Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Nyt katalog over kontraktbestemmelser til styring af samfundskritiske it-systemer

Nyt katalog over kontraktbestemmelser til styring af samfundskritiske it-systemer
Bird & Bird logo
Digitaliseringsstyrelsen offentliggjorde i marts 2022 et katalog over kontraktbestemmelser, som myndigheder med ansvar for samfundskritiske it-systemer skal implementere i nye kontrakter efter ”følg eller forklar”-princippet.

Baggrunden for kataloget

Kataloget udspringer af den Nationale Strategi for Cyber- og Informationssikkerhed 2018-2021, som regeringen præsenterede i december 2021, og har til formål at øge informations- og forsyningssikkerheden for myndighedernes samfundskritiske it-systemer.


Kataloget er udarbejdet af en arbejdsgruppe bestående af Justitsministeriet, Forsvarsministeriet, Udvikling- og Forenklingsstyrelsen og Digitaliseringsstyrelsen.


Kataloget kan tilgås hér.


Målgruppen for kontraktbestemmelserne

Målgruppen for kontraktbestemmelserne er myndigheder, der:


  1. er ansvarlige for samfundskritiske it-systemer og
  2. outsourcer driften af disse it-systemer

Kontraktbestemmelserne skal således fortrinsvis benyttes af Staten, men regioner eller kommuner, der skal indgå en kontrakt om drift af samfundskritiske it-systemer, kan dog ligeledes søge inspiration i bestemmelserne.


Samfundskritiske it-systemer

Det er myndighederne selv der skal vurdere, om et it-system er samfundskritisk. I relation til vurderingen af, hvorvidt et it-system er samfundskritisk, har Digitaliseringsstyrelsen udarbejdet en definition heraf i Vejledning til model for porteføljestyring af statslige it-systemer. Efter vejledningens pkt. 4.1 defineres samfundskritiske it-systemer som:


”it-systemer, hvor større driftsforstyrrelser resulterer i væsentlige udfordringer for samfundet som helhed fx i form af økonomiske tab hos stat, virksomheder eller borgere, længerevarende nedbrud af kritisk infrastruktur eller reelle trusler for den nationale sikkerhed. Samfundskritiske it-systemer er således it-systemer, hvor utilgængelighed og driftsustabilitet i it-systemerne kan få markante følger for samfundet og for opretholdelsen af samfundskritiske processer.”


Ovenstående definition suppleres af følgende kriterier for, om et it-system er samfundskritisk:


Vil et it-systemnedbrud eller generelle fejl:


  • medføre et økonomisk tab af en størrelsesorden, der nødvendiggør særlige tiltag og større omprioriteringer på tværs inden for staten?
  • medføre et økonomisk tab af en størrelsesorden, der medfører betydelige økonomiske udfordringer for et bredt udsnit af borgere og virksomheder?
  • påvirke væsentlige dele af kritisk infrastruktur (såsom trafik, forsyning, beredskab eller systemer, hvor utilgængelighed og driftsustabilitet i hospitalsdrift), så denne bliver sat ud af drift og aktiverer nødberedskab?

Er it-systemet vigtigt for opretholdelsen af den nationale sikkerhed?

Implementering – ”følg eller forklar”-princippet

Myndigheder med ansvar for samfundskritiske systemer skal forholde sig til katalogets kontraktbestemmelser i forbindelse med outsourcing af driften heraf. Det skal gøres efter ”følg eller forklar”-princippet, dvs. at myndigheden skal følge katalogets bestemmelser, medmindre særlige forhold gør sig gældende, og myndigheden kan forklare, hvorfor en given bestemmelse ikke skal indgå i kontrakten.


Indholdet af kataloget

Katalogets kontraktbestemmelser vedrører fire temaer:


  1. driftsafvikling
  2. sikkerhed
  3. persondata
  4. kontrol

Katalogets bestemmelser kan operationaliseres ved at indarbejde vilkår fra standardkontrakten for it-drift, K04, og det appendiks, som er offentliggjort sammen med kataloget. Appendikset indeholder den fulde ordlyd af bestemmelser, der ikke indgår i standardkontrakterne. Myndigheden behøver dog ikke anvende den foreslåede operationalisering og kan således i stedet anvende egne kontraktskabeloner, hvis myndigheden blot her indarbejder katalogets bestemmelser.


Bird & Birds kommentarer

I takt med den stigende digitalisering og vores stadig større afhængighed af offentlige it-systemer, er der tale om et vigtigt og godt initiativ. Der er heller ikke tvivl om, at de 4 temaer (driftsafvikling, sikkerhed, persondata og kontrol) er særdeles vigtige for forsynings- og informationssikkerheden i relation til sådanne samfundskritiske it-systemer.


Uanset dette er vi en smule forbeholdne overfor initiativet. For det første fordi de meget specifikke og detaljerede vilkår - i kombination med følg eller forklar princippet - kan komme til at udgøre en ”spændetrøje” for myndighederne, der kan gøre det dyrere og mere besværligt at outsource driften af systemerne. Vi havde hellere set en mere fleksibel ramme, hvor der er rum og plads til at finde de løsninger, der passer på den konkrete situation.


For det andet fordi bestemmelserne på flere områder forekommer håbløst forældede, idet de er skrevet ud fra en ”on-premise” tankegang. En række af bestemmelserne passer således ikke eller kun meget dårligt på en cloud-baseret drift, ligesom de ikke vil kunne gennemføres overfor underleverandører af (public) cloud ydelser.

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte mig.
Fagligt indhold, der kunne være relevante for dig
Husk din ejeraftale - Selskabslovens regler er ikke nok
Jurainfo Exclusive logo
PODCAST
Husk din ejeraftale - Selskabslovens regler er ikke nok
Hvorfor er det så vigtigt at have en ejeraftale mellem ejerne af små og mellemstore virksomheder? Fordi fordi Selskabsloven ikke tager stilling til mange af de helt væsentlige forhold, som typisk opstår mellem ejerne. Bliv klogere i denne episode og få gode input til hvordan du kommer i gang samt hvad en ejeraftalen skal indeholde.
Har du styr på din eksportkontrol, når du eksporterer varer til udlandet?
Jurainfo logo
EXCLUSIVE
VIDEO
Har du styr på din eksportkontrol, når du eksporterer varer til udlandet?
Eksporterer din virksomhed varer til udlandet? Så er den formentligt underlagt reglerne om eksportkontrol. Annelise Lykke Schmidt, specialist i Trade Compliance, kommer i ovenstående video nærmere ind på reglerne relateret til eksportkontrol.
Hvad skal en ejeraftale mellem virksomhedsejere indeholde?
Jurainfo Exclusive logo
PODCAST
Hvad skal en ejeraftale mellem virksomhedsejere indeholde?
Hvad bør man overveje at have med i en ejeraftale mellem to eller flere ejere af en virksomhed? Advokat med speciale ejeraftaler, Niklas Nyborg, kommer med med input og inspiration til hvad aftalen bør indeholde.
Artikler, der kunne være relevante for dig
Forslag om op til 8 års fængsel for overtrædelse af EU-sanktioner
Forslag om op til 8 års fængsel for overtrædelse af EU-sanktioner
02/04/2025
EU-ret, Compliance
Derfor får I ikke de rigtige ansøgere
Derfor får I ikke de rigtige ansøgere
02/04/2025
Branchenyheder, Tips & Tricks (Rekruttering), Øvrige
ESMA's forslag vedrørende MAR giver ikke kun lettelse og klarhed for udstedere
ESMA's forslag vedrørende MAR giver ikke kun lettelse og klarhed for udstedere
31/03/2025
Finansiering og bankret, Øvrige, EU-ret
Overholder I slettefristerne for personoplysninger?
Overholder I slettefristerne for personoplysninger?
04/04/2025
Persondata, Compliance
EDPB vedtager opdateret version af proceduren for godkendelse af Binding Corporate Rules
EDPB vedtager opdateret version af proceduren for godkendelse af Binding Corporate Rules
07/04/2025
Persondata
Told og toldstigninger: Hvem bærer risikoen i kontraktforhold?
Told og toldstigninger: Hvem bærer risikoen i kontraktforhold?
11/04/2025
Kontraktret
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
[email protected]
Ønsker du at udgive materiale?
2025 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted