En norsk dom om et professionelt ransomware-angreb illustrerer, at cybertrusler sjældent kan kvalificeres som force majeure, og at standardvilkår kan binde parterne uden underskrevet kontrakt. Kunden fik tilkendt et begrænset beløb svarende til tre måneders vederlag, selv om leverandøren ikke blev anset for at have handlet culpøst.
Aftalegrundlag og standardvilkår
Kunden havde købt en centraliseret driftstjeneste, hvor data blev hostet hos leverandøren, men parterne fik aldrig underskrevet en kontrakt. Retten lagde til grund, at standardvilkårene var accepteret ved kundens adfærd – bestilling, løbende betaling og passivitet i forhold til drøftelser af vilkår. Dermed blev vilkårene en del af aftalegrundlaget.
Det relativt lave månedlige vederlag talte imod, at leverandøren skulle bære en ubegrænset risiko for betydelige tab. Retten bemærkede desuden, at vilkårenes ansvarsregime svarede til sædvanlig branchepraksis. Ansvarsbegrænsningen til tre måneders vederlag kom derfor til anvendelse.
Force majeure og ansvar
Leverandøren påberåbte sig force majeure med henvisning til, at angrebet lå uden for deres kontrol. Retten afviste dette: velorganiserede cyberangreb er en kendt og påregnelig risiko i IT-branchen, som myndigheder har advaret om gennem længere tid. Risikoen kunne derfor ikke bære en force majeure-fritagelse.
Selv om alle mulige foranstaltninger ikke var implementeret, fandt retten ikke grundlag for culpa. Angrebet blev udført af højt specialiserede aktører, og leverandøren havde iværksat relevante sikkerhedstiltag. Alligevel fik kunden et beløb svarende til tre måneders betaling i overensstemmelse med ansvarsbegrænsningen – langt fra det oprindelige millionkrav.
Praktiske konsekvenser
Afgørelsen understreger behovet for klare kontrakter med specificerede sikkerhedsforpligtelser og dokumentationskrav. Kunder bør etablere egne backup-rutiner for at reducere konsekvenserne af uforudsete hændelser.
IT-leverandører bør systematisere dokumentation af sikkerhedsprocesser, løbende risikovurderinger og efterlevelse af branchepraksis. Derudover er professionel ansvarsforsikring og cyberforsikring relevante værn mod både direkte tab og følgeskader ved sikkerhedsbrud.
