Øvstegård (SV) [13:27:31 ] : Jeg vil også starte
med å takke saksordføreren for et grundig arbeid med saken. Riksrevisjonen
har konkludert med at NVE ikke i tilstrekkelig grad har sikret at
det er god beredskap for å håndtere IKT-angrep i kraftforsyningen,
og Riksrevisjonen har etter en samlet vurdering kommet til at dette
er alvorlig – det nest høyeste nivået for kritikk fra Riksrevisjonen.
Jeg er glad for at hele komiteen slutter seg til Riksrevisjonens
funn og kritikk, og at komiteen støtter anbefalingene de kommer
med, og ber Riksrevisjonen videre om å følge utviklingen innenfor
IKT-sikkerheten i kraftforsyningen.
Kraftforsyningen
er en del av den kritiske infrastrukturen, det er derfor dette er
så alvorlig. Det begynner å tegne seg et bilde – som er grunnen
til at jeg tok ordet nå – av at noe ikke er helt på stell når det
gjelder IKT-sikkerhet, og det på tvers. Risikovurderingen fra Nasjonal
sikkerhetsmyndighet for i år legger vekt på at det digitale risikobildet
er skjerpet, og at pandemien har gitt økt risiko. Den siste tidens
IT-angrep mot Stortinget, men også mot Helse Sør-Øst og andre mål,
viser at risikoen er reell. Samtidig har Stortinget mottatt en rekke undersøkelser
om svikt i nettopp IKT-sikkerheten på andre kritiske områder. Denne
saken handler om kraftforsyningen, for kort tid siden kom Riksrevisjonen
med svært alvorlig kritikk av IKT-sikkerheten i helseforetakene,
og det har vært en rekke flere sånne saker.
Det var – som
det har blitt nevnt allerede – en hovedsak for Erna Solberg og hennes
nye regjering i 2013 å bedre beredskapen. Men snart åtte år etter,
med en rekke alvorlige rapporter og saker, er det grunn til å stille spørsmål
ved om beredskapsarbeidet engang har klart å holde tilstrekkelig
tritt med utviklingen i trusselbildet, særlig på IKT-området, og
det er i sum svært alvorlig.
Statsråd Tina Bru [13:29:51 ] : IKT-sikkerhet er en stadig
viktigere del av arbeidet med sikkerhet og beredskap i kraftforsyningen.
I takt med den digitale utviklingen har det blitt økt oppmerksomhet
på hvor viktig dette er nettopp for forsyningssikkerheten. Jeg mener at
NVE gjør et grundig og godt arbeid med IKT-sikkerhet i kraftsektoren.
Allikevel vil det alltid finnes muligheter for forbedring. Til dette
er slike forvaltningsrevisjoner svært nyttige, og jeg ønsker å bruke
funnene og anbefalingene fra denne rapporten til å videreutvikle dette
viktige arbeidet.
I rapporten konkluderer
Riksrevisjonen med at NVE ikke i tilstrekkelig grad har påsett at
det er god beredskap for å håndtere IKT-angrep i kraftforsyningen,
og at Olje- og energidepartementet ikke sikrer seg god nok styringsinformasjon
om IKT-sikkerhetstilstanden i kraftforsyningen og resultatene av
NVEs arbeid med IKT-sikkerhet. Riksrevisjonen kommer med en rekke anbefalinger
for å styrke NVEs arbeid og sikre at NVEs rapportering til departementet
gir tilstrekkelig styringsinformasjon om resultatene fra NVEs arbeid.
Revisjonens anbefalinger
tas på alvor, og flere av anbefalingene følges allerede opp gjennom
arbeid som er påbegynt. Dette gjelder bl.a. tilsynsarbeidet, veiledning til
bransjen, kompetansehevende tiltak, videreutvikling av systemer
for avdekking og deling av IKT-sikkerhetshendelser og oppdatering
av beredskapsplanverk. Også anbefalingen om å styrke NVEs rapportering
til departementet har blitt fulgt opp i styringsdialogen med direktoratet.
Det gjøres mye godt arbeid med regelverk og tilsyn med måten regelverket
følges opp, men det er viktig å understreke at det er nettselskapene
og kraftprodusentene som har ansvaret for at IKT-sikkerheten følges opp
i tråd med regelverket.
Selv om revisjonen
har vært nyttig, vil jeg påpeke at den kunne hatt enda større nytte
dersom den hadde kommet på et senere tidspunkt. Kraftberedskapsforskriften
ble oppdatert i 2019 da det bl.a. ble innført nye krav til IKT-sikkerhet.
NVE ga så virksomhetene anledning til å tilpasse seg endringene
før de startet med å føre tilsyn andre halvår i 2019. Så er vi jo
alle fullstendig klar over pandemisituasjonen, som naturlig nok
førte til redusert tilsynsaktivitet i 2020.
Jeg finner det
naturlig at regelverksendringer først følges opp gjennom veiledning,
og deretter tilsyn. På samme måte må regelverksendringer få tid
til å virke før man gjør en vurdering av behovet for ytterligere
grep. IKT-sikkerhet er viktig, særlig for kraftsektoren som kritisk
infrastruktur. Som jeg innledet med å si, gjøres det et godt og
grundig arbeid i denne sektoren også i dag, men med teknologi som
stadig er i endring, vil det alltid finnes muligheter for forbedring.
