Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Hvad har cybersikkerhed med offentlige kontrakter at gøre – NIS2 i et udbudsretligt lys

Bird & Bird
26/04/2024
Hvad har cybersikkerhed med offentlige kontrakter at gøre – NIS2 i et udbudsretligt lys
Bird & Bird logo
I 2018 trådte NIS1-direktivet i kraft, der blev lanceret som Europas første cybersikkerheds regulering, og som pålagde ”væsentlige operatører” i en række sektorer at efterleve omfattende krav til sikkerhed i net- og informationssystemer.

En udvidelse af reglerne er sidenhen blevet vedtaget, og den 17. oktober 2024 er der således implementeringsfrist for NIS2-direktivet. Denne overbygning indebærer blandt andet en væsentlig udvidelse de omfattede sektorer og aktører, ligesom sanktionerne for manglende efterlevelse skærpes.


Forsvarsministeriet har for nylig meddelt, at den danske implementering af regelregimet forventes at træde i kraft fra 1. januar 2025. Trods forsinkelsen herhjemme, nærmer udvidelsen af reguleringen sig derfor med hastige skridt, hvorfor forberedelserne herpå bør være i fuld gang.


Offentlige myndigheders kontrakter

NIS2 omfatter enheder i sektorer, der vurderes at være væsentlige eller vigtige for samfundet, herunder inden for energi, sundhed, drikkevand, affaldshåndtering og offentlig administration. Med udvidelsen af reglerne, vil en lang række offentlige myndigheder derfor nu blive omfattet. Derudover er omfattede myndigheder pålagt at risikovurdere deres leverandører, der således også vil blive mødt med krav fra deres kunder om at efterleve et særligt sikkerhedsniveau. De omfattede offentlige myndigheder skal dermed både lægge en intern plan for implementering og vedligeholdelse af kravene i NIS2, samtidig med at de fører tilsyn med deres omfattede leverandører.


NIS2 kan medføre væsentlige økonomiske og administrative omkostninger for de nye aktører, der bliver omfattet. Af minimumskrav til sikkerhedsforanstaltninger, vil aktører blandt andet blive pålagt:


  • at udarbejde politikker for risikoanalyse og informationssikkerhed,
  • at foretage hændelsesrapportering ved sikkerhedsbrud,
  • at sikre driftskontinuitet og
  • at opretholde sikkerhed i sine forsyningskæder


En offentlig myndighed, der leverer energi, eller som håndterer spildevand, skal således kunne dokumentere, at der er gennemført relevante risikovurderinger og implementeret konkrete målrettede foranstaltninger, herunder påvise at cybersikkerheden er understøttet i relevante kontrakter og forankret i ledelsen.


Trods de mange krav, kan særligt kravet om kontraktstyringdelen blive en udfordring for offentlige myndigheder. For hvor der lettere kan foretages interne ændringer i procedurer og sikkerhedsforanstaltninger, er det en helt anden sag at ændre i udbudte kontrakter – som eksempelvis en styrelses aftaler med sine it-leverandører – skulle disse ikke understøtte efterlevelsen af reguleringen.


Særligt angående kommuner

NIS2 omfatter statslige myndigheder og regionale myndigheder (såsom regionerne). For lokale myndigheder er der i direktivet lagt op til, at de enkelte medlemsstater selv kan beslutte, om de skal lade kommuner være omfattede eller ej.


Implementeringen af de omfattende krav i NIS2 er ikke noget der kan gennemføres fra den ene dag til den anden, og spørgsmålet for kommunerne er derfor, hvordan de i det nuværende vakuum ikke bruger borgernes penge på unødvendig compliance, men samtidig er forberedte, skulle de blive omfattet.


Mange af kravene under NIS2 er gode it sikkerhedstiltag, som er meningsfulde uanset hvad. Det vil derfor være hensigtsmæssigt for kommunerne at styrke deres viden om reguleringen og allerede nu lægge en plan for at arbejde på en meningsfuld og koordineret tilgang til NIS2 på tværs af samtlige kommuner, i tilfælde af at de bliver omfattet.


At sikre compliance

I forberedelserne på reguleringen er det vigtigt, at offentlige myndigheder generelt påbegynder en kortlægning af sårbarheder og risici både i sin egen organisation såvel som i sin forsyningskæde.


For mange offentlige myndigheder vil kunde/leverandørforholdet i høj grad blive påvirket af direktivet, og som myndighed i en omfattet sektor, bør du derfor undersøge om reguleringen er indtænkt i jeres allerede indgåede kontrakter, og derigennem sikre, at jeres leverandører er pålagt forpligtelser om at overholde minimumskravene til sikkerhedsforanstaltninger og hændelsesrapportering.


Skulle kontrakterne ikke indeholde relevante bestemmelser, kan I som kunde herefter estimere den reelle ændring, som de nye og skærpede krav i NIS2 vil kræve i den pågældende kontrakt. Først herefter kan de nødvendige ændringer foretages – forudsat, at der er udbudsretlige hjemmel hertil.


Ændringer af offentlige kontrakter

Muligheden for at ændre i kontrakter inden for udbudsrettens rammer er indskrænket, da der ikke kan foretages ændringer af en kontrakts grundlæggende elementer uden at gennemføre en ny udbudsprocedure. Ændringer kan dog alligevel ske på to måder:


  • ved en ændring i medfør af kontrakten, jf. udbudslovens § 179, stk. 1, eller
  • ved en ændring af kontrakten, jf. § 180, stk. 1


Den første mulighed angår ændringer af kontrakter, der har en klar, præcis og entydig ændringsklausul, og som dermed kontraktuelt medfører muligheden for at foretage ændringer. Ændringer herefter må aldrig forandre kontraktens overordnede karakter, men kan eksempelvis omhandle udskiftningen af et produkt som følge af nye branchestandarder.


Indeholder en kontrakt ikke en sådan ændringsklausul, kan der alligevel foretages en ændring efter den sidstnævnte mulighed, hvis konkrete grænser for værdien af ændringen ikke overskrides. Kan den værdiforøgelse af kontrakten, som ændringen medfører, ikke rummes inden for grænserne, skal der gennemføres et nyt udbud.


Ændringer efter de to ovennævnte muligheder vil altså ikke anses som ændringer af kontraktens grundlæggende elementer, og der er derfor en vej for ordregivere, hvis kontrakter ikke på stående fod er compliant med NIS2.


Skulle kontrakterne ikke indeholde fyldestgørende ændringsklausuler, kan en lang række kontrakter forventeligt tilføjes bestemmelser angående efterlevelse af reguleringen, ved hjælp af ændringsmuligheden i § 180, stk. 1.

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte mig.
Bird & Bird logo
København
Sundkrogsgade 21
2100 København Ø
72 24 12 12
72 24 12 13
denmark@twobirds.com
Gratis Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vær den første til at modtage relevante juridiske nyheder inden for dine interesseområder
Tilmeld dig nu
Fagligt indhold, der kunne være relevante for dig
Kan du påvirke udbudsmaterialet fra det offentlige?
Jurainfo logo
EXCLUSIVE
VIDEO
Kan du påvirke udbudsmaterialet fra det offentlige?
Kan man som privat tilbudsgiver påvirke udbudsmaterialet fra det offentlige? Det kommer Anja Piening, specialist i udbudsret, nærmere ind på her.
Biodiversitet i udbud. Er grøn det nye sort?
Jurainfo Exclusive logo
PODCAST
Biodiversitet i udbud. Er grøn det nye sort?
Biodiversitet ligger højt på den politiske agenda og kommer i fremtiden til at blive en større del af offentlige udbud. Hvor meget fylder biodiversitet i dag og på længere sigt? Det kommer vi ind på i denne episode, som er relevant for bøde offentlige ordregivere og private tilbudsgivere.
Artikler, der kunne være relevante for dig
Nye retningslinjer fra Social- og Boligstyrelsen: Hvad betyder de for opførelse af almene boliger?
Nye retningslinjer fra Social- og Boligstyrelsen: Hvad betyder de for opførelse af almene boliger?
19/11/2024
Fast ejendom og entreprise, Offentlig ret, Stats- og forvaltningsret
Blindsmagning eller blindgyde - må ordregiver brygge videre på evalueringen?
Blindsmagning eller blindgyde - må ordregiver brygge videre på evalueringen?
26/11/2024
Udbud
Kørestole "gjord" af det rette stof
Kørestole "gjord" af det rette stof
I går
Udbud
Uklar beskrivelse af fremgangsmåden for evalueringen af tilbudte rabatter førte til annullation af tildelingsbeslutning
Uklar beskrivelse af fremgangsmåden for evalueringen af tilbudte rabatter førte til annullation af tildelingsbeslutning
27/11/2024
Udbud
Uklare og skønsprægede mindstekrav i udbudsmaterialet førte til annullering af kontrakttildeling
Uklare og skønsprægede mindstekrav i udbudsmaterialet førte til annullering af kontrakttildeling
29/11/2024
Udbud
Kommunale indkøb på hjælpemiddelområdet – Skelnen mellem Leverandøraftaler og Prisindhentninger
Kommunale indkøb på hjælpemiddelområdet – Skelnen mellem Leverandøraftaler og Prisindhentninger
I går
Udbud
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted