Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Nyt katalog over kontraktbestemmelser til styring af samfundskritiske it-systemer

Bird & Bird
07/06/2022
Kontraktret, IT- og telekommunikation, Øvrige, Compliance, Persondata
Nyt katalog over kontraktbestemmelser til styring af samfundskritiske it-systemer
Bird & Bird logo
Jesper Langemark
Jesper Langemark Advokat & Partner
Digitaliseringsstyrelsen offentliggjorde i marts 2022 et katalog over kontraktbestemmelser, som myndigheder med ansvar for samfundskritiske it-systemer skal implementere i nye kontrakter efter ”følg eller forklar”-princippet.

Baggrunden for kataloget

Kataloget udspringer af den Nationale Strategi for Cyber- og Informationssikkerhed 2018-2021, som regeringen præsenterede i december 2021, og har til formål at øge informations- og forsyningssikkerheden for myndighedernes samfundskritiske it-systemer.


Kataloget er udarbejdet af en arbejdsgruppe bestående af Justitsministeriet, Forsvarsministeriet, Udvikling- og Forenklingsstyrelsen og Digitaliseringsstyrelsen.


Kataloget kan tilgås hér.


Målgruppen for kontraktbestemmelserne

Målgruppen for kontraktbestemmelserne er myndigheder, der:


  1. er ansvarlige for samfundskritiske it-systemer og
  2. outsourcer driften af disse it-systemer

Kontraktbestemmelserne skal således fortrinsvis benyttes af Staten, men regioner eller kommuner, der skal indgå en kontrakt om drift af samfundskritiske it-systemer, kan dog ligeledes søge inspiration i bestemmelserne.


Samfundskritiske it-systemer

Det er myndighederne selv der skal vurdere, om et it-system er samfundskritisk. I relation til vurderingen af, hvorvidt et it-system er samfundskritisk, har Digitaliseringsstyrelsen udarbejdet en definition heraf i Vejledning til model for porteføljestyring af statslige it-systemer. Efter vejledningens pkt. 4.1 defineres samfundskritiske it-systemer som:


”it-systemer, hvor større driftsforstyrrelser resulterer i væsentlige udfordringer for samfundet som helhed fx i form af økonomiske tab hos stat, virksomheder eller borgere, længerevarende nedbrud af kritisk infrastruktur eller reelle trusler for den nationale sikkerhed. Samfundskritiske it-systemer er således it-systemer, hvor utilgængelighed og driftsustabilitet i it-systemerne kan få markante følger for samfundet og for opretholdelsen af samfundskritiske processer.”


Ovenstående definition suppleres af følgende kriterier for, om et it-system er samfundskritisk:


Vil et it-systemnedbrud eller generelle fejl:


  • medføre et økonomisk tab af en størrelsesorden, der nødvendiggør særlige tiltag og større omprioriteringer på tværs inden for staten?
  • medføre et økonomisk tab af en størrelsesorden, der medfører betydelige økonomiske udfordringer for et bredt udsnit af borgere og virksomheder?
  • påvirke væsentlige dele af kritisk infrastruktur (såsom trafik, forsyning, beredskab eller systemer, hvor utilgængelighed og driftsustabilitet i hospitalsdrift), så denne bliver sat ud af drift og aktiverer nødberedskab?

Er it-systemet vigtigt for opretholdelsen af den nationale sikkerhed?

Implementering – ”følg eller forklar”-princippet

Myndigheder med ansvar for samfundskritiske systemer skal forholde sig til katalogets kontraktbestemmelser i forbindelse med outsourcing af driften heraf. Det skal gøres efter ”følg eller forklar”-princippet, dvs. at myndigheden skal følge katalogets bestemmelser, medmindre særlige forhold gør sig gældende, og myndigheden kan forklare, hvorfor en given bestemmelse ikke skal indgå i kontrakten.


Indholdet af kataloget

Katalogets kontraktbestemmelser vedrører fire temaer:


  1. driftsafvikling
  2. sikkerhed
  3. persondata
  4. kontrol

Katalogets bestemmelser kan operationaliseres ved at indarbejde vilkår fra standardkontrakten for it-drift, K04, og det appendiks, som er offentliggjort sammen med kataloget. Appendikset indeholder den fulde ordlyd af bestemmelser, der ikke indgår i standardkontrakterne. Myndigheden behøver dog ikke anvende den foreslåede operationalisering og kan således i stedet anvende egne kontraktskabeloner, hvis myndigheden blot her indarbejder katalogets bestemmelser.


Bird & Birds kommentarer

I takt med den stigende digitalisering og vores stadig større afhængighed af offentlige it-systemer, er der tale om et vigtigt og godt initiativ. Der er heller ikke tvivl om, at de 4 temaer (driftsafvikling, sikkerhed, persondata og kontrol) er særdeles vigtige for forsynings- og informationssikkerheden i relation til sådanne samfundskritiske it-systemer.


Uanset dette er vi en smule forbeholdne overfor initiativet. For det første fordi de meget specifikke og detaljerede vilkår - i kombination med følg eller forklar princippet - kan komme til at udgøre en ”spændetrøje” for myndighederne, der kan gøre det dyrere og mere besværligt at outsource driften af systemerne. Vi havde hellere set en mere fleksibel ramme, hvor der er rum og plads til at finde de løsninger, der passer på den konkrete situation.


For det andet fordi bestemmelserne på flere områder forekommer håbløst forældede, idet de er skrevet ud fra en ”on-premise” tankegang. En række af bestemmelserne passer således ikke eller kun meget dårligt på en cloud-baseret drift, ligesom de ikke vil kunne gennemføres overfor underleverandører af (public) cloud ydelser.

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Artiklen er forfattet af:
Jesper Langemark
Advokat & Partner
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte mig.
Bird & Bird logo
Gå til hjemmeside
København
Sundkrogsgade 21
2100 København Ø
72 24 12 12
72 24 12 13
denmark@twobirds.com
Gratis Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vær den første til at modtage relevante juridiske nyheder inden for dine interesseområder
Tilmeld dig nu
Jobbørs
Advokat eller cand.merc.jur. med erfaring indenfor M&A
Contract manager med god talforståelse
Jurist med interesse for grøn omstilling og energi
Jurist med interesse for naturbeskyttelse
Jurist til Søfartsstyrelsen
Juridisk konsulent
Jurist med stærke kompetencer inden for socialret, databeskyttelsesret og famil...
Legal Advisor
Tilmeld jobagent Se alle jobs
Faglige videoer, der kunne være relevante for dig
Force majeure - hvornår kan begrebet anvendes?
Mange virksomheder er ikke opmærksomme på at udvide force majeure-begrebet i deres kontrakter og flere anvender begrebet helt forkert. Bliv klogere på hvornår noget er en force majeure-begivenhed og hvornår du kan benytte en force majeure-klausul ved manglende leveringer.
Se video
Eksterne investorer - Hvor, hvornår og hvordan?
Mange iværksætter overvejer før eller siden om de skal have eksterne investorer ind. Hvad skal man gøre sig af overvejelser inden man vælger at tage investorer ind i sin virksomhed?
Se video
Har du styr på din eksportkontrol, når du eksporterer varer til udlandet?
Eksporterer din virksomhed varer til udlandet? Så er den formentligt underlagt reglerne om eksportkontrol. Annelise Lykke Schmidt, specialist i Trade Compliance, kommer i ovenstående video nærmere ind på reglerne relateret til eksportkontrol.
Se video
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Se video
Juridiske kandidater er i høj kurs
Mange virksomheder oplever, at det er svært at tiltrække kompetent juridisk arbejdskraft. Men det behøver det ikke nødvendigvis være - Hvordan kommer vi ind på i denne video hvor vi fortæller om vores erfaringer med markedet og giver gode råd til hvordan du får fat i de rigtige kandidater.
Se video
Kurser, der kunne være relevante for dig
Lovteknik
Djøf logo
6. juni + flere datoer
København V
Lovteknik
Få grundlæggende kendskab til stadierne i lovgivningsprocessen, og lær at udarbejde love og bekendtgørelser på kurset.
15.250 kr.
25 kursuspoint
Den nye forhandler
Djøf logo
6. juni + flere datoer
København S
Den nye forhandler
Få teoretiske og praktiske redskaber til alle faser i en forhandling, og lær at forhandle bedre aftaler på Djøfs kursus.
10.900 kr.
14 kursuspoint
Forhandleruddannelsen
Djøf logo
6. juni + flere datoer
København V
Forhandleruddannelsen
Bliv rustet til professionelle forhandlinger på ’Forhandleruddannelsen’, og nå bedre aftaler med fokus på interesser.
29.950 kr.
40 kursuspoint
GDPR og medarbejdere
Djøf logo
8. juni
København K
GDPR og medarbejdere
Forstå reglerne for GDPR og medarbejdere. På kurset lærer du at behandle medarbejderdata lovligt og korrekt i praksis.
4.900 kr.
7 kursuspoint
GDPR og teknologiforståelse
Djøf logo
12. juni + flere datoer
København K
GDPR og teknologiforståelse
Tag kurset ’GDPR og teknologiforståelse’, og forstå sammenhængen mellem juridiske og tekniske krav til it-systemer.
4.900 kr.
7 kursuspoint
Juridisk metode
Djøf logo
13. juni + flere datoer
København S
Juridisk metode
Lær, hvordan du identificerer og behandler retlige problemer. Øg din forståelse for juridisk metode på kurset hos Djøf.
9.900 kr.
14 kursuspoint
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
Følg Jurainfo.dk på:
2023 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted
Vilkår for publicering af materiale Cookiepolitik   |   Ret dit samtykke