Nyt katalog over kontraktbestemmelser til styring af samfundskritiske it-systemer

Baggrunden for kataloget

Kataloget udspringer af den Nationale Strategi for Cyber- og Informationssikkerhed 2018-2021, som regeringen præsenterede i december 2021, og har til formål at øge informations- og forsyningssikkerheden for myndighedernes samfundskritiske it-systemer.

Kataloget er udarbejdet af en arbejdsgruppe bestående af Justitsministeriet, Forsvarsministeriet, Udvikling- og Forenklingsstyrelsen og Digitaliseringsstyrelsen.

Kataloget kan tilgås hér.

Målgruppen for kontraktbestemmelserne

Målgruppen for kontraktbestemmelserne er myndigheder, der:

1. er ansvarlige for samfundskritiske it-systemer og
2. outsourcer driften af disse it-systemer

Kontraktbestemmelserne skal således fortrinsvis benyttes af Staten, men regioner eller kommuner, der skal indgå en kontrakt om drift af samfundskritiske it-systemer, kan dog ligeledes søge inspiration i bestemmelserne.

Samfundskritiske it-systemer

Det er myndighederne selv der skal vurdere, om et it-system er samfundskritisk. I relation til vurderingen af, hvorvidt et it-system er samfundskritisk, har Digitaliseringsstyrelsen udarbejdet en definition heraf i Vejledning til model for porteføljestyring af statslige it-systemer. Efter vejledningens pkt. 4.1 defineres samfundskritiske it-systemer som:

”it-systemer, hvor større driftsforstyrrelser resulterer i væsentlige udfordringer for samfundet som helhed fx i form af økonomiske tab hos stat, virksomheder eller borgere, længerevarende nedbrud af kritisk infrastruktur eller reelle trusler for den nationale sikkerhed. Samfundskritiske it-systemer er således it-systemer, hvor utilgængelighed og driftsustabilitet i it-systemerne kan få markante følger for samfundet og for opretholdelsen af samfundskritiske processer.”

Ovenstående definition suppleres af følgende kriterier for, om et it-system er samfundskritisk:

Vil et it-systemnedbrud eller generelle fejl:

• medføre et økonomisk tab af en størrelsesorden, der nødvendiggør særlige tiltag og større omprioriteringer på tværs inden for staten?
• medføre et økonomisk tab af en størrelsesorden, der medfører betydelige økonomiske udfordringer for et bredt udsnit af borgere og virksomheder?
• påvirke væsentlige dele af kritisk infrastruktur (såsom trafik, forsyning, beredskab eller systemer, hvor utilgængelighed og driftsustabilitet i hospitalsdrift), så denne bliver sat ud af drift og aktiverer nødberedskab?

Er it-systemet vigtigt for opretholdelsen af den nationale sikkerhed?

Implementering – ”følg eller forklar”-princippet

Myndigheder med ansvar for samfundskritiske systemer skal forholde sig til katalogets kontraktbestemmelser i forbindelse med outsourcing af driften heraf. Det skal gøres efter ”følg eller forklar”-princippet, dvs. at myndigheden skal følge katalogets bestemmelser, medmindre særlige forhold gør sig gældende, og myndigheden kan forklare, hvorfor en given bestemmelse ikke skal indgå i kontrakten.

Indholdet af kataloget

Katalogets kontraktbestemmelser vedrører fire temaer:

1. driftsafvikling
2. sikkerhed
3. persondata
4. kontrol

Katalogets bestemmelser kan operationaliseres ved at indarbejde vilkår fra standardkontrakten for it-drift, K04, og det appendiks, som er offentliggjort sammen med kataloget. Appendikset indeholder den fulde ordlyd af bestemmelser, der ikke indgår i standardkontrakterne. Myndigheden behøver dog ikke anvende den foreslåede operationalisering og kan således i stedet anvende egne kontraktskabeloner, hvis myndigheden blot her indarbejder katalogets bestemmelser.

Bird & Birds kommentarer

I takt med den stigende digitalisering og vores stadig større afhængighed af offentlige it-systemer, er der tale om et vigtigt og godt initiativ. Der er heller ikke tvivl om, at de 4 temaer (driftsafvikling, sikkerhed, persondata og kontrol) er særdeles vigtige for forsynings- og informationssikkerheden i relation til sådanne samfundskritiske it-systemer.

Uanset dette er vi en smule forbeholdne overfor initiativet. For det første fordi de meget specifikke og detaljerede vilkår - i kombination med følg eller forklar princippet - kan komme til at udgøre en ”spændetrøje” for myndighederne, der kan gøre det dyrere og mere besværligt at outsource driften af systemerne. Vi havde hellere set en mere fleksibel ramme, hvor der er rum og plads til at finde de løsninger, der passer på den konkrete situation.

For det andet fordi bestemmelserne på flere områder forekommer håbløst forældede, idet de er skrevet ud fra en ”on-premise” tankegang. En række af bestemmelserne passer således ikke eller kun meget dårligt på en cloud-baseret drift, ligesom de ikke vil kunne gennemføres overfor underleverandører af (public) cloud ydelser.