Gjennom Riksrevisjonens gjennomgang har vi fått konkrete forbedringsområder
på bordet. Det er bra. Jeg vet at NVE allerede er i gang med å følge
opp disse, og jeg skal også sørge for at Olje- og energidepartementet
gjennom styringsdialogen fokuserer på dette i tiden som kommer.
Presidenten: Det
blir replikkordskifte.
Magne Rommetveit (A) [13:32:53 ] : Arbeidarpartiet ynskjer
ein totalberedskapskommisjon. Det handlar om å sjå risiko og beredskap
meir under eitt og få eit betre samarbeid mellom dei ulike ressursane.
Totalberedskap og samordning av beredskap ligg vel til Justis- og beredskapsdepartementet,
men likevel: Tenkjer statsråden at dette kunne ha vore eit nyttig
grep for å styrkja IKT-tryggleiken også i kraftforsyninga?
Statsråd Tina Bru [13:33:23 ] : Som representanten selv er
inne på, er dette et ansvar som ligger til justis- og beredskapsministeren,
og hun er jo i salen, så det er mulig hun kan svare på spørsmålet
etterpå. Jeg tror jeg skal holde meg til det jeg har ansvaret for.
Jeg er veldig
enig med representanten i at kraftforsyningen er utsatt. Vi må sørge
for at vi har god beredskap der, og derfor skal vi også følge opp
de anbefalingene som kom i rapporten. Det gjøres mye godt arbeid
allerede, ikke minst med kraftberedskapsforskriften, som jeg nevnte
i sted. Den har vært viktig. Derfor er vi i gang med å følge opp
mange av de tingene som revisjonen også påpeker er viktige.
Magne Rommetveit (A) [13:33:54 ] : Eg tenkjer på det å sjå
dette som eit heile. Sjølv om statsråden berre er statsråd for eitt
departement, er statsråden også nestleiar i eit stort parti, så
har ho synspunkt på dette?
Statsråd Tina Bru [13:34:15 ] : Jeg står her i debatten i dag
og snakker om IKT-sikkerhet i kraftforsyningen. Jeg tror jeg skal
holde meg til det, og så kan representanten helt sikkert stille
disse spørsmålene til justis- og beredskapsministeren, som er mer
egnet til å svare på det.
Nils T. Bjørke (Sp) [13:34:44 ] : Det er jo freistande å fylgja
opp når ein begynner å snakka om beredskapskommisjon og totalberedskap,
men eg skal ha respekt for statsrådens ansvarsområde og halda meg
til kraftforsyninga.
Kan det vera slik
at ein har vore så ivrig etter stadig nye IKT-system, større samankopling
og anna for å få det meir effektivt, at ein kanskje har fokusert
for mykje på å effektivisera kraftforsyninga og samordninga, så
ein på ein måte har gløymt litt av tryggleiken på vegen og dei nye
risikobilda som kjem opp?
Statsråd Tina Bru [13:35:19 ] : Jeg har ikke grunnlag for å
tro det. Jeg merker meg også at det har skjedd ganske mye viktig
innenfor denne sektoren de siste årene. Vi trengte mer beredskap
på feltet. Derfor var det viktig at kraftberedskapsforskriften kom,
og det er viktig at man nå jobber tett med å følge opp de tingene
som Riksrevisjonen peker på som en utfordring. Dette er også en
bransje som preges av mange teknologiendringer som kommer fortløpende
og fort, så å kunne fokusere på å jobbe med sikkerhet hele veien
i en skiftende teknologisk situasjon er viktig, og det kommer vi til
å følge med på.
Nils T. Bjørke (Sp) [13:35:58 ] : Takk for svaret.
Litt av utfordringa
med den teknologiske utviklinga er og vil alltid vera at ein ikkje
passar på å ha tryggleiken med før ein gjer dei store endringane,
og svakheitene dukkar ofte opp i etterkant. Burde det ikkje vore
slik at ein tok ein runde på tryggleiken før ein innførte dei store
endringane som har skjedd i kraftforsyninga dei siste åra?
Statsråd Tina Bru [13:36:21 ] : Det var litt det jeg var inne
på i mitt innlegg, at nå kom det ganske mange viktige endringer
med den forskriften, og at de må få tid til å virke. Selskapene
må få anledning til å følge opp regelverket, og regelverket må få
sette seg. Så må man selvfølgelig etter hvert passe på å ha tilsyn
for å sikre at det skjer. Men det er også viktig å understreke at
det er selskapene selv som har ansvar for å sørge for at sikkerheten
er i tråd med det regelverket vi har. Vårt ansvar er å sikre det
regelverket og at det er godt nok. I så måte er også rapporten fra
Riksrevisjonen god, og den gir anbefalinger for videre arbeid på
feltet.
Presidenten: Replikkordskiftet
er over.
Flere har heller
ikke bedt om ordet til sak nr. 9.
Votering, se voteringskapittel