Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Hvad har cybersikkerhed med offentlige kontrakter at gøre – NIS2 i et udbudsretligt lys

Bird & Bird
26/04/2024
Hvad har cybersikkerhed med offentlige kontrakter at gøre – NIS2 i et udbudsretligt lys
Bird & Bird logo
I 2018 trådte NIS1-direktivet i kraft, der blev lanceret som Europas første cybersikkerheds regulering, og som pålagde ”væsentlige operatører” i en række sektorer at efterleve omfattende krav til sikkerhed i net- og informationssystemer.

En udvidelse af reglerne er sidenhen blevet vedtaget, og den 17. oktober 2024 er der således implementeringsfrist for NIS2-direktivet. Denne overbygning indebærer blandt andet en væsentlig udvidelse de omfattede sektorer og aktører, ligesom sanktionerne for manglende efterlevelse skærpes.


Forsvarsministeriet har for nylig meddelt, at den danske implementering af regelregimet forventes at træde i kraft fra 1. januar 2025. Trods forsinkelsen herhjemme, nærmer udvidelsen af reguleringen sig derfor med hastige skridt, hvorfor forberedelserne herpå bør være i fuld gang.


Offentlige myndigheders kontrakter

NIS2 omfatter enheder i sektorer, der vurderes at være væsentlige eller vigtige for samfundet, herunder inden for energi, sundhed, drikkevand, affaldshåndtering og offentlig administration. Med udvidelsen af reglerne, vil en lang række offentlige myndigheder derfor nu blive omfattet. Derudover er omfattede myndigheder pålagt at risikovurdere deres leverandører, der således også vil blive mødt med krav fra deres kunder om at efterleve et særligt sikkerhedsniveau. De omfattede offentlige myndigheder skal dermed både lægge en intern plan for implementering og vedligeholdelse af kravene i NIS2, samtidig med at de fører tilsyn med deres omfattede leverandører.


NIS2 kan medføre væsentlige økonomiske og administrative omkostninger for de nye aktører, der bliver omfattet. Af minimumskrav til sikkerhedsforanstaltninger, vil aktører blandt andet blive pålagt:


  • at udarbejde politikker for risikoanalyse og informationssikkerhed,
  • at foretage hændelsesrapportering ved sikkerhedsbrud,
  • at sikre driftskontinuitet og
  • at opretholde sikkerhed i sine forsyningskæder


En offentlig myndighed, der leverer energi, eller som håndterer spildevand, skal således kunne dokumentere, at der er gennemført relevante risikovurderinger og implementeret konkrete målrettede foranstaltninger, herunder påvise at cybersikkerheden er understøttet i relevante kontrakter og forankret i ledelsen.


Trods de mange krav, kan særligt kravet om kontraktstyringdelen blive en udfordring for offentlige myndigheder. For hvor der lettere kan foretages interne ændringer i procedurer og sikkerhedsforanstaltninger, er det en helt anden sag at ændre i udbudte kontrakter – som eksempelvis en styrelses aftaler med sine it-leverandører – skulle disse ikke understøtte efterlevelsen af reguleringen.


Særligt angående kommuner

NIS2 omfatter statslige myndigheder og regionale myndigheder (såsom regionerne). For lokale myndigheder er der i direktivet lagt op til, at de enkelte medlemsstater selv kan beslutte, om de skal lade kommuner være omfattede eller ej.


Implementeringen af de omfattende krav i NIS2 er ikke noget der kan gennemføres fra den ene dag til den anden, og spørgsmålet for kommunerne er derfor, hvordan de i det nuværende vakuum ikke bruger borgernes penge på unødvendig compliance, men samtidig er forberedte, skulle de blive omfattet.


Mange af kravene under NIS2 er gode it sikkerhedstiltag, som er meningsfulde uanset hvad. Det vil derfor være hensigtsmæssigt for kommunerne at styrke deres viden om reguleringen og allerede nu lægge en plan for at arbejde på en meningsfuld og koordineret tilgang til NIS2 på tværs af samtlige kommuner, i tilfælde af at de bliver omfattet.


At sikre compliance

I forberedelserne på reguleringen er det vigtigt, at offentlige myndigheder generelt påbegynder en kortlægning af sårbarheder og risici både i sin egen organisation såvel som i sin forsyningskæde.


