Rundt 170 kraftselskaper – bare fem IKT-tilsyn i året
NVE skal passe på IKT-sikkerheten i kraftforsyningen, som omfatter rundt 170 sentrale enheter. Riksrevisjonen fant at NVE de siste seks årene bare hadde gjennomført cirka fem IKT-sikkerhetstilsyn i året, med en metodikk som ikke tester om sikringen faktisk virker.

Fakta
I Dokument 3:7 (2020–2021) undersøkte Riksrevisjonen om Norges vassdrags- og energidirektorat (NVE) i tilstrekkelig grad hadde sørget for god IKT-sikkerhetsberedskap hos landets kraftselskaper. De viktigste enhetene i kraftforsyningens beredskapsorganisasjon (KBO) utgjør rundt 170 virksomheter, men NVE hadde de foregående seks årene i gjennomsnitt bare gjennomført om lag fem IKT-sikkerhetstilsyn i året. Riksrevisjonen fant at NVEs tilsynsmetodikk i liten grad avdekker den faktiske sikkerhetstilstanden, fordi metoden er tillitsbasert og ikke tester om internkontrollsystemene faktisk fungerer i praksis. Svakheter ble også funnet i NVEs risikovurderinger for valg av tilsynsobjekter, i beredskaps- og varslingsarbeidet, og i oppfølgingen av IKT-sikkerhet hos leverandører. Olje- og energidepartementet ble kritisert for ikke å ha etterspurt tilstrekkelig styringsinformasjon. Riksrevisjonen vurderte NVEs tilsyn som sterkt kritikkverdig og den overordnede styringen som kritikkverdig.
Med et glimt i øyet
Kraftforsyningen er kritisk infrastruktur, men rekker vi fem tilsyn i året på 170 selskaper, tar det bare 34 år å komme innom alle én gang. Cyberangriperne trenger neppe å vente så lenge.
Dette er satire/humor – ikke dokumentert fakta.