Hvad har cybersikkerhed med offentlige kontrakter at gøre – NIS2 i et udbudsretligt lys
En udvidelse af reglerne er sidenhen blevet vedtaget, og den 17. oktober 2024 er der således implementeringsfrist for NIS2-direktivet. Denne overbygning indebærer blandt andet en væsentlig udvidelse de omfattede sektorer og aktører, ligesom sanktionerne for manglende efterlevelse skærpes.
Forsvarsministeriet har for nylig meddelt, at den danske implementering af regelregimet forventes at træde i kraft fra 1. januar 2025. Trods forsinkelsen herhjemme, nærmer udvidelsen af reguleringen sig derfor med hastige skridt, hvorfor forberedelserne herpå bør være i fuld gang.
Offentlige myndigheders kontrakter
NIS2 omfatter enheder i sektorer, der vurderes at være væsentlige eller vigtige for samfundet, herunder inden for energi, sundhed, drikkevand, affaldshåndtering og offentlig administration. Med udvidelsen af reglerne, vil en lang række offentlige myndigheder derfor nu blive omfattet. Derudover er omfattede myndigheder pålagt at risikovurdere deres leverandører, der således også vil blive mødt med krav fra deres kunder om at efterleve et særligt sikkerhedsniveau. De omfattede offentlige myndigheder skal dermed både lægge en intern plan for implementering og vedligeholdelse af kravene i NIS2, samtidig med at de fører tilsyn med deres omfattede leverandører.
NIS2 kan medføre væsentlige økonomiske og administrative omkostninger for de nye aktører, der bliver omfattet. Af minimumskrav til sikkerhedsforanstaltninger, vil aktører blandt andet blive pålagt:
- at udarbejde politikker for risikoanalyse og informationssikkerhed,
- at foretage hændelsesrapportering ved sikkerhedsbrud,
- at sikre driftskontinuitet og
- at opretholde sikkerhed i sine forsyningskæder
En offentlig myndighed, der leverer energi, eller som håndterer spildevand, skal således kunne dokumentere, at der er gennemført relevante risikovurderinger og implementeret konkrete målrettede foranstaltninger, herunder påvise at cybersikkerheden er understøttet i relevante kontrakter og forankret i ledelsen.
Trods de mange krav, kan særligt kravet om kontraktstyringdelen blive en udfordring for offentlige myndigheder. For hvor der lettere kan foretages interne ændringer i procedurer og sikkerhedsforanstaltninger, er det en helt anden sag at ændre i udbudte kontrakter – som eksempelvis en styrelses aftaler med sine it-leverandører – skulle disse ikke understøtte efterlevelsen af reguleringen.
Særligt angående kommuner
NIS2 omfatter statslige myndigheder og regionale myndigheder (såsom regionerne). For lokale myndigheder er der i direktivet lagt op til, at de enkelte medlemsstater selv kan beslutte, om de skal lade kommuner være omfattede eller ej.
Implementeringen af de omfattende krav i NIS2 er ikke noget der kan gennemføres fra den ene dag til den anden, og spørgsmålet for kommunerne er derfor, hvordan de i det nuværende vakuum ikke bruger borgernes penge på unødvendig compliance, men samtidig er forberedte, skulle de blive omfattet.
Mange af kravene under NIS2 er gode it sikkerhedstiltag, som er meningsfulde uanset hvad. Det vil derfor være hensigtsmæssigt for kommunerne at styrke deres viden om reguleringen og allerede nu lægge en plan for at arbejde på en meningsfuld og koordineret tilgang til NIS2 på tværs af samtlige kommuner, i tilfælde af at de bliver omfattet.
At sikre compliance
I forberedelserne på reguleringen er det vigtigt, at offentlige myndigheder generelt påbegynder en kortlægning af sårbarheder og risici både i sin egen organisation såvel som i sin forsyningskæde.
For mange offentlige myndigheder vil kunde/leverandørforholdet i høj grad blive påvirket af direktivet, og som myndighed i en omfattet sektor, bør du derfor undersøge om reguleringen er indtænkt i jeres allerede indgåede kontrakter, og derigennem sikre, at jeres leverandører er pålagt forpligtelser om at overholde minimumskravene til sikkerhedsforanstaltninger og hændelsesrapportering.
Skulle kontrakterne ikke indeholde relevante bestemmelser, kan I som kunde herefter estimere den reelle ændring, som de nye og skærpede krav i NIS2 vil kræve i den pågældende kontrakt. Først herefter kan de nødvendige ændringer foretages – forudsat, at der er udbudsretlige hjemmel hertil.
Ændringer af offentlige kontrakter
Muligheden for at ændre i kontrakter inden for udbudsrettens rammer er indskrænket, da der ikke kan foretages ændringer af en kontrakts grundlæggende elementer uden at gennemføre en ny udbudsprocedure. Ændringer kan dog alligevel ske på to måder:
- ved en ændring i medfør af kontrakten, jf. udbudslovens § 179, stk. 1, eller
- ved en ændring af kontrakten, jf. § 180, stk. 1
Den første mulighed angår ændringer af kontrakter, der har en klar, præcis og entydig ændringsklausul, og som dermed kontraktuelt medfører muligheden for at foretage ændringer. Ændringer herefter må aldrig forandre kontraktens overordnede karakter, men kan eksempelvis omhandle udskiftningen af et produkt som følge af nye branchestandarder.
Indeholder en kontrakt ikke en sådan ændringsklausul, kan der alligevel foretages en ændring efter den sidstnævnte mulighed, hvis konkrete grænser for værdien af ændringen ikke overskrides. Kan den værdiforøgelse af kontrakten, som ændringen medfører, ikke rummes inden for grænserne, skal der gennemføres et nyt udbud.
Ændringer efter de to ovennævnte muligheder vil altså ikke anses som ændringer af kontraktens grundlæggende elementer, og der er derfor en vej for ordregivere, hvis kontrakter ikke på stående fod er compliant med NIS2.
Skulle kontrakterne ikke indeholde fyldestgørende ændringsklausuler, kan en lang række kontrakter forventeligt tilføjes bestemmelser angående efterlevelse af reguleringen, ved hjælp af ændringsmuligheden i § 180, stk. 1.