For mange offentlige myndigheder vil kunde/leverandørforholdet i høj grad blive påvirket af direktivet, og som myndighed i en omfattet sektor, bør du derfor undersøge om reguleringen er indtænkt i jeres allerede indgåede kontrakter, og derigennem sikre, at jeres leverandører er pålagt forpligtelser om at overholde minimumskravene til sikkerhedsforanstaltninger og hændelsesrapportering.


Skulle kontrakterne ikke indeholde relevante bestemmelser, kan I som kunde herefter estimere den reelle ændring, som de nye og skærpede krav i NIS2 vil kræve i den pågældende kontrakt. Først herefter kan de nødvendige ændringer foretages – forudsat, at der er udbudsretlige hjemmel hertil.


Ændringer af offentlige kontrakter

Muligheden for at ændre i kontrakter inden for udbudsrettens rammer er indskrænket, da der ikke kan foretages ændringer af en kontrakts grundlæggende elementer uden at gennemføre en ny udbudsprocedure. Ændringer kan dog alligevel ske på to måder:


  • ved en ændring i medfør af kontrakten, jf. udbudslovens § 179, stk. 1, eller
  • ved en ændring af kontrakten, jf. § 180, stk. 1


Den første mulighed angår ændringer af kontrakter, der har en klar, præcis og entydig ændringsklausul, og som dermed kontraktuelt medfører muligheden for at foretage ændringer. Ændringer herefter må aldrig forandre kontraktens overordnede karakter, men kan eksempelvis omhandle udskiftningen af et produkt som følge af nye branchestandarder.


Indeholder en kontrakt ikke en sådan ændringsklausul, kan der alligevel foretages en ændring efter den sidstnævnte mulighed, hvis konkrete grænser for værdien af ændringen ikke overskrides. Kan den værdiforøgelse af kontrakten, som ændringen medfører, ikke rummes inden for grænserne, skal der gennemføres et nyt udbud.


Ændringer efter de to ovennævnte muligheder vil altså ikke anses som ændringer af kontraktens grundlæggende elementer, og der er derfor en vej for ordregivere, hvis kontrakter ikke på stående fod er compliant med NIS2.


Skulle kontrakterne ikke indeholde fyldestgørende ændringsklausuler, kan en lang række kontrakter forventeligt tilføjes bestemmelser angående efterlevelse af reguleringen, ved hjælp af ændringsmuligheden i § 180, stk. 1.

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Bird & Bird logo
København
Sundkrogsgade 21
2100 København Ø
72 24 12 12
72 24 12 13
denmark@twobirds.com
Gratis Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vær den første til at modtage relevante juridiske nyheder inden for dine interesseområder
Tilmeld dig nu
Fagligt indhold, der kunne være relevante for dig
Kan du påvirke udbudsmaterialet fra det offentlige?
Jurainfo logo
EXCLUSIVE
VIDEO
Kan du påvirke udbudsmaterialet fra det offentlige?
Kan man som privat tilbudsgiver påvirke udbudsmaterialet fra det offentlige? Det kommer Anja Piening, specialist i udbudsret, nærmere ind på her.
Artikler, der kunne være relevante for dig
Aktindsigt - set fra helikopterperspektiv
Aktindsigt - set fra helikopterperspektiv
31/05/2024
Offentlig ret, Stats- og forvaltningsret, Udbud
Udtømning af en delaftales maksimale værdi var ikke uforudsigelig
Udtømning af en delaftales maksimale værdi var ikke uforudsigelig
03/06/2024
Udbud
Ny vejledning om aktindsigt i udbudssager
Ny vejledning om aktindsigt i udbudssager
03/06/2024
Udbud
Ny lov om energiparker vedtaget – regler om kortere sagsbehandlingstid er på vej
Ny lov om energiparker vedtaget – regler om kortere sagsbehandlingstid er på vej
07/06/2024
Energi og forsyning, Offentlig ret
Udbuddets snubletråde: Når små fejl får store følger
Udbuddets snubletråde: Når små fejl får store følger
18/06/2024
Udbud
Ordregiver overgik uberettiget til udbud med forhandling, men de tildelte og allerede indgåede delaftaler kunne ikke erklæres for uden virkning
Ordregiver overgik uberettiget til udbud med forhandling, men de tildelte og allerede indgåede delaftaler kunne ikke erklæres for uden virkning
18/06/2024
Udbud
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted