Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Nyt katalog over kontraktbestemmelser til styring af samfundskritiske it-systemer

Bird & Bird
07/06/2022
Kontraktret, IT-ret, Øvrige, Compliance, Persondataret
Nyt katalog over kontraktbestemmelser til styring af samfundskritiske it-systemer
Bird & Bird logo
Jesper Langemark
Jesper Langemark Advokat & Partner
Digitaliseringsstyrelsen offentliggjorde i marts 2022 et katalog over kontraktbestemmelser, som myndigheder med ansvar for samfundskritiske it-systemer skal implementere i nye kontrakter efter ”følg eller forklar”-princippet.

Baggrunden for kataloget

Kataloget udspringer af den Nationale Strategi for Cyber- og Informationssikkerhed 2018-2021, som regeringen præsenterede i december 2021, og har til formål at øge informations- og forsyningssikkerheden for myndighedernes samfundskritiske it-systemer.


Kataloget er udarbejdet af en arbejdsgruppe bestående af Justitsministeriet, Forsvarsministeriet, Udvikling- og Forenklingsstyrelsen og Digitaliseringsstyrelsen.


Kataloget kan tilgås hér.


Målgruppen for kontraktbestemmelserne

Målgruppen for kontraktbestemmelserne er myndigheder, der:


  1. er ansvarlige for samfundskritiske it-systemer og
  2. outsourcer driften af disse it-systemer

Kontraktbestemmelserne skal således fortrinsvis benyttes af Staten, men regioner eller kommuner, der skal indgå en kontrakt om drift af samfundskritiske it-systemer, kan dog ligeledes søge inspiration i bestemmelserne.


Samfundskritiske it-systemer

Det er myndighederne selv der skal vurdere, om et it-system er samfundskritisk. I relation til vurderingen af, hvorvidt et it-system er samfundskritisk, har Digitaliseringsstyrelsen udarbejdet en definition heraf i Vejledning til model for porteføljestyring af statslige it-systemer. Efter vejledningens pkt. 4.1 defineres samfundskritiske it-systemer som:


”it-systemer, hvor større driftsforstyrrelser resulterer i væsentlige udfordringer for samfundet som helhed fx i form af økonomiske tab hos stat, virksomheder eller borgere, længerevarende nedbrud af kritisk infrastruktur eller reelle trusler for den nationale sikkerhed. Samfundskritiske it-systemer er således it-systemer, hvor utilgængelighed og driftsustabilitet i it-systemerne kan få markante følger for samfundet og for opretholdelsen af samfundskritiske processer.”


Ovenstående definition suppleres af følgende kriterier for, om et it-system er samfundskritisk:


Vil et it-systemnedbrud eller generelle fejl:


  • medføre et økonomisk tab af en størrelsesorden, der nødvendiggør særlige tiltag og større omprioriteringer på tværs inden for staten?
  • medføre et økonomisk tab af en størrelsesorden, der medfører betydelige økonomiske udfordringer for et bredt udsnit af borgere og virksomheder?
  • påvirke væsentlige dele af kritisk infrastruktur (såsom trafik, forsyning, beredskab eller systemer, hvor utilgængelighed og driftsustabilitet i hospitalsdrift), så denne bliver sat ud af drift og aktiverer nødberedskab?

Er it-systemet vigtigt for opretholdelsen af den nationale sikkerhed?

Implementering – ”følg eller forklar”-princippet

Myndigheder med ansvar for samfundskritiske systemer skal forholde sig til katalogets kontraktbestemmelser i forbindelse med outsourcing af driften heraf. Det skal gøres efter ”følg eller forklar”-princippet, dvs. at myndigheden skal følge katalogets bestemmelser, medmindre særlige forhold gør sig gældende, og myndigheden kan forklare, hvorfor en given bestemmelse ikke skal indgå i kontrakten.


Indholdet af kataloget

Katalogets kontraktbestemmelser vedrører fire temaer:


  1. driftsafvikling
  2. sikkerhed
  3. persondata
  4. kontrol

Katalogets bestemmelser kan operationaliseres ved at indarbejde vilkår fra standardkontrakten for it-drift, K04, og det appendiks, som er offentliggjort sammen med kataloget. Appendikset indeholder den fulde ordlyd af bestemmelser, der ikke indgår i standardkontrakterne. Myndigheden behøver dog ikke anvende den foreslåede operationalisering og kan således i stedet anvende egne kontraktskabeloner, hvis myndigheden blot her indarbejder katalogets bestemmelser.


Bird & Birds kommentarer

I takt med den stigende digitalisering og vores stadig større afhængighed af offentlige it-systemer, er der tale om et vigtigt og godt initiativ. Der er heller ikke tvivl om, at de 4 temaer (driftsafvikling, sikkerhed, persondata og kontrol) er særdeles vigtige for forsynings- og informationssikkerheden i relation til sådanne samfundskritiske it-systemer.


Uanset dette er vi en smule forbeholdne overfor initiativet. For det første fordi de meget specifikke og detaljerede vilkår - i kombination med følg eller forklar princippet - kan komme til at udgøre en ”spændetrøje” for myndighederne, der kan gøre det dyrere og mere besværligt at outsource driften af systemerne. Vi havde hellere set en mere fleksibel ramme, hvor der er rum og plads til at finde de løsninger, der passer på den konkrete situation.


For det andet fordi bestemmelserne på flere områder forekommer håbløst forældede, idet de er skrevet ud fra en ”on-premise” tankegang. En række af bestemmelserne passer således ikke eller kun meget dårligt på en cloud-baseret drift, ligesom de ikke vil kunne gennemføres overfor underleverandører af (public) cloud ydelser.

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Artiklen er forfattet af:
Jesper Langemark
Advokat & Partner
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte mig.

Skal din artikel også udgives via Jurainfo og udsendes direkte, via e-mail, til personer og virksomheder som specifikt efterspørger viden og kompetencer inden for dit område? Ansøg om en profil her.

Bird & Bird logo
Gå til hjemmeside
København
Sundkrogsgade 21
2100 København Ø
72 24 12 12
72 24 12 13
Jobbørs
Sourcing Manager – GF Forsikring
Jurist til GDPR og informationssikkerhed på Roskilde Universitet
Jurist til udvikling af boliglovgivning og politisk betjening – med personalebolig
INNOVA Advokatfirma søger erfaren advokatfuldmægtig eller advokat til vores afdeling INNOVA Byggeri og Fast ejendom
Tilmeld jobagent Se alle jobs
Indryk din jobannonce
og få vist dit stillingsopslag til mere kvalificerede kandidater allerede i dag.
Se hvordan - klik her
Fagligt indhold, der kunne være relevante for dig
Eksterne investorer - Hvor, hvornår og hvordan?
Jurainfo logo
EXCLUSIVE
VIDEO
Eksterne investorer - Hvor, hvornår og hvordan?
Mange iværksætter overvejer før eller siden om de skal have eksterne investorer ind. Hvad skal man gøre sig af overvejelser inden man vælger at tage investorer ind i sin virksomhed?
Se video
Juridiske kandidater er i høj kurs
Jurainfo logo
EXCLUSIVE
VIDEO
Juridiske kandidater er i høj kurs
Mange virksomheder oplever, at det er svært at tiltrække kompetent juridisk arbejdskraft. Men det behøver det ikke nødvendigvis være - Hvordan kommer vi ind på i denne video hvor vi fortæller om vores erfaringer med markedet og giver gode råd til hvordan du får fat i de rigtige kandidater.
Se video
Hvad skal en ejeraftale mellem virksomhedsejere indeholde?
Jurainfo Exclusive logo
PODCAST
Hvad skal en ejeraftale mellem virksomhedsejere indeholde?
Hvad bør man overveje at have med i en ejeraftale mellem to eller flere ejere af en virksomhed? Advokat med speciale ejeraftaler, Niklas Nyborg, kommer med med input og inspiration til hvad aftalen bør indeholde.
Hør podcast
Artikler, der kunne være relevante for dig
Forbrugerombudsmanden reagerer på virksomheders praksis for at indhente samtykke via double opt-in
Forbrugerombudsmanden reagerer på virksomheders praksis for at indhente samtykke via double opt-in
10/06/2026
E-handelsret og markedsføringsret, Compliance
Den største risiko for 80 % af alle virksomheder er ofte usynlig
Den største risiko for 80 % af alle virksomheder er ofte usynlig
18/06/2026
Kontraktret, Selskabsret, Øvrige, Finansieringsret og bankret
Ny fælles europæisk skabelon for anmeldelse af brud på persondatasikkerheden
Ny fælles europæisk skabelon for anmeldelse af brud på persondatasikkerheden
18/06/2026
Persondataret, Compliance
AI-genereret indhold: Nye krav om tydelig mærkning efter AI-forordningen fra 2. august 2026
AI-genereret indhold: Nye krav om tydelig mærkning efter AI-forordningen fra 2. august 2026
18/06/2026
E-handelsret og markedsføringsret, Compliance
Airbnb og skat: Hvad gør du, hvis du er udtaget til kontrol?
Airbnb og skat: Hvad gør du, hvis du er udtaget til kontrol?
18/06/2026
Skatte- og afgiftsret, Lejeret, Øvrige
Techplatformes algoritmer kan medføre selvstændigt ansvar for brugerindhold
Techplatformes algoritmer kan medføre selvstændigt ansvar for brugerindhold
22/06/2026
EU-ret, E-handelsret og markedsføringsret, Øvrige
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62A, DK-2860 Søborg
(+45) 71 99 01 11
[email protected]
Ønsker du at udgive materiale?
Følg Jurainfo.dk på:
2026 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted
Vilkår for publicering af materiale Privatlivs- og cookiepolitik   |   Ret dit samtykke