Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Nyt katalog over kontraktbestemmelser til styring af samfundskritiske it-systemer

Nyt katalog over kontraktbestemmelser til styring af samfundskritiske it-systemer
Bird & Bird logo
Digitaliseringsstyrelsen offentliggjorde i marts 2022 et katalog over kontraktbestemmelser, som myndigheder med ansvar for samfundskritiske it-systemer skal implementere i nye kontrakter efter ”følg eller forklar”-princippet.

Baggrunden for kataloget

Kataloget udspringer af den Nationale Strategi for Cyber- og Informationssikkerhed 2018-2021, som regeringen præsenterede i december 2021, og har til formål at øge informations- og forsyningssikkerheden for myndighedernes samfundskritiske it-systemer.


Kataloget er udarbejdet af en arbejdsgruppe bestående af Justitsministeriet, Forsvarsministeriet, Udvikling- og Forenklingsstyrelsen og Digitaliseringsstyrelsen.


Kataloget kan tilgås hér.


Målgruppen for kontraktbestemmelserne

Målgruppen for kontraktbestemmelserne er myndigheder, der:


  1. er ansvarlige for samfundskritiske it-systemer og
  2. outsourcer driften af disse it-systemer

Kontraktbestemmelserne skal således fortrinsvis benyttes af Staten, men regioner eller kommuner, der skal indgå en kontrakt om drift af samfundskritiske it-systemer, kan dog ligeledes søge inspiration i bestemmelserne.


Samfundskritiske it-systemer

Det er myndighederne selv der skal vurdere, om et it-system er samfundskritisk. I relation til vurderingen af, hvorvidt et it-system er samfundskritisk, har Digitaliseringsstyrelsen udarbejdet en definition heraf i Vejledning til model for porteføljestyring af statslige it-systemer. Efter vejledningens pkt. 4.1 defineres samfundskritiske it-systemer som:


”it-systemer, hvor større driftsforstyrrelser resulterer i væsentlige udfordringer for samfundet som helhed fx i form af økonomiske tab hos stat, virksomheder eller borgere, længerevarende nedbrud af kritisk infrastruktur eller reelle trusler for den nationale sikkerhed. Samfundskritiske it-systemer er således it-systemer, hvor utilgængelighed og driftsustabilitet i it-systemerne kan få markante følger for samfundet og for opretholdelsen af samfundskritiske processer.”


Ovenstående definition suppleres af følgende kriterier for, om et it-system er samfundskritisk:


Vil et it-systemnedbrud eller generelle fejl:


  • medføre et økonomisk tab af en størrelsesorden, der nødvendiggør særlige tiltag og større omprioriteringer på tværs inden for staten?
  • medføre et økonomisk tab af en størrelsesorden, der medfører betydelige økonomiske udfordringer for et bredt udsnit af borgere og virksomheder?
  • påvirke væsentlige dele af kritisk infrastruktur (såsom trafik, forsyning, beredskab eller systemer, hvor utilgængelighed og driftsustabilitet i hospitalsdrift), så denne bliver sat ud af drift og aktiverer nødberedskab?

Er it-systemet vigtigt for opretholdelsen af den nationale sikkerhed?

Implementering – ”følg eller forklar”-princippet

Myndigheder med ansvar for samfundskritiske systemer skal forholde sig til katalogets kontraktbestemmelser i forbindelse med outsourcing af driften heraf. Det skal gøres efter ”følg eller forklar”-princippet, dvs. at myndigheden skal følge katalogets bestemmelser, medmindre særlige forhold gør sig gældende, og myndigheden kan forklare, hvorfor en given bestemmelse ikke skal indgå i kontrakten.


Indholdet af kataloget

Katalogets kontraktbestemmelser vedrører fire temaer:


  1. driftsafvikling
  2. sikkerhed
  3. persondata
  4. kontrol

Katalogets bestemmelser kan operationaliseres ved at indarbejde vilkår fra standardkontrakten for it-drift, K04, og det appendiks, som er offentliggjort sammen med kataloget. Appendikset indeholder den fulde ordlyd af bestemmelser, der ikke indgår i standardkontrakterne. Myndigheden behøver dog ikke anvende den foreslåede operationalisering og kan således i stedet anvende egne kontraktskabeloner, hvis myndigheden blot her indarbejder katalogets bestemmelser.


Bird & Birds kommentarer

I takt med den stigende digitalisering og vores stadig større afhængighed af offentlige it-systemer, er der tale om et vigtigt og godt initiativ. Der er heller ikke tvivl om, at de 4 temaer (driftsafvikling, sikkerhed, persondata og kontrol) er særdeles vigtige for forsynings- og informationssikkerheden i relation til sådanne samfundskritiske it-systemer.


Uanset dette er vi en smule forbeholdne overfor initiativet. For det første fordi de meget specifikke og detaljerede vilkår - i kombination med følg eller forklar princippet - kan komme til at udgøre en ”spændetrøje” for myndighederne, der kan gøre det dyrere og mere besværligt at outsource driften af systemerne. Vi havde hellere set en mere fleksibel ramme, hvor der er rum og plads til at finde de løsninger, der passer på den konkrete situation.


For det andet fordi bestemmelserne på flere områder forekommer håbløst forældede, idet de er skrevet ud fra en ”on-premise” tankegang. En række af bestemmelserne passer således ikke eller kun meget dårligt på en cloud-baseret drift, ligesom de ikke vil kunne gennemføres overfor underleverandører af (public) cloud ydelser.

Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte mig.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her.
Bird & Bird logo
København
Sundkrogsgade 21
2100 København Ø
72 24 12 12
72 24 12 13
denmark@twobirds.com
Gratis Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Faglige videoer, der kunne være relevante for dig
Force majeure - hvornår kan begrebet anvendes?
Mange virksomheder er ikke opmærksomme på at udvide force majeure-begrebet i deres kontrakter og flere anvender begrebet helt forkert. Bliv klogere på hvornår noget er en force majeure-begivenhed og hvornår du kan benytte en force majeure-klausul ved manglende leveringer.
Har du styr på din eksportkontrol, når du eksporterer varer til udlandet?
Eksporterer din virksomhed varer til udlandet? Så er den formentligt underlagt reglerne om eksportkontrol. Annelise Lykke Schmidt, specialist i Trade Compliance, kommer i ovenstående video nærmere ind på reglerne relateret til eksportkontrol.
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Juridiske kandidater er i høj kurs
Mange virksomheder oplever, at det er svært at tiltrække kompetent juridisk arbejdskraft. Men det behøver det ikke nødvendigvis være - Hvordan kommer vi ind på i denne video hvor vi fortæller om vores erfaringer med markedet og giver gode råd til hvordan du får fat i de rigtige kandidater.
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
2022 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted